Après avoir défini les paramètres dans un espace de travail, il est facile de se connecter à un serveur Back Orifice 2000 distant. Pour me connecter à un serveur de mon réseau, j'ai double-cliqué sur le nom du serveur dans la liste de serveurs, afin d'ouvrir la boîte de dialogue
Back Orifice 2000 en action
Server Command Client, que montre l’écran 2. C’est de là que s’effectuent toutes
les actions d’administration sur le serveur.
J’ai donc cliqué sur Connect et j’ai réussi à me connecter au serveur, comme le
montre le message de la sous-fenêtre Server Response au bas de l’écran 2. Cette
action modifie l’inscription du bouton Connect, qui devient Disconnect, visible
sur l’écran 2.
Lors de la connexion, le client peut automatiquement interroger le serveur pour
découvrir ses capacités. Il se sert de la liste des capacités acquises pour créer
l’arborescence des commandes dans la sous-fenêtre de gauche de l’écran 2. Pour
effectuer des actions de commande sur le serveur, il suffit de parcourir l’arborescence
pour localiser la commande désirée, de cliquer sur son nom, de compléter tous
les paramètres nécessaires et d’appuyer sur la commande Send. La plupart des commandes
exigent au moins un paramètre avant de pouvoir être exécutées sur le serveur.
Pour cela, Server Command Client affiche des zones de saisie de données dans la
sous-fenêtre de droite.
A propos, un petit avertissement s’impose ici : les paramètres de commandes mal
formulés peuvent provoquer un crash ou un verrouillage du serveur Back Orifice
2000, veillez donc à les saisir très soigneusement et faites très attention à
la syntaxe.
BackOrifice 2000 étant un outil d’administration à distance, les fonctions
de commande sont d’une importance capitale pour que l’action se réalise. En passant
en revue l’arborescence des commandes, j’ai découvert que Back Orifice 2000 peut
effectuer une grande variété d’actions.
Sans le plug-in BOPEEP, Back Orifice 2000 n’est pas capable
d’effectuer les tâches d’administration simples
La question décisive à se poser pour tout outil d’administration
à distance est de se demander s’il est capable d’effectuer les actions nécessaires
? Pour la première release de Back Orifice 2000, la réponse est oui et non à la
fois – avec une nette tendance au non. Sans le plug-in BOPEEP, Back Orifice 2000
n’est pas capable d’effectuer les tâches d’administration simples, comme, par
exemple, modifier les paramètres des comptes des utilisateurs et examiner les
journaux d’événements. Malgré la possibilité de télécharger et de visualiser des
fichiers, ainsi que d’afficher, ajouter et modifier des entrées du Registre, ces
actions ne contribuent pas spécialement à l’administration des utilisateurs et
des journaux.
Qui a envie, après tout, de passer en revue le Registre juste pour visualiser
une entrée de journal ? L’observateur et éditeur du Registre de Back Orifice 2000
est purement basé sur le texte et bien qu’allant jusqu’au bout de sa tâche, il
est compliqué à utiliser et n’a aucun outil de recherche pour trouver des clés
ou des valeurs. C’est pourquoi il est indispensable d’utiliser le plug-in BOTOOL
pour toutes les tâches d’administration à distance sérieuses, car il améliore
la gestion des fichiers et du Registre de Back Orifice 2000.
En permettant de contrôler des services, d’accéder au Registre, de transférer
des fichiers et de rediriger des ports, Back Orifice 2000 contribue fortement
à constituer un point de contrôle unique pour accéder à ces types d’outils. Par
exemple, la plupart des administrateurs bloquent prudemment l’accès à distance
au Registre.
Mais Back Orifice 2000 permet, lui, de continuer à éditer le Registre, que l’administrateur
ait bloqué l’accès à distance ou pas. Il est possible d’accorder le même accès
pour les contrôles de processus et toute autre administration basée sur NetBIOS.
Ainsi, même si votre système de protection des frontières (par exemple firewall,
proxy) ne permet pas le trafic NetBIOS entrant ou sortant du réseau, vous pouvez
tout de même permettre l’accès contrôlé au port du serveur Back Orifice 2000.
Cette fonction est un avantage significatif de cet outil ; mais là encore, d’autres
outils d’administration à distance comme pcANYWHERE32 et Remotely Possible/32
l’offrent également.
La fonction de manipulation des fichiers intégrée à Back Orifice 2000 est admirable,
mais dépourvue du moindre zest d’imagination. Le support de 3DES (version US uniquement)
permet de transférer les fichiers par une connexion sécurisée très difficile à
percer. Grâce aux commandes Receive File et Send File de l’arborescence File/Directory,
j’ai pu transmettre en toute sécurité des fichiers aller et retour entre des serveurs
Back Orifice 2000 de mon réseau. Toutefois la fonctionnalité intégrée souffre
d’une insuffisance majeure.
Elle ne permet l’envoi que d’un seul fichier à la fois et oblige à indiquer au
système récepteur ce que devrait être le nom de fichier avant la transmission.
La manipulation devient par conséquent compliquée et très gourmande en temps quand
il s’agit de déplacer un grand nombre de fichiers. Mais l’utilisation du plug-in
BOTOOL permet de surmonter facilement les limites des contrôles de fichiers intégrés.
Back Orifice 2000 permet aussi de supporter les transferts de fichiers
purement TCP. Je trouve cette fonction pratique parce qu’elle m’a permis d’utiliser
des outils comme Netcat de L0pht Heavy Industries pour me connecter à un serveur
Back Orifice 2000 et récupérer un fichier, mais toujours avec une architecture
fondée sur une seule action à la fois, qui limite cette fonctionnalité.
L’outil s’accompagne aussi d’un serveur Web de base intégré qui permet de parcourir
des fichiers et des répertoires. Cette fonction simplifie la navigation sur un
disque dur et permet de télécharger facilement des fichiers d’un clic de souris.
Toutefois la navigation des répertoires HTML ne tient pas la comparaison avec
un client Windows Explorer régulier. Personnellement, je préfèrerais utiliser
les plug-ins BOPEEP et BOTOOL plutôt que l’Explorateur Windows intégré à NT.
Back Orifice 2000 peut allumer n’importe quel périphérique audio ou vidéo
disponible sur le système distant. J’ai testé cette fonction et elle a bien fonctionné,
mais je suis incapable d’imaginer la moindre utilisation véritable de cette fonctionnalité,
sinon pour savoir ce qui se passe sur un système donné. Par exemple, si vous exécutez
Back Orifice 2000 sur des serveurs NT protégés dans une zone sécurisée, cette
fonction peut vous aider à garder un oeil sur ces installations.
Back Orifice
2000 supporte la compression et la décompression des fichiers afin de réduire
un gros fichier avant de l’envoyer sur le réseau
Back Orifice
2000 supporte la compression et la décompression des fichiers. Cette fonction
offre un moyen rapide et pratique de réduire un gros fichier avant de l’envoyer
sur le réseau.
L’une des utilisations
possibles de Back Orifice 2000 est la surveillance du réseau. Le logiciel peut
observer les mêmes types d’informations (par exemple processus exécutés sur un
ordinateur distant, connexions ouvertes, partages) qu’avec le Gestionnaire des
serveurs de NT. Back Orifice 2000 permet également d’effectuer la consignation
des frappes de touches, une fonction qui peut s’avérer pratique quand on soupçonne
un employé d’accomplir une activité malveillante ou non autorisée. J’ai testé
cette fonction sans le moindre problème.
Back Orifice 2000 permet
de réinitialiser un ordinateur distant et de vider les hachages de mots de passe
de la base de données SAM que vous pouvez percer avec l’outil L0phtCrack de L0pht
Heavy Industries. Bien que cette seconde fonction puisse apparaître comme un risque
pour la sécurité, tout utilisateur détenant les privilèges du groupe Administrateurs
peut en faire autant avec d’autres outils librement disponibles sur Internet.
L’une des fonctions de
Back Orifice 2000 n’a aucune utilité dans l’environnement de l’entreprise : je
veux parler d’une petite commande baptisée Lockup qui verrouille l’ordinateur
distant et oblige à réinitialiser la machine. Si quelqu’un peut imaginer la moindre
utilisation légitime de cette fonction, je serais curieux de l’apprendre. Cette
fonction est pure malveillance.
Cette release de Back
Orifice 2000 souffre d’une sérieuse omission, à savoir la surprenante absence
de toute interaction avec le journal des événements de NT. Le logiciel ne crée
jamais d’entrées dans le journal.
Or pour être un véritable outil d’administration à distance, Back Orifice 2000
a besoin de cette fonctionnalité. Les utilisateurs d’entreprise ont besoin d’une
option de consignation pour fournir des preuves sur le réseau et une analyse a
posteriori pour le contrôle qualité. Il est un fait acquis que les utilisateurs
ne veulent pas tous de cette fonction, mais je suis persuadé que la plupart la
souhaiteront. Et si cDc veut vraiment que cet outil soit considéré par un large
public comme légitime et acceptable pour l’utilisation en entreprise, ses créateurs
doivent ajouter immédiatement cette fonctionnalité.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
