Attacchi informatici backdoor

Per backdoor si intende qualsiasi metodo con cui gli utenti autorizzati e non autorizzati sono in grado di aggirare le normali misure di sicurezza e ottenere un accesso utente di alto livello (alias accesso root) su un sistema informatico, una rete o un'applicazione software.

DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per il Business

Cos'è un backdoor?

Immagina di essere un ladro che sta studiando una casa da svaligiare. Vedi un cartello di sicurezza nel giardino anteriore e una videocamera Ring alla porta. Da abile ladro quale sei, salti la recinzione che conduce sul retro della casa. Vedi una porta sul retro, incroci le dita e provi la maniglia—è aperta. Per un osservatore casuale, non ci sono segni esterni di furto. In realtà, potresti svaligiare la casa di nuovo attraverso la stessa porta, purché non metti tutto a soqquadro.

I backdoor informatici funzionano in modo simile.

Nel mondo della cybersecurity, un backdoor è qualsiasi metodo tramite il quale utenti autorizzati e non possono aggirare le normali misure di sicurezza e ottenere un accesso a livello avanzato (aka root access) su un sistema informatico, rete o applicazione software. Una volta dentro, i cybercriminali possono usare un backdoor per rubare dati personali e finanziari, installare malware aggiuntivi e prendere possesso dei dispositivi.

Ma i backdoor non sono solo per i cattivi. Anche i produttori di software o hardware possono installare backdoor come mezzo deliberato per accedere alla loro tecnologia a posteriori. I backdoor di tipo non criminale sono utili per aiutare i clienti che sono irrimediabilmente bloccati fuori dai loro dispositivi o per risolvere problemi software.

A differenza di altre minacce informatiche che si fanno conoscere all'utente (come il ransomware), i backdoor sono noti per essere discreti. Esistono per un gruppo selezionato di persone che sono a conoscenza per accedere facilmente a un sistema o applicazione.

Come minaccia, i backdoor non scompariranno presto. Secondo il report State of Malware di Malwarebytes Labs, i backdoor sono stati la quarta minaccia più comune rilevata nel 2018 sia per i consumatori che per le aziende—aumenti rispettivi del 34 e del 173 percento rispetto all'anno precedente.

Se sei preoccupato per i backdoor, hai sentito parlarne nelle notizie e vuoi sapere di cosa si tratta, o hai un backdoor sul tuo computer e devi eliminarlo subito, sei nel posto giusto. Continua a leggere e preparati a scoprire tutto quello che c'è da sapere sui backdoor.

"Un backdoor si riferisce a qualsiasi metodo tramite il quale utenti autorizzati e non possono aggirare le normali misure di sicurezza e ottenere un accesso a livello avanzato (aka root access) su un sistema informatico, rete o applicazione software."

Notizie sui backdoor

Come funzionano i backdoor?

Iniziamo verificando come i backdoor finiscono sul tuo computer. Questo può avvenire in diversi modi. O come risultato di malware o per una decisione intenzionale di produzione (hardware o software).

Il malware backdoor è generalmente classificato come un Trojan. Un Trojan è un programma informatico dannoso che finge di essere qualcosa che non è per portare malware, rubare dati o aprire un backdoor sul tuo sistema. Proprio come il cavallo di Troia della letteratura greca antica, i Trojan informatici contengono sempre una sorpresa spiacevole.

I Trojan sono uno strumento incredibilmente versatile nel kit degli strumenti dei criminali informatici. Si presentano sotto molte spoglie, come un allegato e-mail o un file da scaricare, e consegnano un numero qualsiasi di minacce malware.

Per aggravare il problema, i Trojan a volte mostrano un'abilità simile a un worm, replicandosi e diffondendosi ad altri sistemi senza comandi aggiuntivi da parte dei criminali informatici che li hanno creati. Prendiamo, ad esempio, il Trojan bancario Emotet. Emotet ha iniziato nel 2014 come ladro di informazioni, diffondendosi attraverso i dispositivi e rubando dati finanziari sensibili. Da allora Emotet è evoluto in un veicolo di consegna per altre forme di malware. Emotet ha contribuito a rendere il Trojan la principale minaccia rilevata nel 2018, secondo il rapporto State of Malware.

In un esempio di malware backdoor, i criminali informatici hanno nascosto malware all'interno di un convertitore di file gratuito. Nessuna sorpresa—non convertiva nulla. In effetti, il download era progettato esclusivamente per aprire una backdoor sul sistema target. In un altro esempio, i criminali informatici hanno nascosto malware backdoor all'interno di uno strumento usato per piratare applicazioni software Adobe (sia un'lezione sulla pirateria software). E in un ultimo esempio, una app di ticker di criptovaluta apparentemente legittima chiamata CoinTicker ha funzionato come pubblicizzato, mostrando informazioni su varie forme di criptovaluta e mercati, ma ha anche aperto una backdoor.

Una volta che i criminali informatici hanno un punto d'appoggio, potrebbero utilizzare quello che è noto come un rootkit. Un rootkit è un pacchetto di malware progettato per evitare il rilevamento e nascondere l'attività Internet (a te e al tuo sistema operativo). I rootkit forniscono agli aggressori un accesso continuo ai sistemi infetti. In sostanza, il rootkit è il fermaporta che mantiene aperto il backdoor.

"I backdoor erano la quarta minaccia più comune rilevata nel 2018 sia per i consumatori che per le aziende, con incrementi rispettivi del 34 e 173 percento rispetto all'anno precedente."

I backdoor integrati o proprietari sono inseriti dai produttori di hardware e software stessi. A differenza del malware backdoor, i backdoor integrati non sono necessariamente pensati con intenti criminali. Più spesso, i backdoor integrati esistono come artefatti del processo di creazione del software.

Gli sviluppatori di software creano questi account backdoor per muoversi rapidamente tra le applicazioni mentre vengono codificate, testarle e risolvere bug software (cioè errori) senza dover creare un account "reale". Questi backdoor non dovrebbero essere presenti nel software finale rilasciato al pubblico, ma a volte lo sono. Non è la fine del mondo, ma c'è sempre la possibilità che un backdoor proprietario finisca nelle mani dei criminali informatici.

Sebbene la maggior parte dei backdoor integrati che conosciamo rientri nella prima categoria (cioè nella categoria "oops, non intendevamo metterlo lì"), i membri del patto di condivisione delle informazioni Five Eyes (USA, UK, Canada, Australia e Nuova Zelanda) hanno chiesto ad Apple, Facebook e Google di installare backdoor nella loro tecnologia per aiutare nella raccolta delle prove durante le indagini criminali. Sebbene tutte e tre le aziende abbiano rifiutato, tutte e tre forniscano dati downstream nella misura richiesta dalla legge.

Le nazioni dei Five Eyes hanno sottolineato che questi backdoor sono nell'interesse della sicurezza globale, ma c'è molto potenziale di abuso. CBS News ha scoperto che dozzine di poliziotti in tutto il paese hanno utilizzato i database criminali disponibili per aiutare se stessi e i loro amici a molestare i loro ex, infastidire le donne e molestare i giornalisti che si sono opposti alle loro molestie e infastidimenti.

Detto ciò, cosa succederebbe se le agenzie governative decidessero di non accettare un no come risposta?

Questo ci porta ai backdoor della catena di approvvigionamento. Come suggerisce il nome, un backdoor della catena di approvvigionamento viene inserito di nascosto nel software o hardware in qualche punto della catena di approvvigionamento. Questo potrebbe accadere mentre le materie prime vengono spedite dal fornitore al produttore o quando il prodotto finito si dirige dal produttore al consumatore.

Ad esempio, un'agenzia governativa potrebbe intercettare router completati, server e materiale di rete vario sulla strada verso un cliente, quindi installare un backdoor nel firmware. E, a proposito, la National Security Agency (NSA) degli Stati Uniti l'ha effettivamente fatto, come rivelato nelle rivelazioni sulla sorveglianza globale di Edward Snowden nel 2013.

Infiltrazioni della catena di approvvigionamento potrebbero avvenire anche nel software. Prendiamo ad esempio il codice open source. Le librerie di codice open source sono repository gratuiti di codice, applicazioni e strumenti di sviluppo in cui qualsiasi organizzazione può attingere invece di codificare tutto da zero. Sembra fantastico, vero? Tutti lavorano insieme per il bene comune, condividendo i frutti del loro lavoro gli uni con gli altri. Per la maggior parte, è davvero fantastico. Qualsiasi contributo al codice sorgente è sottoposto a scrutinio, ma ci sono stati casi in cui codice malevolo è arrivato all'utente finale.

A tal proposito, nel luglio del 2018 è stato trovato malware di criptomining all'interno di un'app (o "snap," come la chiamano nel mondo di Linux) per Ubuntu e altri sistemi operativi basati su Linux. Canonical, gli sviluppatori di Ubuntu, hanno ammesso: "È impossibile per un repository su larga scala accettare solo software dopo che ogni file è stato revisionato nel dettaglio."

I backdoor e gli exploit sono la stessa cosa?

Malwarebytes Labs definisce gli exploit come "vulnerabilità conosciute nei software che possono essere sfruttate per ottenere un certo livello di controllo sui sistemi che eseguono il software interessato." E sappiamo che un backdoor funziona come un ingresso segreto nel tuo computer. Quindi i backdoor e gli exploit sono la stessa cosa?

Sebbene all'apparenza backdoor ed exploit sembrino simili, non sono la stessa cosa.

Gli exploit sono vulnerabilità software accidentali usate per accedere al computer e, potenzialmente, distribuire malware. In altre parole, gli exploit sono solo bug software che i ricercatori o i criminali informatici hanno trovato un modo di sfruttare. I backdoor, invece, sono deliberatamente inseriti dai produttori o dai criminali informatici per entrare e uscire da un sistema a piacere.

"Gli exploit sono vulnerabilità software accidentali usate per accedere al computer e, potenzialmente, distribuire malware... I backdoor, invece, sono deliberatamente inseriti dai produttori o dai cybercriminali per entrare e uscire da un sistema a piacere."

Cosa possono fare gli hacker con un backdoor?

Gli hacker possono usare un backdoor per installare ogni sorta di malware sul tuo computer.

  • Spyware è un tipo di malware che, una volta distribuito sul tuo sistema, raccoglie informazioni su di te, i siti che visiti su Internet, le cose che scarichi, i file che apri, nomi utente, password e qualsiasi altra cosa di valore. Una forma inferiore di spyware chiamata keyloggers traccia specificamente ogni tasto e click che fai. Le aziende possono utilizzare spyware/keyloggers come mezzo legittimo e legale per monitorare i dipendenti al lavoro.
  • Il ransomware è un tipo di malware progettato per crittografare i tuoi file e bloccare il tuo computer. Per recuperare quelle foto preziose, documenti, ecc. (o qualsiasi tipo di file che gli attaccanti scelgono di prendere di mira) devi pagare gli attaccanti tramite qualche forma di criptovaluta, solitamente Bitcoin.
  • Usa il tuo computer in un attacco DDoS. Utilizzando il backdoor per ottenere l'accesso super utente sul tuo sistema, i cybercriminali possono prendere il controllo del tuo computer da remoto, arruolandolo in una rete di computer hackerati, nota come botnet. Con questa botnet di computer zombie, i criminali possono poi sopraffare un sito web o una rete con traffico dalla botnet in quello che è conosciuto come attacco denial of service distribuito (DDoS). L'inondazione di traffico impedisce al sito web o alla rete di rispondere a richieste legittime, togliendo di fatto il sito dal servizio.
  • Il malware di cryptojacking è progettato per usare le risorse del tuo sistema per minare criptovaluta. In breve, ogni volta che qualcuno scambia criptovaluta, la transazione viene registrata su un libro mastro virtuale crittografato noto come blockchain. Il cryptomining è il processo di convalida di queste transazioni online in cambio di più criptovaluta e richiede una quantità enorme di potenza computazionale. Invece di acquistare l'hardware costoso richiesto per il cryptomining, i criminali hanno scoperto che possono semplicemente arruolare computer hackerati in una botnet che funziona allo stesso modo delle costose farm di cryptomining.

Qual è la storia dei backdoor?

Ecco uno sguardo ad alcuni dei backdoor più (in)famigerati, sia reali che fittizi, sin dall'alba dei computer.

Si potrebbe sostenere che i backdoor sono entrati nella coscienza pubblica nel film di fantascienza del 1983 WarGames, con Matthew Broderick (in quella che sembra una prova per Ferris Bueller). Broderick, nel ruolo dell'adolescente hacker dispettoso David Lightman, usa un backdoor integrato per accedere a un supercomputer militare progettato per eseguire simulazioni di guerra nucleare. All'insaputa di Lightman, il computer schizofrenico non riesce a distinguere la realtà dalla simulazione. E inoltre, un genio ha deciso di dare al computer l'accesso all'intero arsenale nucleare degli Stati Uniti. Ne derivano esilaranti complicazioni mentre il computer minaccia di far saltare in aria l'intero mondo.

Nel 1993, la NSA sviluppò un chip di crittografia con un backdoor integrato da utilizzare su computer e telefoni. Supponendo che, il chip avrebbe mantenuto le comunicazioni sensibili sicure consentendo alle forze dell'ordine e alle agenzie governative di decrittare e ascoltare le trasmissioni vocali e dati quando necessario. I backdoor hardware hanno grandi vantaggi rispetto a quelli software. Vale a dire, sono più difficili da rimuovere—bisogna rimuovere l'hardware o riflashare il firmware per farlo. Tuttavia, il chip fu abbandonato a causa di preoccupazioni sulla privacy prima di vedere qualsiasi tipo di adozione.

Nel 2005 Sony BMG entrò nel business dei backdoor quando distribuì milioni di CD musicali con un rootkit di protezione dalla copia dannoso. Mentre te ne stavi inconsapevolmente a ballare con l'ultima edizione di Now That's What I Call Music!, il tuo CD includeva un rootkit, che si installava automaticamente una volta inserito nel computer.

Progettato per monitorare le tue abitudini di ascolto, il rootkit Sony BMG impediva anche di masterizzare CD e lasciava una vulnerabilità aperta nel tuo computer che i criminali informatici potevano sfruttare. Sony BMG pagò milioni per risolvere cause legali legate al rootkit e ritirò ancora più milioni di CD.

Nel 2014 diversi router Netgear e Linksys furono trovati con backdoor integrati. SerComm, il produttore terzo che assemblò i router, negò aver inserito intenzionalmente i backdoor nel proprio hardware. Ma quando la patch rilasciata da SerComm finì per nascondere il backdoor invece di risolverlo, fu chiaro che l'azienda stava tramando qualcosa di poco chiaro. Resta poco chiaro esattamente cosa cercasse di ottenere SerComm con il backdoor.

Quello stesso anno, gli sviluppatori di software che lavoravano su un derivato del sistema operativo Android di Google (chiamato Replicant) scoprirono un backdoor nei dispositivi mobili Samsung, inclusa la serie Galaxy di Samsung. Il backdoor avrebbe presumibilmente permesso a Samsung o a chiunque ne fosse a conoscenza di accedere da remoto a tutti i file memorizzati sui dispositivi coinvolti. In risposta alla scoperta, Samsung definì il backdoor una "funzionalità" che non rappresentava "alcun rischio per la sicurezza."

L'altro famoso produttore di telefoni, Apple, si rifiuta di includere backdoor nei suoi prodotti, nonostante ripetute richieste dell'FBI e del Dipartimento di Giustizia degli Stati Uniti. La pressione è aumentata dopo gli attacchi terroristici di San Bernardino del 2015, in cui l'FBI ha recuperato un iPhone appartenente a uno degli attentatori. Invece di compromettere la sicurezza dei loro dispositivi iOS, Apple ha raddoppiato l'attenzione sulla privacy e ha reso i suoi iPhone e iPad ancora più difficili da violare. L'FBI ha infine ritirato la richiesta quando è riuscito a hackerare l'iPhone più vecchio e meno sicuro con l'aiuto di una misteriosa terza parte.

I plugin contenenti codice nascosto dannoso per WordPress, Joomla, Drupal e altri sistemi di gestione dei contenuti rappresentano un problema continuo. Nel 2017, i ricercatori di sicurezza hanno scoperto una truffa SEO che ha colpito più di 300.000 siti web WordPress. La truffa era incentrata su un plugin WordPress CAPTCHA chiamato Simply WordPress. Una volta installato, Simply WordPress apriva una backdoor, consentendo l'accesso amministrativo ai siti web colpiti. Da lì, l'hacker responsabile ha inserito link nascosti al suo losco sito web di prestiti veloci (altri siti web che collegano al tuo sito è ottimo per la SEO).

Il 2017 ha anche assistito al distruttivo ransomware NotPetya. Il presunto paziente zero in questo caso era un Trojan backdoor mascherato da aggiornamento software per un'app di contabilità ucraina chiamata MeDoc. Quando interrogati, MeDoc ha negato di essere la fonte di NotPetya. La vera domanda—perché qualcuno sceglierebbe un'app di contabilità ucraina ampiamente sospetta chiamata MeDoc?

In una storia di cronaca del 2018 che sembra l'inizio di un thriller di serie B, Bloomberg Businessweek ha riportato che spie cinesi sponsorizzate dallo stato avevano infiltrato il produttore di server Supermicro. Le spie avrebbero installato chip spia con backdoor hardware su componenti server destinati a decine di aziende tecnologiche americane e organizzazioni governative degli Stati Uniti—soprattutto Amazon, Apple e la CIA.

Una volta installati in un data center, si diceva che i chip spia comunicassero con i server cinesi di command and control (C&C), dando agli operatori cinesi accesso illimitato ai dati sulla rete. Amazon, Apple e vari funzionari del governo degli Stati Uniti hanno tutti confutato le affermazioni fatte nell'articolo di Bloomberg. Supermicro, in loro difesa, ha definito l'articolo "praticamente impossibile", e nessun'altra organizzazione di notizie l'ha ripreso.

Infine, come esempio di una situazione in cui un'azienda desiderava avere una backdoor, l'exchange canadese di criptovaluta QuadrigaCX ha fatto notizia all'inizio del 2019 quando il fondatore dell'azienda è morto all'improvviso mentre era in vacanza in India, portando con sé la password per tutto. QuadrigaCX sostiene che tutti i 190 milioni di dollari in criptovaluta dei clienti siano irrimediabilmente bloccati in "cold storage", dove resteranno per decenni e alla fine varranno una marea di dollari—o niente, a seconda di come andrà la criptovaluta.

Come posso proteggermi dai backdoor?

Buone e cattive notizie. La cattiva notizia è che è difficile identificare e proteggersi dai backdoor incorporati. Più spesso che no, i produttori non sanno nemmeno che il backdoor è lì. La buona notizia è che ci sono cose che puoi fare per proteggerti dagli altri tipi di backdoor.

Cambia le password predefinite. Le persone laboriose nel dipartimento IT della tua azienda non avrebbero mai voluto che la tua password effettiva fosse "ospite" o "12345". Se lasci quella password predefinita, hai inconsapevolmente creato una backdoor. Cambiala il prima possibile e abilita l'autenticazione multi-fattore (MFA) mentre ci sei. Sì, tenere traccia di una password unica per ogni applicazione può essere scoraggiante. Un report sulla privacy dei dati di Malwarebytes Labs ha trovato che il 29 percento degli intervistati utilizzava la stessa password su numerose app e dispositivi. Non male, ma c'è ancora margine di miglioramento.

Monitora l'attività della rete. Qualsiasi strana impennata di dati potrebbe significare che qualcuno sta usando una backdoor sul tuo sistema. Per fermare questo, usa firewall per monitorare l'attività in entrata e in uscita dalle varie applicazioni installate sul tuo computer.

Scegli con attenzione applicazioni e plugin. Come abbiamo trattato, i criminali informatici amano nascondere backdoor all'interno di app gratuite e plugin apparentemente innocui. La migliore difesa qui è assicurarsi che le app e i plugin che scegli provengano da una fonte affidabile.

Gli utenti di Android e Chromebook dovrebbero rimanere con le app del Google Play Store, mentre gli utenti Mac e iOS dovrebbero attenersi all'App Store di Apple. Suggerimento tecnologico bonus correlato—quando una nuova app installata chiede il permesso di accedere a dati o funzioni sul tuo dispositivo, pensa due volte. Le app sospette sono conosciute per essere in grado di superare i processi di verifica delle app di Google e Apple.

Riferendosi di nuovo allo studio sulla privacy dei dati, la maggior parte degli intervistati ha fatto bene nel monitorare le autorizzazioni delle app, ma il 26 percento ha detto, "Non lo so." Prenditi un po' di tempo, magari adesso, per rivedere le autorizzazioni delle app sui tuoi dispositivi (Malwarebytes per Android lo farà per te). Per quanto riguarda i plugin WordPress e simili. Controlla le valutazioni degli utenti e le recensioni ed evita di installare qualsiasi cosa con un punteggio inferiore a "stellare".

Usa una buona soluzione di cybersecurity. Qualsiasi buona soluzione anti-malware dovrebbe essere in grado di impedire ai criminali informatici di distribuire i Trojan e i rootkit usati per aprire quelle fastidiose backdoor. Malwarebytes, ad esempio, ha soluzioni di cybersecurity per Windows, Mac e Chromebook. Per non parlare di Malwarebytes per Android e Malwarebytes per iOS, così puoi stare protetto su tutti i tuoi dispositivi. Utenti aziendali—abbiamo pensato anche a voi. Scoprite tutte le soluzioni aziendali Malwarebytes.

E se il tuo interesse per i backdoor va oltre quello che hai letto qui, assicurati di leggere e iscriverti al blog dei Labs di Malwarebytes. Lì troverai tutte le ultime notizie sui backdoor e tutto ciò che conta nel mondo della cybersecurity.