Che cos'è una backdoor?
Immaginate di essere un ladro che sta controllando una casa per un potenziale furto. Vedete un cartello di sicurezza "Protetto da..." piantato nel prato anteriore e la telecamera del campanello Ring. Da furbo topo d'appartamento quale sei, salti la recinzione che porta al retro della casa. Vedete che c'è una porta sul retro, incrociate le dita e provate la maniglia: è aperta. Per un osservatore casuale, non ci sono segni esterni di effrazione. In effetti, non c'è motivo per cui non si possa svaligiare di nuovo la casa attraverso la stessa porta sul retro, sempre che non si metta a soqquadro la casa.
Le backdoor per computer funzionano più o meno allo stesso modo.
Nel mondo della sicurezza informatica, una backdoor si riferisce a qualsiasi metodo con cui gli utenti autorizzati e non autorizzati sono in grado di aggirare le normali misure di sicurezza e ottenere un accesso utente di alto livello (alias accesso root) su un sistema informatico, una rete o un'applicazione software. Una volta entrati, i criminali informatici possono utilizzare una backdoor per rubare dati personali e finanziari, installare ulteriore malware e dirottare i dispositivi.
Ma le backdoor non sono solo per i cattivi. Le backdoor possono anche essere installate dai produttori di software o hardware come mezzo deliberato per ottenere l'accesso alla loro tecnologia dopo il fatto. Le backdoor di tipo non criminale sono utili per aiutare i clienti che sono irrimediabilmente bloccati dai loro dispositivi o per la risoluzione di problemi software.
A differenza di altre minacce informatiche che si rendono note all'utente (si pensi ai ransomware), le backdoor sono note per essere discrete. Le backdoor esistono per consentire a un gruppo selezionato di persone esperte di accedere facilmente a un sistema o a un'applicazione.
Come minaccia, le backdoor non spariranno presto. Secondo ilrapporto Malwarebytes Labs State of Malware, le backdoor sono state il quarto rilevamento di minacce più comune nel 2018 sia per i consumatori che per le aziende, con aumenti rispettivamente del 34 e del 173% rispetto all'anno precedente.
Se siete preoccupati per le backdoor, se ne avete sentito parlare al telegiornale e volete sapere come stanno le cose, oppure se avete una backdoor sul vostro computer e dovete sbarazzarvene subito, siete nel posto giusto. Continuate a leggere e preparatevi a scoprire tutto quello che avete sempre voluto sapere sulle backdoor.
Notizie sulle backdoor
- Il vostro sito WordPress è stato backdoardato da uno skimmer?
- L'APT Kimsuky continua a prendere di mira il governo sudcoreano utilizzando la backdoor AppleSeed
- Gli attacchi a Microsoft Exchange gettano nel panico i criminali che fanno incetta di conchiglie
- Le backdoor nei server elastici espongono i dati privati
- Le backdoor sono una vulnerabilità per la sicurezza
- Mac Il malware combina la backdoor EmPyre e il miner XMRig
- Mac L'app ticker per criptovalute installa delle backdoor
- Trovato un altro dropper OSX.Dok che installa una nuova backdoor
Come funzionano le backdoor?
Cominciamo col capire come le backdoor finiscono sul vostro computer. Ciò può avvenire in due modi diversi. La backdoor è il risultato di un malware o di una decisione intenzionale del produttore (hardware o software).
Il malware backdoor è generalmente classificato come Trojan. Un trojan è un programma informatico dannoso che finge di essere qualcosa che non è allo scopo di fornire malware, rubare dati o aprire una backdoor nel sistema. Come il cavallo di Troia dell'antica letteratura greca, i Trojan per computer contengono sempre una brutta sorpresa.
I trojan sono uno strumento incredibilmente versatile all'interno del kit di strumenti dei criminali informatici. Si presentano sotto diverse forme, come un allegato di posta elettronica o un file download, e forniscono un gran numero di minacce malware.
Per aggravare il problema, i trojan a volte mostrano una capacità simile a quella di un worm di replicarsi e diffondersi in altri sistemi senza alcun comando aggiuntivo da parte dei criminali informatici che li hanno creati. Prendiamo ad esempio il Trojan bancario Emotet. Emotet è nato nel 2014 come ruba-informazioni, diffondendosi tra i dispositivi e rubando dati finanziari sensibili. Da allora Emotet si è evoluto in un veicolo di distribuzione per altre forme di malware. Emotet ha contribuito a rendere il trojan la principale minaccia rilevata per il 2018, secondo il rapporto State of Malware.
In un esempio di malware backdoor, i criminali informatici hanno nascosto il malware all'interno di un convertitore di file gratuito. Non c'è da sorprendersi: non convertiva nulla. In realtà, il sito download è stato progettato esclusivamente per aprire una backdoor sul sistema di destinazione. In un altro esempio, i criminali informatici hanno nascosto un malware backdoor all'interno di uno strumento utilizzato per la pirateria delle applicazioni software Adobe (che sia una lezione sulla pirateria del software). E in un ultimo esempio, un'applicazione apparentemente legittima di ticker per criptovalute chiamata CoinTicker funzionava come pubblicizzato, mostrando informazioni su varie forme di criptovalute e mercati, ma apriva anche una backdoor.
Una volta che i criminali informatici hanno messo piede nella porta, potrebbero impiegare quello che è noto come un rootkit. Un rootkit è un pacchetto di malware progettato per evitare il rilevamento e nascondere l'attività Internet (all'utente e al sistema operativo). I rootkit forniscono agli aggressori un accesso continuo ai sistemi infetti. In sostanza, rootkit è il fermaporta che tiene aperta la backdoor.
Le backdoor integrate o proprietarie sono messe in atto dagli stessi produttori di hardware e software. A differenza delle backdoor malware, le backdoor integrate non sono necessariamente concepite con uno scopo criminale. Il più delle volte, le backdoor integrate esistono come artefatti del processo di creazione del software.
Gli sviluppatori di software creano questi account backdoor in modo da poter entrare e uscire rapidamente dalle applicazioni in fase di codifica, testare le applicazioni e correggere i bug del software (cioè gli errori) senza dover creare un account "reale". Queste backdoor non dovrebbero essere fornite con il software finale rilasciato al pubblico, ma a volte lo fanno. Non è la fine del mondo, ma c'è sempre la possibilità che una backdoor proprietaria cada nelle mani dei criminali informatici.
Sebbene la maggior parte delle backdoor integrate di cui siamo a conoscenza rientri nella prima categoria (vale a dire quella del "whoops, non volevamo metterla lì"), i membri del patto di condivisione dell'intelligence Five Eyes (Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda) hanno chiesto ad Apple, Facebook e Google di installare backdoor nella loro tecnologia per favorire la raccolta di prove durante le indagini penali. Sebbene le tre aziende abbiano rifiutato, tutte e tre forniscono dati a valle nella misura richiesta dalla legge.
Le nazioni Five Eyes hanno sottolineato che queste backdoor sono nell'interesse della sicurezza globale, ma c'è un grande potenziale di abuso. La CBS News ha scoperto che decine di agenti di polizia in tutto il Paese hanno usato i database criminali attualmente disponibili per aiutare se stessi e i loro amici a molestare le loro ex, a insinuarsi nelle donne e a molestare i giornalisti che si sono indignati per le loro molestie e insinuazioni.
Detto questo, cosa succederebbe se le agenzie governative decidessero di non accettare un no come risposta?
Questo ci porta alla backdoor della catena di fornitura. Come suggerisce il nome, una backdoor della catena di fornitura viene inserita in modo surrettizio nel software o nell'hardware a un certo punto della catena di fornitura. Ciò può accadere quando le materie prime vengono spedite dal fornitore al produttore o quando il prodotto finito passa dal produttore al consumatore.
Ad esempio, un'agenzia governativa potrebbe intercettare router, server e apparecchiature di rete varie già completate e in viaggio verso un cliente, per poi installare una backdoor nel firmware. E, a proposito, la National Security Agency (NSA) degli Stati Uniti lo ha fatto davvero, come rivelato dalle rivelazioni di Edward Snowden sulla sorveglianza globale nel 2013.
Le infiltrazioni nella catena di approvvigionamento potrebbero avvenire anche nel software. Prendiamo ad esempio il codice open source. Le librerie di codice open source sono depositi gratuiti di codice, applicazioni e strumenti di sviluppo a cui ogni organizzazione può attingere invece di codificare tutto da zero. Sembra fantastico, vero? Tutti lavorano insieme per il bene comune, condividendo i frutti del proprio lavoro. Per la maggior parte, è fantastico. Ogni contributo al codice sorgente è soggetto a controllo, ma ci sono stati casi in cui codice dannoso è arrivato all'utente finale.
A questo proposito, nel luglio 2018 è stato trovato un malware di cryptomining all'interno di un'applicazione (o "snap", come lo chiamano nel mondo di Linux) per Ubuntu e altri sistemi operativi basati su Linux. Canonical, gli sviluppatori di Ubuntu, ha ammesso: "È impossibile per un repository su larga scala accettare software solo dopo che ogni singolo file è stato esaminato in dettaglio".
Backdoor ed exploit sono la stessa cosa?
Malwarebytes Labs La definizione di exploit è "vulnerabilità note nel software che possono essere sfruttate per ottenere un certo livello di controllo sui sistemi che eseguono il software in questione". E sappiamo che una backdoor funziona come un'entrata segreta nel computer. Ma backdoor ed exploit sono la stessa cosa?
Anche se a prima vista backdoor ed exploit sembrano molto simili, non sono la stessa cosa.
Gli exploit sono vulnerabilità accidentali del software utilizzate per accedere al computer e, potenzialmente, distribuire una sorta di malware. In altre parole, gli exploit sono solo bug del software che i ricercatori o i criminali informatici hanno trovato il modo di sfruttare. Le backdoor, invece, sono deliberatamente messe in atto da produttori o criminali informatici per entrare e uscire da un sistema a piacimento.
Cosa possono fare gli hacker con una backdoor?
Gli hacker possono utilizzare una backdoor per installare ogni sorta di malware sul vostro computer.
- Lo spyware è un tipo di malware che, una volta installato sul vostro sistema, raccoglie informazioni su di voi, sui siti che visitate su Internet, sulle cose che aprite download, sui file che aprite, sui nomi utente, sulle password e su qualsiasi altra cosa di valore. Una forma minore di spyware, chiamata keylogger, traccia in modo specifico ogni battitura e clic dell'utente. Le aziende possono utilizzare spyware/keylogger come mezzo legittimo e legale per monitorare i dipendenti al lavoro.
- Il ransomware è un tipo di malware progettato per criptare i file e bloccare il computer. Per riavere le vostre preziose foto, i vostri documenti e così via (o qualsiasi altro tipo di file scelto dagli aggressori) dovrete pagare gli aggressori tramite una qualche forma di criptovaluta, solitamente Bitcoin.
- Utilizzare il computer in un attacco DDoS. Utilizzando la backdoor per ottenere l'accesso come superutente al vostro sistema, i criminali informatici possono prendere il comando del vostro computer da remoto, inserendolo in una rete di computer violati, detta botnet. Con questa botnet di computer zombie, i criminali possono poi sommergere un sito web o una rete con il traffico proveniente dalla botnet in quello che è noto come attacco DDoS (Distributed Denial of Service). L'ondata di traffico impedisce al sito web o alla rete di rispondere alle richieste legittime, mettendo di fatto il sito fuori servizio.
- Il malware Cryptojacking è progettato per utilizzare le risorse del sistema per estrarre criptovalute. In breve, ogni volta che qualcuno scambia criptovalute, la transazione viene registrata su un registro virtuale crittografato noto come blockchain. Il cryptomining è il processo di convalida di queste transazioni online in cambio di altre criptovalute e richiede un'enorme quantità di potenza di calcolo. Invece di acquistare il costoso hardware necessario per il cryptomining, i criminali hanno scoperto che possono semplicemente arruolare computer violati in una botnet che funziona come le costose farm di cryptomining.
Qual è la storia delle backdoor?
Ecco una carrellata di alcune delle backdoor più (in)famose, sia reali che immaginarie, dagli albori dei computer.
Si potrebbe sostenere che le backdoor siano entrate nella coscienza del pubblico con il film di fantascienza del 1983 Giochi di guerracon Matthew Broderick (in quella che sembra una prova per Ferris Bueller). Broderick, nei panni dell'hacker adolescente David Lightman, utilizza una backdoor integrata per accedere a un supercomputer militare progettato per eseguire simulazioni di guerra nucleare. All'insaputa di Lightman, il computer schizofrenico non riesce a distinguere la realtà dalla simulazione. Inoltre, qualche genio ha deciso di dare al computer l'accesso all'intero arsenale nucleare degli Stati Uniti. L'ilarità si scatena quando il computer minaccia di far saltare in aria il mondo intero.
Nel 1993 l'NSA ha sviluppato un chip di crittografia con una backdoor incorporata da utilizzare nei computer e nei telefoni. Si supponeva che il chip avrebbe mantenuto al sicuro le comunicazioni sensibili, consentendo al contempo alle forze dell'ordine e alle agenzie governative di decifrare e ascoltare le trasmissioni vocali e di dati in caso di necessità. Le backdoor hardware hanno grandi vantaggi rispetto a quelle software. In particolare, sono più difficili da rimuovere: bisogna strappare l'hardware o riflashare il firmware per farlo. Il chip, tuttavia, è deragliato per problemi di privacy prima di essere adottato.
Nel 2005 Sony BMG è entrata nel business delle backdoor quando ha spedito milioni di CD musicali con una dannosa protezione anticopia rootkit. Non sapevate che, mentre ascoltavate l'ultima edizione di Now That's What I Call Music, il vostro CD conteneva un rootkit che si sarebbe installato automaticamente una volta inserito nel vostro computer.
Progettato per monitorare le abitudini di ascolto, il Sony BMG rootkit impediva anche di masterizzare i CD e lasciava una vulnerabilità nel computer che poteva essere sfruttata dai criminali informatici. Sony BMG ha sborsato milioni di euro per risolvere le cause legali relative a rootkit e ha richiamato altri milioni di CD.
Nel 2014 è stato scoperto che diversi router Netgear e Linksys erano dotati di backdoor integrate. SerComm, il produttore di terze parti che ha assemblato i router, ha negato di aver inserito di proposito le backdoor nel proprio hardware. Ma quando la patch rilasciata da SerComm ha finito per nascondere la backdoor invece di risolverla, è diventato chiaro che l'azienda non stava tramando nulla di buono. Non è ancora chiaro cosa SerComm stesse cercando di fare con la backdoor.
Nello stesso anno, gli sviluppatori di software che lavoravano su uno spinoff del sistema operativo Android di Google (chiamato Replicant) hanno scoperto una backdoor nei dispositivi mobili Samsung, tra cui i telefoni della serie Galaxy di Samsung. La backdoor avrebbe consentito a Samsung o a chiunque ne fosse a conoscenza di accedere da remoto a tutti i file memorizzati sui dispositivi interessati. In risposta alla scoperta, Samsung ha definito la backdoor una "funzione" che non comporta "alcun rischio per la sicurezza".
L'altro famoso produttore di telefoni, Apple, si rifiuta di includere backdoor nei suoi prodotti, nonostante le ripetute richieste dell'FBI e del Dipartimento di Giustizia degli Stati Uniti. Le pressioni sono aumentate in seguito agli attacchi terroristici di San Bernardino del 2015, durante i quali l'FBI ha recuperato un iPhone di uno degli attentatori. Invece di compromettere la sicurezza dei suoi dispositivi iOS , Apple ha raddoppiato la sua posizione sulla privacy e ha reso i suoi iPhone e iPad ancora più difficili da decifrare. L'FBI ha infine ritirato la richiesta quando è riuscita a violare l'iPhone più vecchio e meno sicuro con l'aiuto di una misteriosa terza parte.
I plugin contenenti codice nascosto dannoso per WordPress, Joomla, Drupal e altri sistemi di gestione dei contenuti sono un problema continuo. Nel 2017 i ricercatori di sicurezza hanno scoperto una truffa SEO che ha colpito più di 300.000 siti web WordPress. La truffa era incentrata su un plugin WordPress CAPTCHA chiamato Simply WordPress. Una volta installato, Simply WordPress apriva una backdoor, consentendo l'accesso dell'amministratore ai siti web colpiti. Da lì, l'hacker responsabile ha incorporato link nascosti al suo sito web di prestiti a pagamento (altri siti web che rimandano al vostro sito web sono ottimi per la SEO).
Il 2017 è stato anche testimone del distruttivo ransomware NotPetya. L'apparente paziente zero in questo caso era un trojan backdoor camuffato da aggiornamento software per un'app di contabilità ucraina chiamata MeDoc. Interrogata, MeDoc ha negato di essere la fonte di NotPetya. La vera domanda è: perché qualcuno avrebbe scelto un'applicazione di contabilità ucraina, MeDoc, estremamente sospetta?
In una notizia del 2018 che sembra la trama di un film thriller di serie B, Bloomberg Businessweek ha riportato che spie cinesi sponsorizzate dallo Stato si sono infiltrate nel produttore di server Supermicro. Le spie avrebbero installato chip spia con backdoor hardware su componenti di server destinati a decine di aziende tecnologiche americane e organizzazioni governative statunitensi, in particolare Amazon, Apple e la CIA.
Una volta installati in un data center, i chip spia avrebbero comunicato con i server di comando e controllo (C&C) cinesi, consentendo agli agenti cinesi di accedere senza limiti ai dati della rete. Amazon, Apple e vari funzionari governativi statunitensi hanno tutti smentito le affermazioni contenute nella notizia di Bloomberg. Supermicro, in sua difesa, ha definito la storia "virtualmente impossibile" e nessun'altra organizzazione giornalistica l'ha ripresa.
Infine, come esempio di una situazione in cui un'azienda vorrebbe avere una backdoor, lo scambio di criptovalute canadese QuadrigaCX ha fatto notizia all'inizio del 2019 quando il fondatore dell'azienda è morto improvvisamente mentre era in vacanza in India, portando con sé la password di tutto. QuadrigaCX sostiene che tutti i 190 milioni di dollari di criptovalute detenuti dai clienti sono irrimediabilmente bloccati in una "cella frigorifera", dove rimarranno per decenni e alla fine varranno miliardi di dollari - o niente, a seconda dell'andamento delle criptovalute.
Come posso proteggermi dalle backdoor?
Una notizia buona e una cattiva. La cattiva notizia è che è difficile identificare e proteggersi dalle backdoor integrate. Il più delle volte, i produttori non sanno nemmeno che la backdoor è presente. La buona notizia è che ci sono cose che si possono fare per proteggersi dagli altri tipi di backdoor.
Cambiate le password predefinite. Le persone che lavorano duramente nel reparto IT della vostra azienda non hanno mai voluto che la vostra password fosse "ospite" o "12345". Se lasciate la password predefinita, avete involontariamente creato una backdoor. Cambiatela al più presto e, già che ci siete, attivate l'autenticazione a più fattori (MFA). Certo, tenere traccia di una password unica per ogni applicazione può essere scoraggiante. Unrapporto di Malwarebytes Labs sulla privacy dei dati ha rilevato che il 29% degli intervistati utilizza la stessa password per numerose applicazioni e dispositivi. Non male, ma c'è ancora spazio per migliorare.
Monitorate l'attività di rete. Qualsiasi strano picco di dati potrebbe significare che qualcuno sta utilizzando una backdoor sul vostro sistema. Per evitare che ciò accada, utilizzate i firewall per monitorare le attività in entrata e in uscita dalle varie applicazioni installate sul vostro computer.
Scegliete con cura le applicazioni e i plugin. Come abbiamo detto, i criminali informatici amano nascondere backdoor all'interno di applicazioni e plugin gratuiti apparentemente benigni. La migliore difesa è assicurarsi che le applicazioni e i plugin scelti provengano da una fonte affidabile.
Android e Chromebook dovrebbero utilizzare le applicazioni del Google Play Store, mentre gli utenti di Mac e iOS dovrebbero utilizzare l'App Store di Apple. Un consiglio tecnologico correlato: quando un'applicazione appena installata chiede il permesso di accedere ai dati o alle funzioni del vostro dispositivo, pensateci due volte. È noto che le app sospette riescono a superare i rispettivi processi di verifica di Google e Apple.
Facendo riferimento allo studio sulla privacy dei dati, la maggior parte degli intervistati si è comportata bene nel monitorare le autorizzazioni delle app, ma il 26% ha risposto "Non lo so". Prendetevi un po' di tempo, possibilmente proprio ora, per esaminare i permessi delle app sui vostri dispositivi (Malwarebytes per Android lo farà per voi). Per quanto riguarda i plugin di WordPress e simili. Controllate le valutazioni e le recensioni degli utenti ed evitate di installare qualsiasi cosa che abbia un punteggio non proprio stellare.
Utilizzate una buona soluzione di sicurezza informatica. Qualsiasi buona soluzione anti-malware dovrebbe essere in grado di impedire ai criminali informatici di distribuire i trojan e i rootkit utilizzati per aprire quelle fastidiose backdoor. Malwarebytes, ad esempio, dispone di soluzioni di cybersecurity per Windows, Mac, e Chromebook. Per non parlare di Malwarebytes per Android e Malwarebytes per iOS, in modo che possiate rimanere protetti su tutti i vostri dispositivi. Utenti aziendali: abbiamo pensato anche a voi. Scoprite tutte le soluzioni aziendali diMalwarebytes .
Se il vostro interesse per le backdoor va oltre quello che avete letto qui, assicuratevi di leggere e iscrivervi al blogMalwarebytes Labs . Qui troverete tutte le ultime notizie sulle backdoor e su tutto ciò che riguarda il mondo della sicurezza informatica. Qui troverete tutte le ultime notizie sulle backdoor e su tutto ciò che riguarda il mondo della sicurezza informatica.