Anteriores:
< Trilha Zero >

< Back Orifice II: A Missão >

Há muito tempo que uma destas humildes colunas não desperta tanto bochincho quanto a da semana passada. Todo mundo escreveu: foram quase 50 cartas. Demonstração cabal e inequívoca de dois pontos. Primeiro: meus leitores andam perto da casa da meia centena, portanto ganhei folgado dos 17 do Agamenon e dos 19 do Itiberê. Segundo: a turma está mesmo como medo do Back Orifice (que, com a intimidade que já temos, daqui pra frente chamaremos simplesmente de BO). O que me fez voltar ao tema, e desta vez com uma missão mais amena: tranqüilizar os aflitos leitores, apavorados com o tom apocalíptico da última coluna. O desta vai ser mais do tipo "calma, que o BO é manso". Na verdade manso, mesmo, ele não é. Mas também não é tão terrível como inadvertidamente fi-lo parecer. Admito que filo, mas juro que não quilo: a intenção foi alertar, jamais apavorar.

Houve cartas de todo tipo. Algumas relatando causos de máquinas "possuídas" pelo BO nas quais se manifestou a catástrofe (uma jovem relata que enquanto usava o ICQ - um programa que joga no ventilador seu endereço IP - percebeu que o led do HD denunciava uma atividade suspeita e mais tarde descobriu que sobraram apenas oito arquivos em seu diretório Windows, forçando-a a reinstalar o sistema e dando-lhe um prejuízo líquido de mais de 500 Mb de arquivos). Outras, dando conta de meios e modos de detectar e eliminar o BO. E, finalmente, algumas de leitores aflitos acusando a presença da suspeita cadeia de caracteres "bofilemapping" em alguns arquivos de seus discos rígidos e receando estar com a máquina invadida.

Comecemos por estas últimas, para tranqüilizar as vítimas: se a cadeia foi encontrada em um arquivo texto, nada a temer. O mesmo ocorre se ela foi achada em um dos arquivos usados para armazenar as mensagens de correio eletrônico. Finalmente, alguns leitores efetuaram a busca através da opção "Arquivos ou pastas" da entrada "Localizar" do menu "Iniciar" e digitaram a cadeia na caixa "Nome", ao invés da caixa "Contendo o texto". Nada encontraram, como era de esperar (o BO não usa nenhum arquivo com aquele nome). Algum tempo - e pelo menos um boot - depois, perceberam o erro e executaram nova busca, já com a cadeia na caixa correta. E se apavoraram ao encontrá-la no arquivo User.Dat. Nada a temer: o User.Dat é um dos arquivos usados para montar dinamicamente o Registro e nele ficam armazenadas diversas informações, entre as quais as últimas entradas na caixa "Nome" da janela "Localizar" - onde eles mesmo haviam digitado a cadeia pouco antes. O mesmo ocorre quando se pesquisa o Registro: a cadeia aparece na entrada "Doc Find Spec MRU" de uma das chaves - que lista justamente as MRU (Most Recently Used: mais recentemente usadas) especificações de documentos digitadas naquela caixa. Portanto, também neste caso, nada a temer.

Agora, tentemos tranqüilizar os demais. Na coluna da semana passada, ao mencionar que "as defesas que estão sendo desenvolvidas contra o Back Orifice não apresentam a eficácia esperada", o que eu quis dizer era tão somente que não apresentam a eficácia esperada, não que sejam totalmente ineficazes. Trocando em miúdos: já foram (e continuam sendo) desenvolvidos programas que detectam a presença do BO e o eliminam. Seria de esperar que fossem eficazes na totalidade dos casos. Infelizmente estão sendo igualmente desenvolvidos meios de burlar suas ações, o que faz com que falhem em algumas instâncias.

A questão é que para "enganar" estes programas é necessário alterar a configuração padrão do BO - uma tarefa que dispensa um doutorado em informática, evidentemente, mas demanda um mínimo de conhecimento técnico. E quem são os usuários do BO? Citando textualmente um deles: "O programa, como você disse, é simplesmente ridículo de se usar! Qualquer molóide que sabe ligar o computador usa isso. As pessoas que usam esse programa na maioria das vezes não são hackers, são nukers imbecis. Na linguagem do IRC são lammers que ficam travando máquinas ou te desconectando por pura falta do que fazer!". Portanto, se bem que o perigo efetivamente exista, ele não é tão terrível como parece, já que a imensa maioria das pessoas entre as quais o programa se disseminou (cem mil cópias foram transferidas do sítio dos criadores, e muitas se multiplicaram por transferência direta de máquina a máquina) dificilmente serão capazes de engendrar os meios de burlar as defesas disponíveis. Logo, os programas existentes para se defender do BO podem não ser inexpugnáveis, mas na maioria das vezes cumprem sua missão. Portanto, vamos a eles.

Todos são freeware, ou seja, não é preciso pagar nada por eles. E ficamos entendidos que eu apenas estou divulgando seus URLs, ou seja: nada tenho a ver com sua ação em vossas máquinas. Mas como recebi diversas mensagens de leitores satisfeitos com seu uso, presumo que sejam seguros. O mais popular é o BO Detect, desenvolvido por Chris Benson. Pode ser encontrado na página do autor, em [http://www.spiritone.com/~cbenson/] mas se você preferir transferi-lo via FTP encontra-lo-á também no sítio da FSBO em [ftp://fsbotips.com/pub]. O segundo mais popular é o Antigen, da Fresh Software, encontrado no sítio da própria FS, em [http://www.arez.com/fs/antigen/index.html]. E há ainda os menos conhecidos, como o Toilet Paper (ou "papel higiênico", disparado o de nome mais original: afinal, o que mais usar para limpar o back orifice?), da Self Induced Negativity (um sítio estranhíssimo) em [http://www.sinnerz.com/tp.html]. Há ainda o Plugger, desenvolvido por Bradley Callis, que pode ser transferido do sítio do próprio criador em [http://bradley.callis.com/utilities.htm] e finalmente o BO Shield, da SG1.net, encontrável em [http://www.sg1.net/security/boshield.htm]. Mas para nós aqui do patropi, o melhor mesmo é procurar por eles nos sítios dos provedores nacionais. Nesta altura dos acontecimentos, dificilmente haverá um que não tenha alertado seus usuários e posto a sua disposição pelo menos uma ferramenta de defesa (atenção provedores: se este é seu caso, corra e crie pelo menos um link para um dos sítios acima). Citarei aqui apenas os que me avisaram que dispõem dos programas: Mandic, com o BODetect disponível em [http://www4.mandic.com.br/backorifice/], Arroba Café, ainda com o BODetect em [http://www.arrobacafe.com.br/bodetect.zip] e Unikey, com o Antigen, o Toilet Paper e o BODetect, todos à disposição na página [http://www.unikey.com.br/helpdesk/bo.htm]. Tanto no Mandic quanto no Unikey, além dos programas, você encontra um texto sobre o BO.

Por hoje, é só. Mas o interesse que o Back Orifice despertou foi tamanho e as questões que ele suscita são tão graves e importantes (por exemplo: quem tem maior responsabilidade? Quem criou o BO, quem desenvolveu um sistema operacional tão frágil que permite seu uso ou quem é descuidado a ponto de permitir que sua máquina se contamine? Adiantando: segundo a MS, em seu documento oficial sobre o BO, a maior parcela de responsabilidade cabe a quem se deixa contaminar...) que certamente voltarei ao tema. Aguardem.

B. Piropo