NetBus

NetBus o Netbus è un software shareware per il controllo remoto di un computer con sistema operativo di Microsoft Windows attraverso una rete. NetBus è scritto in Delphi da Carl-Fredrik Neikter, un programmatore svedese. È stato messo in circolazione prima del suo fratello Back Orifice. L'autore ha affermato che il programma era destinato a essere utilizzato come scherzo, non per irrompere illegalmente nei sistemi informatici. Tradotto dallo svedese, il nome significa: "uno scherzo della rete".

Tuttavia, l'uso di NetBus ha avuto gravi conseguenze. Nel 1999, è stato utilizzato per impiantare materiale pedopornografico sul computer di lavoro di uno studioso di diritto alla Università di Lund. 3.500 immagini sono state scoperte dagli amministratori di sistema, e lo studioso del diritto è stato accusato di pedopornografia. Ha perso la sua posizione di ricerca presso la Facoltà, e in seguito alla pubblicazione del suo nome ha lasciato il paese e ha dovuto chiedere una visita medica specialistica per affrontare lo stress. Fu assolto dalle accuse di reato alla fine del 2004, poiché la corte ha ritenuto che NetBus era stato usato per controllare il suo computer.^[1]

Ci sono due componenti di Net-Bus, secondo l'architettura del client-server. Il server, deve essere installato ed eseguito sul computer che deve essere controllato in remoto. È un file exe con una dimensione di quasi 500 kB. Il nome e l'icona varia molto da versione a versione. Alcuni sono: "Patch.exe" e "Sysedit.exe". Quando viene fatto partire per la prima volta, il server si auto installa nel computer host, tra cui la modifica del Registro di sistema di Windows in modo che parta automaticamente ad ogni avvio del sistema. Il server è un faceless process in attesa di connessioni sulla porta 12345 (in alcune versioni, il numero di porta può essere modificata in remoto). La porta 12346 è utilizzata per alcuni compiti, così come la porta 20034.

Il client è un programma separato che presenta un'interfaccia grafica permettendo all'utente di eseguire una serie di attività sul computer remoto. Esempi:

• keylogger;
• cattura dello schermo;
• lancio di programmi;
• file browsing;
• arresto del sistema;
• apertura/chiusura dello sportello per i dischi ottici;
• tunneling.

Il client di NetBus è stato progettato per supportare i seguenti sistemi operativi:

• Windows 95;
• Windows 98;
• Windows Me;
• Windows NT 4.0.

Netbus (v1.70) funziona bene in Windows 2000 e Windows XP. Le parti principali del protocollo, utilizzato tra il client e interazione con il server (nella versione 1.70) sono testuali. In tal modo il server può essere controllato da comandi umani tramite una connessione TCP di tipo raw. È più difficile che con l'applicazione client si possa amministrare un computer con NetBus da ambienti operativi diversi da Windows, o quando il client originale non è disponibile. Ad esempio Screen Capture richiedono la capacità di accettare dati binari, come netcat. La maggior parte dei protocolli più comuni (Internet Relay Chat protocollo POP3 SMTP, HTTP) possono essere utilizzati anche nel corso di un collegamento in un modo simile.

NetBus 2.0 Pro è stato rilasciato nel febbraio del 1999. È stato commercializzato come un potente strumento di amministrazione remota. Meno furtivo e pericoloso, ma esistono versioni speciali hacked che rendono possibile l'utilizzo per scopi illegali.

Tutte le versioni del programma sono state ampiamente utilizzate da "script kiddie" e il programma è stato reso popolare anche dal rilascio di Back Orifice. A causa delle sue dimensioni più piccole, Back Orifice può essere utilizzato per guadagnare un l'accesso a una macchina. L'attaccante può quindi utilizzare Back Orifice per installare il server NetBus sul computer di destinazione. La maggior parte dei programmi antivirus rilevano e rimuovono NetBus.

Esiste anche uno strumento chiamato NetBuster che si finge un server NetBus in esecuzione ma manda NetBus in crash. Inoltre, un programma chiamato NetBusterBuster potrebbe essere utilizzato per mandare in "crash remoto" NetBuster.^{[senza fonte]}