hack-attacken

För den som fortfarande tror hackare är en ny företeelse, låt mig berätta om trojanen vi utsattes för 1996. Alltså en trojan är ett till synes oskyldigt program som innehåller dold skadlig kod eller någon form av annat program som gör oönskade saker. Eller som i detta fall, installerar en bakdörr in i systemet.

Peter eriksson (användare nummer #274 efter kraschen 1995) laddade upp spelet Giana-sisters i min Amiga area. Han försökte maskera det som ett public domainspel kallat ”Giga system II”. Spelet åkte ner direkt eftersom jag inte tillät piratkopior. Men något drog mitt intresse till sig. Spelet startades med ett skript kallat Giana. Det kallade i sin tur den körbara filen Intro och sedan spelet gs.exe. Spelet förstod jag men intro-filen hamnade i en hexeditor för vidare analys och titta vad jag hittade:

”Nikom:tick.txt dos.library type Nikom:tick.txt >>Nikom:Datocfg/Kommandon.cfg
N=Zwiz
S=0
O=1
#=523
X=house”

Ok om ni inte förstår det, tillåt mig förklara. Det lägger till några rader i BBS-systemet Nikoms kommandolista. Det nya kommandot heter Zwiz och är en länk till det interna kommandot 523. En snabb koll Nikoms dokumentation visar att detta är system-kommandot, som ger en dosprompt rakt ut i Amigados. Så om Sysop är dum nog att köra kommandot, har han effektivt installerat en backdoor i sin BBS som användaren kan använda för att ta kommandot över hela datorn och göra vad han vill med den.

Vi kan även ta en titt på filbeskrivningen:
”GSII.LHA 0 1 0 262718 960601 1358 274
Giga System II. C00l PD spel,..”

Peter Eriksson behöver givetvis inte vara skyldig. Han kan ha laddat upp filerna i god tro, även om jag ställer mig lite tvivlande till det. Jag förlät honom nog eftersom han var aktiv på BBS:en ett halvår senare enligt vad jag kan se.

Det är så långt vi kommer. Jag vet inte om datumet är när filen flyttades till arean BAD (filer som refuserats) eller när han laddade upp den. Den kan ha laddats upp tidigare på andra system, se datumen på filerna inne i arkivet:

1992-09-02 13:08 13 Giana
1996-05-13 22:28 6 575 Giana.info
1996-05-13 22:28 295 712 GS.EXE
1992-09-02 13:07 348 Intro

Det verkar som om själva trojan-koden är från 1992, medan en själva spelet lades in senare. Däremot batchfilen ”Giana” verkar också vara från 1992, så det är inte helt klart att det används till ett annat spel eller program. Tidsstämplarna är inte heller särskilt tillförlitliga sanningsvittnen, så det är inte möjligt att säga så mycket om filerna. Frågan är om Peter visste vad han gjorde eller inte. Jag kan mycket väl ha varit för snäll och antagit att han var oskyldig, men han VISSTE att vi inte tillät piratkopierade spel och verkar då ha ändrat spelets namn för att komma förbi detta. Så i efterhand har jag svårt att tro att han var oskyldig. Frågan är vad han hade gjort om han lyckats få administrativ behörighet till basen. Hade han ha raderat hårddisken eller laddat hem filer eller gett sig själv högre status i basen? Vi får aldrig veta.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *