Attacchi informatici backdoor

Per backdoor si intende qualsiasi metodo con cui gli utenti autorizzati e non autorizzati sono in grado di aggirare le normali misure di sicurezza e ottenere un accesso utente di alto livello (alias accesso root) su un sistema informatico, una rete o un'applicazione software.

DOWNLOAD GRATUITAMENTEMALWAREBYTES

Anche per Windows, iOS, Android, Chromebook e Per il Business

Cos'è un backdoor?

Immagina di essere un ladro che sta studiando una casa da svaligiare. Vedi un cartello di sicurezza nel giardino anteriore e una videocamera Ring alla porta. Da abile ladro quale sei, salti la recinzione che conduce sul retro della casa. Vedi una porta sul retro, incroci le dita e provi la maniglia—è aperta. Per un osservatore casuale, non ci sono segni esterni di furto. In realtà, potresti svaligiare la casa di nuovo attraverso la stessa porta, purché non metti tutto a soqquadro.

I backdoor informatici funzionano in modo simile.

Nel mondo della cybersecurity, un backdoor è qualsiasi metodo tramite il quale utenti autorizzati e non possono aggirare le normali misure di sicurezza e ottenere un accesso a livello avanzato (aka root access) su un sistema informatico, rete o applicazione software. Una volta dentro, i cybercriminali possono usare un backdoor per rubare dati personali e finanziari, installare malware aggiuntivi e prendere possesso dei dispositivi.

Ma i backdoor non sono solo per i cattivi. Anche i produttori di software o hardware possono installare backdoor come mezzo deliberato per accedere alla loro tecnologia a posteriori. I backdoor di tipo non criminale sono utili per aiutare i clienti che sono irrimediabilmente bloccati fuori dai loro dispositivi o per risolvere problemi software.

A differenza di altre minacce informatiche che si fanno conoscere all'utente (come il ransomware), i backdoor sono noti per essere discreti. Esistono per un gruppo selezionato di persone che sono a conoscenza per accedere facilmente a un sistema o applicazione.

Come minaccia, i backdoor non scompariranno presto. Secondo il report State of Malware di Malwarebytes Labs, i backdoor sono stati la quarta minaccia più comune rilevata nel 2018 sia per i consumatori che per le aziende—aumenti rispettivi del 34 e del 173 percento rispetto all'anno precedente.

Se sei preoccupato per i backdoor, hai sentito parlarne nelle notizie e vuoi sapere di cosa si tratta, o hai un backdoor sul tuo computer e devi eliminarlo subito, sei nel posto giusto. Continua a leggere e preparati a scoprire tutto quello che c'è da sapere sui backdoor.

"Un backdoor si riferisce a qualsiasi metodo tramite il quale utenti autorizzati e non possono aggirare le normali misure di sicurezza e ottenere un accesso a livello avanzato (aka root access) su un sistema informatico, rete o applicazione software."

Notizie sui backdoor

Come funzionano i backdoor?

Iniziamo verificando come i backdoor finiscono sul tuo computer. Questo può avvenire in diversi modi. O come risultato di malware o per una decisione intenzionale di produzione (hardware o software).

Il malware backdoor è generalmente classificato come Trojan. Un trojan è un programma informatico dannoso che finge di essere qualcosa che non è allo scopo di fornire malware, rubare dati o aprire una backdoor nel sistema. Come il cavallo di Troia dell'antica letteratura greca, i Trojan per computer contengono sempre una brutta sorpresa.

I Trojan sono uno strumento incredibilmente versatile nel kit degli strumenti dei criminali informatici. Si presentano sotto molte spoglie, come un allegato e-mail o un file da scaricare, e consegnano un numero qualsiasi di minacce malware.

Per aggravare il problema, i trojan a volte mostrano una capacità simile a quella di un worm di replicarsi e diffondersi in altri sistemi senza alcun comando aggiuntivo da parte dei criminali informatici che li hanno creati. Prendiamo ad esempio il Trojan bancario Emotet. Emotet è nato nel 2014 come ruba-informazioni, diffondendosi tra i dispositivi e rubando dati finanziari sensibili. Da allora Emotet si è evoluto in un veicolo di distribuzione per altre forme di malware. Emotet ha contribuito a rendere il trojan la principale minaccia rilevata per il 2018, secondo il rapporto State of Malware.

In un esempio di malware backdoor, i criminali informatici hanno nascosto il malware all'interno di un convertitore di file gratuito. Non c'è da sorprendersi: non convertiva nulla. In realtà, il download era stato progettato esclusivamente per aprire una backdoor sul sistema di destinazione. In un altro esempio, i criminali informatici hanno nascosto un malware backdoor all'interno di uno strumento utilizzato per la pirateria delle applicazioni software Adobe (che sia una lezione sulla pirateria del software). E in un ultimo esempio, un'applicazione apparentemente legittima di ticker per criptovalute chiamata CoinTicker funzionava come pubblicizzato, mostrando informazioni su varie forme di criptovalute e mercati, ma apriva anche una backdoor.

Una volta che i criminali informatici hanno messo piede nella porta, potrebbero utilizzare il cosiddetto rootkit. A rootkit è un pacchetto di malware progettato per evitare il rilevamento e nascondere l'attività su Internet (all'utente e al sistema operativo). I rootkit forniscono agli aggressori un accesso continuo ai sistemi infetti. In sostanza, il rootkit è il fermaporta che tiene aperta la backdoor.

"I backdoor erano la quarta minaccia più comune rilevata nel 2018 sia per i consumatori che per le aziende, con incrementi rispettivi del 34 e 173 percento rispetto all'anno precedente."

I backdoor integrati o proprietari sono inseriti dai produttori di hardware e software stessi. A differenza del malware backdoor, i backdoor integrati non sono necessariamente pensati con intenti criminali. Più spesso, i backdoor integrati esistono come artefatti del processo di creazione del software.

Gli sviluppatori di software creano questi account backdoor per muoversi rapidamente tra le applicazioni mentre vengono codificate, testarle e risolvere bug software (cioè errori) senza dover creare un account "reale". Questi backdoor non dovrebbero essere presenti nel software finale rilasciato al pubblico, ma a volte lo sono. Non è la fine del mondo, ma c'è sempre la possibilità che un backdoor proprietario finisca nelle mani dei criminali informatici.

Sebbene la maggior parte dei backdoor integrati che conosciamo rientri nella prima categoria (cioè nella categoria "oops, non intendevamo metterlo lì"), i membri del patto di condivisione delle informazioni Five Eyes (USA, UK, Canada, Australia e Nuova Zelanda) hanno chiesto ad Apple, Facebook e Google di installare backdoor nella loro tecnologia per aiutare nella raccolta delle prove durante le indagini criminali. Sebbene tutte e tre le aziende abbiano rifiutato, tutte e tre forniscano dati downstream nella misura richiesta dalla legge.

Le nazioni dei Five Eyes hanno sottolineato che questi backdoor sono nell'interesse della sicurezza globale, ma c'è molto potenziale di abuso. CBS News ha scoperto che dozzine di poliziotti in tutto il paese hanno utilizzato i database criminali disponibili per aiutare se stessi e i loro amici a molestare i loro ex, infastidire le donne e molestare i giornalisti che si sono opposti alle loro molestie e infastidimenti.

Detto ciò, cosa succederebbe se le agenzie governative decidessero di non accettare un no come risposta?

Questo ci porta ai backdoor della catena di approvvigionamento. Come suggerisce il nome, un backdoor della catena di approvvigionamento viene inserito di nascosto nel software o hardware in qualche punto della catena di approvvigionamento. Questo potrebbe accadere mentre le materie prime vengono spedite dal fornitore al produttore o quando il prodotto finito si dirige dal produttore al consumatore.

Ad esempio, un'agenzia governativa potrebbe intercettare router completati, server e materiale di rete vario sulla strada verso un cliente, quindi installare un backdoor nel firmware. E, a proposito, la National Security Agency (NSA) degli Stati Uniti l'ha effettivamente fatto, come rivelato nelle rivelazioni sulla sorveglianza globale di Edward Snowden nel 2013.

Infiltrazioni della catena di approvvigionamento potrebbero avvenire anche nel software. Prendiamo ad esempio il codice open source. Le librerie di codice open source sono repository gratuiti di codice, applicazioni e strumenti di sviluppo in cui qualsiasi organizzazione può attingere invece di codificare tutto da zero. Sembra fantastico, vero? Tutti lavorano insieme per il bene comune, condividendo i frutti del loro lavoro gli uni con gli altri. Per la maggior parte, è davvero fantastico. Qualsiasi contributo al codice sorgente è sottoposto a scrutinio, ma ci sono stati casi in cui codice malevolo è arrivato all'utente finale.

A tal proposito, nel luglio del 2018 è stato trovato malware di criptomining all'interno di un'app (o "snap," come la chiamano nel mondo di Linux) per Ubuntu e altri sistemi operativi basati su Linux. Canonical, gli sviluppatori di Ubuntu, hanno ammesso: "È impossibile per un repository su larga scala accettare solo software dopo che ogni file è stato revisionato nel dettaglio."

I backdoor e gli exploit sono la stessa cosa?

Malwarebytes Labs definisce gli exploit come "vulnerabilità note nel software che possono essere sfruttate per ottenere un certo livello di controllo sui sistemi che eseguono il software interessato". E sappiamo che una backdoor funziona come un'entrata segreta nel computer. Ma backdoor ed exploit sono la stessa cosa?

Sebbene all'apparenza backdoor ed exploit sembrino simili, non sono la stessa cosa.

Gli exploit sono vulnerabilità software accidentali usate per accedere al computer e, potenzialmente, distribuire malware. In altre parole, gli exploit sono solo bug software che i ricercatori o i criminali informatici hanno trovato un modo di sfruttare. I backdoor, invece, sono deliberatamente inseriti dai produttori o dai criminali informatici per entrare e uscire da un sistema a piacere.

"Gli exploit sono vulnerabilità software accidentali usate per accedere al computer e, potenzialmente, distribuire malware... I backdoor, invece, sono deliberatamente inseriti dai produttori o dai cybercriminali per entrare e uscire da un sistema a piacere."

Cosa possono fare gli hacker con un backdoor?

Gli hacker possono usare un backdoor per installare ogni sorta di malware sul tuo computer.

  • Lo spyware è un tipo di malware che, una volta installato sul vostro sistema, raccoglie informazioni su di voi, sui siti che visitate su Internet, sugli oggetti che download, sui file che aprite, sui nomi utente, sulle password e su qualsiasi altra cosa di valore. Una forma minore di spyware, chiamata keylogger, traccia in modo specifico ogni battitura e clic dell'utente. Le aziende possono utilizzare spyware/keylogger come mezzo legittimo e legale per monitorare i dipendenti al lavoro.
  • Il ransomware è un tipo di malware progettato per crittografare i tuoi file e bloccare il tuo computer. Per recuperare quelle foto preziose, documenti, ecc. (o qualsiasi tipo di file che gli attaccanti scelgono di prendere di mira) devi pagare gli attaccanti tramite qualche forma di criptovaluta, solitamente Bitcoin.
  • Utilizzare il computer in un attacco DDoS. Utilizzando la backdoor per ottenere l'accesso come superutente al vostro sistema, i criminali informatici possono prendere il comando del vostro computer da remoto, inserendolo in una rete di computer violati, detta botnet. Con questa botnet di computer zombie, i criminali possono poi sommergere un sito web o una rete con il traffico proveniente dalla botnet in quello che è noto come attaccoDDoS(Distributed Denial of Service). L'ondata di traffico impedisce al sito web o alla rete di rispondere alle richieste legittime, mettendo di fatto il sito fuori servizio.
  • Il malware Cryptojacking è progettato per utilizzare le risorse del sistema per estrarre criptovalute. In breve, ogni volta che qualcuno scambia criptovalute, la transazione viene registrata su un registro virtuale crittografato noto come blockchain. Il cryptomining è il processo di convalida di queste transazioni online in cambio di altre criptovalute e richiede un'enorme quantità di potenza di calcolo. Invece di acquistare il costoso hardware necessario per il cryptomining, i criminali hanno scoperto che possono semplicemente arruolare computer violati in una botnet che funziona come le costose farm di cryptomining.

Qual è la storia dei backdoor?

Ecco uno sguardo ad alcuni dei backdoor più (in)famigerati, sia reali che fittizi, sin dall'alba dei computer.

Si potrebbe sostenere che le backdoor siano entrate nella coscienza del pubblico con il film di fantascienza del 1983 Giochi di guerracon Matthew Broderick (in quella che sembra una prova per Ferris Bueller). Broderick nel ruolo di un adolescente malizioso hacker David Lightman utilizza una backdoor integrata per accedere a un supercomputer militare progettato per eseguire simulazioni di guerra nucleare. All'insaputa di Lightman, il computer schizofrenico non riesce a distinguere la realtà dalla simulazione. Inoltre, qualche genio ha deciso di dare al computer l'accesso all'intero arsenale nucleare degli Stati Uniti. L'ilarità si scatena quando il computer minaccia di far saltare in aria il mondo intero.

Nel 1993 l'NSA ha sviluppato un chip di crittografia con una backdoor incorporata da utilizzare nei computer e nei telefoni. Si supponeva che il chip avrebbe mantenuto al sicuro le comunicazioni sensibili, consentendo al contempo alle forze dell'ordine e alle agenzie governative di decifrare e ascoltare le trasmissioni vocali e di dati in caso di necessità. Le backdoor hardware hanno grandi vantaggi rispetto a quelle software. In particolare, sono più difficili da rimuovere: bisogna strappare l'hardware o riflashare il firmware per farlo. Il chip, tuttavia, è deragliato per problemi di privacy prima di essere adottato.

Nel 2005 Sony BMG entrò nel business dei backdoor quando distribuì milioni di CD musicali con un rootkit di protezione dalla copia dannoso. Mentre te ne stavi inconsapevolmente a ballare con l'ultima edizione di Now That's What I Call Music!, il tuo CD includeva un rootkit, che si installava automaticamente una volta inserito nel computer.

Progettato per monitorare le tue abitudini di ascolto, il rootkit Sony BMG impediva anche di masterizzare CD e lasciava una vulnerabilità aperta nel tuo computer che i criminali informatici potevano sfruttare. Sony BMG pagò milioni per risolvere cause legali legate al rootkit e ritirò ancora più milioni di CD.

Nel 2014 diversi router Netgear e Linksys furono trovati con backdoor integrati. SerComm, il produttore terzo che assemblò i router, negò aver inserito intenzionalmente i backdoor nel proprio hardware. Ma quando la patch rilasciata da SerComm finì per nascondere il backdoor invece di risolverlo, fu chiaro che l'azienda stava tramando qualcosa di poco chiaro. Resta poco chiaro esattamente cosa cercasse di ottenere SerComm con il backdoor.

Nello stesso anno gli sviluppatori di software che lavoravano su uno spinoff di Google Android di Google (chiamato Replicant) hanno scoperto una backdoor sui dispositivi mobili Samsung, compresi i telefoni della serie Galaxy. La backdoor avrebbe consentito a Samsung o a chiunque ne fosse a conoscenza di accedere da remoto a tutti i file memorizzati sui dispositivi interessati. In risposta alla scoperta, Samsung ha definito la backdoor una "funzione" che non comporta "alcun rischio per la sicurezza".

L'altro famoso produttore di telefoni, Apple, si rifiuta di includere backdoor nei suoi prodotti, nonostante ripetute richieste dell'FBI e del Dipartimento di Giustizia degli Stati Uniti. La pressione è aumentata dopo gli attacchi terroristici di San Bernardino del 2015, in cui l'FBI ha recuperato un iPhone appartenente a uno degli attentatori. Invece di compromettere la sicurezza dei loro dispositivi iOS, Apple ha raddoppiato l'attenzione sulla privacy e ha reso i suoi iPhone e iPad ancora più difficili da violare. L'FBI ha infine ritirato la richiesta quando è riuscito a hackerare l'iPhone più vecchio e meno sicuro con l'aiuto di una misteriosa terza parte.

I plugin contenenti codice nascosto dannoso per WordPress, Joomla, Drupal e altri sistemi di gestione dei contenuti rappresentano un problema continuo. Nel 2017, i ricercatori di sicurezza hanno scoperto una truffa SEO che ha colpito più di 300.000 siti web WordPress. La truffa era incentrata su un plugin WordPress CAPTCHA chiamato Simply WordPress. Una volta installato, Simply WordPress apriva una backdoor, consentendo l'accesso amministrativo ai siti web colpiti. Da lì, l'hacker responsabile ha inserito link nascosti al suo losco sito web di prestiti veloci (altri siti web che collegano al tuo sito è ottimo per la SEO).

Il 2017 è stato anche testimone del distruttivo ransomware NotPetya. L'apparente paziente zero in questo caso era un trojan backdoor camuffato da aggiornamento software per un'app di contabilità ucraina chiamata MeDoc. Interrogata, MeDoc ha negato di essere la fonte di NotPetya. La vera domanda è: perché qualcuno avrebbe scelto un'applicazione di contabilità ucraina, MeDoc, estremamente sospetta?

In una storia di cronaca del 2018 che sembra l'inizio di un thriller di serie B, Bloomberg Businessweek ha riportato che spie cinesi sponsorizzate dallo stato avevano infiltrato il produttore di server Supermicro. Le spie avrebbero installato chip spia con backdoor hardware su componenti server destinati a decine di aziende tecnologiche americane e organizzazioni governative degli Stati Uniti—soprattutto Amazon, Apple e la CIA.

Una volta installati in un data center, si diceva che i chip spia comunicassero con i server cinesi di command and control (C&C), dando agli operatori cinesi accesso illimitato ai dati sulla rete. Amazon, Apple e vari funzionari del governo degli Stati Uniti hanno tutti confutato le affermazioni fatte nell'articolo di Bloomberg. Supermicro, in loro difesa, ha definito l'articolo "praticamente impossibile", e nessun'altra organizzazione di notizie l'ha ripreso.

Infine, come esempio di una situazione in cui un'azienda desiderava avere una backdoor, l'exchange canadese di criptovaluta QuadrigaCX ha fatto notizia all'inizio del 2019 quando il fondatore dell'azienda è morto all'improvviso mentre era in vacanza in India, portando con sé la password per tutto. QuadrigaCX sostiene che tutti i 190 milioni di dollari in criptovaluta dei clienti siano irrimediabilmente bloccati in "cold storage", dove resteranno per decenni e alla fine varranno una marea di dollari—o niente, a seconda di come andrà la criptovaluta.

Come posso proteggermi dai backdoor?

Buone e cattive notizie. La cattiva notizia è che è difficile identificare e proteggersi dai backdoor incorporati. Più spesso che no, i produttori non sanno nemmeno che il backdoor è lì. La buona notizia è che ci sono cose che puoi fare per proteggerti dagli altri tipi di backdoor.

Cambia le password predefinite. Le persone laboriose nel dipartimento IT della tua azienda non avrebbero mai voluto che la tua password effettiva fosse "ospite" o "12345". Se lasci quella password predefinita, hai inconsapevolmente creato una backdoor. Cambiala il prima possibile e abilita l'autenticazione multi-fattore (MFA) mentre ci sei. Sì, tenere traccia di una password unica per ogni applicazione può essere scoraggiante. Un report sulla privacy dei dati di Malwarebytes Labs ha trovato che il 29 percento degli intervistati utilizzava la stessa password su numerose app e dispositivi. Non male, ma c'è ancora margine di miglioramento.

Monitora l'attività della rete. Qualsiasi strana impennata di dati potrebbe significare che qualcuno sta usando una backdoor sul tuo sistema. Per fermare questo, usa firewall per monitorare l'attività in entrata e in uscita dalle varie applicazioni installate sul tuo computer.

Scegli con attenzione applicazioni e plugin. Come abbiamo trattato, i criminali informatici amano nascondere backdoor all'interno di app gratuite e plugin apparentemente innocui. La migliore difesa qui è assicurarsi che le app e i plugin che scegli provengano da una fonte affidabile.

Gli utenti di Android e Chromebook dovrebbero rimanere con le app del Google Play Store, mentre gli utenti Mac e iOS dovrebbero attenersi all'App Store di Apple. Suggerimento tecnologico bonus correlato—quando una nuova app installata chiede il permesso di accedere a dati o funzioni sul tuo dispositivo, pensa due volte. Le app sospette sono conosciute per essere in grado di superare i processi di verifica delle app di Google e Apple.

Riferendosi di nuovo allo studio sulla privacy dei dati, la maggior parte degli intervistati ha fatto bene nel monitorare le autorizzazioni delle app, ma il 26 percento ha detto, "Non lo so." Prenditi un po' di tempo, magari adesso, per rivedere le autorizzazioni delle app sui tuoi dispositivi (Malwarebytes per Android lo farà per te). Per quanto riguarda i plugin WordPress e simili. Controlla le valutazioni degli utenti e le recensioni ed evita di installare qualsiasi cosa con un punteggio inferiore a "stellare".

Usa una buona soluzione di cybersecurity. Qualsiasi buona soluzione anti-malware dovrebbe essere in grado di impedire ai criminali informatici di distribuire i Trojan e i rootkit usati per aprire quelle fastidiose backdoor. Malwarebytes, ad esempio, ha soluzioni di cybersecurity per Windows, Mac e Chromebook. Per non parlare di Malwarebytes per Android e Malwarebytes per iOS, così puoi stare protetto su tutti i tuoi dispositivi. Utenti aziendali—abbiamo pensato anche a voi. Scoprite tutte le soluzioni aziendali Malwarebytes.

E se il tuo interesse per i backdoor va oltre quello che hai letto qui, assicurati di leggere e iscriverti al blog dei Labs di Malwarebytes. Lì troverai tutte le ultime notizie sui backdoor e tutto ciò che conta nel mondo della cybersecurity.