BO2K BACKGROUD

newstep

1999年7月10日著名的黑客程序Back Orifice 的最新版本Back Orifice 2000
在拉斯维加斯 DefCon 7 年会上被公之于众。DefCon 是敢于打破旧习俗的计算机
天才一年一度的黑客大会，以多种演讲、小组辩论和新的更危险的攻击工具发布
为主题内容。电脑黑客、行业主管、甚至还有政府官员，他们聚在一起，研究计
算机的安全问题。与上一次Back Orifice 发布时媒体的反应淡漠相比，这一次的
发布更象是一次轰轰烈烈的商业炒作。黑客组织Cult of the Dead Cow（死牛祭
坛cDc） 的网站上早早便公布说将发布Back Orifice 2000，并暗示其功能比它的
上一代更为强大且便于扩充。同时它已经可以在Windows NT 平台下运行了。而许
多网络评论、新闻站点也对此事跟踪报道。参与报道的有象ABCNEWS、CNN、YAHO
O.COM、ABOUT.COM（一家在NASDAQ上市的网络评论、咨询网站 ）、ZDNET.COM、
CNET.COM等站点。国内网站如新浪（www.sina.com.cn）、金山卓越（www.joyo.
com）也作了相关报道。

Def Con 7 会上发行BO2K时有一则小插曲：cDc 成员介绍过BO2K后将20多张
BO2K的CD-ROM抛向与会人群。这些CD-ROM很快被抢夺一空甚至被疯狂复制上传到
网上以供下载。然而7月15日cDc在其网站上宣称那些CD-ROM中感染了来源不明的
CIH 1.2病毒。声明尽管不是有意但还是要对此事负责云云。 这与其说是失误还
不如说更像是一个恶作剧：cDc 用这样的方法回应那些将BO2K当成是电脑病毒的
说法。至于BO2K是不是病毒这要由专家评判，但它的发行引起了所有电脑安全研
究组织和机构的关注却是不争的事实。

" 尽管BO2K能被看作远程监控工具，但BO2K主要目的被用来非授权访问其
它电脑及数据收集重构。这种程序的特性与匿名和恶意控制结合起来使网络环境
变得异常险恶。"--YAHOO评论7月12日。

IIS公司的X-FORCE 研究小组在BO2K 发布不到24小时便声称已破解了BO2K
传输协议的加密方法。这为在网络信息流中侦测到BO2K 的侵入及其发送的命令提
供了理论依据。然而普通用户真正要方便的检测清除Back Orifice ，则需要由反
病毒公司得到最新版本的杀毒软件。[注：Internet Security Systems （ISS)-
- Internet 系统安全公司-- 一家以提供电子商务中风险解决方案闻名的美国N
ASDAQ上市公司，目前为美国25家最大商业银行中的21家、至少35个政府的代理机
构提供安全认证服务。]

"它是一个恶毒的软件，很像你购买的远程控制软件，"微软公司反病毒专家
Jason Garms 说，"它非常隐敝，很难被察觉。"

"BO2K 到底会构成什么威胁，还不好说----它或许根本就不会构成任何威胁
，只是想引起公众的注意罢了。 "Trend Micro 反病毒公司的 Dan Schrader 如
是说。


Back Orifice 系列软件生来便与MS WINDOWS操作系统 结下了不解之缘：

许多象Cult of the Dead Cow 这样的黑客组织坚持认为MS Windows/95/98/NT 操
作系统作为网络平台一直存在太多的安全漏洞。而微软公司一直知道这样的情况
存在而不积极采取措施加以改进。微软的许多应用程序体积庞大但效率低下，Ba
ck Orifice 就是讽喻MS Back Office
服务器组件的双关语，他们读音近似而Back Orifice 又恰有漏洞的意思。Back
Orifice 自去年发布以来在cDc站点已有30万次的下载记录。

Back Orifice 2000的作者是cDc的Dildog，沿着Sir Dystic（Back Orific
e 的作者）的思路设计了这个软件。Dildog接受ABOUT.COM采访时谈到："管理 W
indows 网络的工作中最常见问题是缺乏一种强有力的远程控制工具，可在UNIX系
统中类似工具已经使用近十年了，UNIX 系统可以在世界上任何地方被安全管理。
Windows也需要这种工具。"…… "现在我们已大大加强了MS Windows系统的（远
程）管理能力，希望微软能竭力使它的开放性的操作系统经得起（我们所提供的
）这种管理控制软件的考验。"

这些话多多少少有些讽刺MS Windows 系统。不过有一点不容置疑：Back Or
ifice 2000
确实让MS Windows 操作系统的严重安全隐患暴露无遗。能够在不知不觉中接管W
indowsNT 系统管理权限对许多以WindowsNT作平台的网络服务器构成了极大的威
胁。

　　在 Cult of the Dead Cow 的网站上，这个组织评价 BO2K 是"完全由系统管
理员们支配的、职业化的开放性程序，而且是免费的。"但它又说，"对微软来说
非常不幸，BO2K 会给这位软件业的巨头带来压力，他们必须为其 Windows 系统
加上安全保护。如果不这样做，就会很容易使用户受到来自黑客的恶毒袭击，因
为Windows的防御系统实在是弱不禁风。"


其实已经有许多商业化的远程控制软件如 PCANYWHERE 9.0 （Symantec 公司
）、Carbon Copy 32 5.0 ( Compaq 公司)、 CoSession Remote 32 V8 ( Artis
oft 公司)正运行在许多网络电脑上。尽管它们之间的具体特性稍有不同，但与B
O2K的根本区别是：这些软件的服务器端程序都必须在经过用户的认可后才能安装
在客户机上。也就是说安装时必须经过用户授权。
还有一点是BO2K的体积是如此之小以至于能象病毒一样寄生在正常程序中而不被
察觉。

此次发布的BO2K是在GPL（General Public Licence 通用公共许可证）协议
之下的，也就是说任何人都有权取得、修改和重新发布此软件的源代码。考虑到
Linux在GPL条款下迅速发展的事实我们没有理由不设想会有许多的程序员会为BO
2K编写各种插件扩展它的功能，或为它优化代码。特别是那些自认为编程技巧和
代码效率都极高的HACK们。
发布的BO2K分为两个版本：美国本土版和国际版。唯一区别是美国版可以对
服务器端及客户机端数据流采用168位DES强加密算法。国际版只可用普通的异或
算法对数据流加密。

如果说Back Orifice 只是一把木斧的话，那么Back Orifice 2000就是一柄
利剑。关键看我们是握剑柄还是剑刃。cDc网站一再声明BO2K软件本身是完全合法
的，关键是其极易被用做非法用途。


ZAZA CBI

--
※ 来源:．网易虚拟社区 http://club.netease.com．[FROM: 202.98.118.163]