Wat is een backdoor?
Stel je voor dat je een inbreker bent die een huis in de gaten houdt voor een mogelijke overval. Je ziet een bordje "Beschermd door..." en een Ring-deurbelcamera op de voortuin. Als gewiekste inbreker spring je over het hek naar de achterkant van het huis. Je ziet een achterdeur, kruist je vingers en probeert de knop - hij is niet op slot. Voor een toevallige voorbijganger zijn er geen tekenen van inbraak. Sterker nog, er is geen reden waarom je dit huis niet weer via dezelfde achterdeur zou kunnen beroven, zolang je de boel maar niet overhoop haalt.
Backdoors op computers werken op vrijwel dezelfde manier.
In de wereld van cybersecurity verwijst een backdoor naar elke methode waarmee geautoriseerde en ongeautoriseerde gebruikers normale beveiligingsmaatregelen kunnen omzeilen en toegang op een hoog niveau (ook wel root access genoemd) kunnen krijgen tot een computersysteem, netwerk of softwareapplicatie. Eenmaal binnen kunnen cybercriminelen een backdoor gebruiken om persoonlijke en financiële gegevens te stelen, extra malware te installeren en apparaten te kapen.
Maar backdoors zijn niet alleen voor de bad guys. Backdoors kunnen ook door software- of hardwarefabrikanten worden geïnstalleerd als een opzettelijke manier om achteraf toegang tot hun technologie te krijgen. Backdoors van de niet-criminele soort zijn nuttig voor het helpen van klanten die hopeloos buitengesloten zijn van hun apparaten of voor het oplossen van softwareproblemen.
In tegenstelling tot andere cyberbedreigingen die zich aan de gebruiker kenbaar maken (hier kijken we naar jou, ransomware), staan backdoors bekend om hun discretie. Backdoors bestaan voor een selecte groep mensen die toegang willen krijgen tot een systeem of applicatie.
Als dreiging verdwijnen achterdeurtjes voorlopig niet. Volgens het Malwarebytes Labs State of Malware report waren achterdeurtjes de vierde meest voorkomende bedreigingsdetectie in 2018 voor zowel consumenten als bedrijven—met respectieve stijgingen van 34 en 173 procent ten opzichte van het voorgaande jaar.
Als je je zorgen maakt over backdoors, je hebt erover gehoord in het nieuws en wilt weten wat er aan de hand is, of je hebt een backdoor op je computer en moet er nu meteen vanaf, dan ben je hier op de juiste plek. Lees verder en maak je klaar om alles te leren wat je ooit wilde weten over backdoors.
"Een backdoor verwijst naar elke methode waarmee geautoriseerde en ongeautoriseerde gebruikers normale beveiligingsmaatregelen kunnen omzeilen en toegang op een hoog niveau (ook wel root access genoemd) kunnen krijgen tot een computersysteem, netwerk of softwareapplicatie."
Nieuws over backdoors
- Is uw WordPress site achterhaald door een skimmer?
- Kimsuky APT blijft Zuid-Koreaans overheidsdoelwit met gebruik van AppleSeed backdoor
- Aanvallen op Microsoft Exchange veroorzaken paniek terwijl criminelen op zoek gaan naar toegangspunten
- Backdoors in elastische servers stellen privégegevens bloot
- Backdoors zijn een beveiligingsrisico
- Mac-malware combineert EmPyre backdoor en XMRig miner
- Mac cryptocurrency-tickerapp installeert backdoors
- Nog een OSX.Dok-dropper ontdekt met nieuwe backdoor-installatie
Hoe werken backdoors?
Laten we beginnen met te achterhalen hoe backdoors überhaupt op je computer terechtkomen. Dit kan op een paar verschillende manieren gebeuren. Ofwel komt de backdoor als gevolg van malware of door een opzettelijke productiebeslissing (hardware of software).
Backdoor-malware wordt over het algemeen geclassificeerd als een Trojan. Een Trojan is een kwaadaardig computerprogramma dat zich voordoet als iets anders met als doel malware af te leveren, gegevens te stelen of een backdoor op je systeem te openen. Net als het Trojaanse paard van de oude Griekse literatuur, bevatten computer-Trojans altijd een nare verrassing.
Trojans zijn een ongelooflijk veelzijdig instrument in de toolkit van cybercriminelen. Ze komen in veel gedaanten, zoals een e-mailbijlage of bestand-download, en kunnen allerlei malware-bedreigingen leveren.
Om het probleem nog erger te maken, vertonen Trojans soms een wormachtige capaciteit om zichzelf te repliceren en zich naar andere systemen te verspreiden zonder verdere instructies van de cybercriminelen die ze hebben gemaakt. Neem bijvoorbeeld de Emotet banking Trojan. Emotet begon in 2014 als een informatie-dief, zich verspreidend over apparaten en gevoelige financiële gegevens stekend. Sindsdien is Emotet geëvolueerd naar een transportmiddel voor andere vormen van malware. Emotet hielp de Trojan de top bedreigingsdetectie van 2018 te worden, volgens het State of Malware report.
In één voorbeeld van backdoor-malware verstopten cybercriminelen malware in een gratis bestand-omzetter. Geen verrassing: het converteerde niets. Sterker nog, de download was enkel ontworpen om een backdoor op het doelwit-systeem te openen. In een ander voorbeeld verstopten cybercriminelen backdoor-malware in een tool die werd gebruikt voor het illegaal kopiëren van Adobe-softwareapplicaties (dat is een lesje in softwarepiraterij). En in een laatste voorbeeld werkte een ogenschijnlijk legitieme cryptocurrency-tickerapp genaamd CoinTicker zoals geadverteerd, door informatie over verschillende vormen van cryptocurrency en markten te vertonen, maar het opende ook een backdoor.
Zodra cybercriminelen binnen zijn, kunnen ze wat bekendstaat als een rootkit gebruiken. Een rootkit is een pakket malware dat is ontworpen om detectie te ontwijken en internetactiviteit te verbergen (voor jou en je besturingssysteem). Rootkits bieden aanvallers doorlopende toegang tot geïnfecteerde systemen. In wezen is de rootkit de deurstopper die de backdoor openhoudt.
"Backdoors waren in 2018 de vierde meest voorkomende bedreigingsdetectie voor zowel consumenten als bedrijven - respectieve stijgingen van 34 en 173 procent ten opzichte van het voorgaande jaar."
Ingebouwde of eigen backdoors worden door de hardware- en softwaremakers zelf geplaatst. In tegenstelling tot backdoor-malware zijn ingebouwde backdoors niet noodzakelijkerwijs bedacht met een crimineel doel voor ogen. Vaker wel dan niet bestaan ingebouwde backdoors als artefacten van het software creatieproces.
Softwareontwikkelaars creëren deze backdoor-accounts zodat ze snel in en uit applicaties kunnen bewegen terwijl ze worden gecodeerd, hun toepassingen testen en softwarebugs (oftewel fouten) oplossen zonder een "echt" account te hoeven maken. Deze backdoors zijn niet bedoeld om met de uiteindelijke software die aan het publiek wordt vrijgegeven, te worden geleverd, maar soms gebeurt dat wel. Het is niet het einde van de wereld, maar er is altijd een kans dat een eigen backdoor in handen van cybercriminelen valt.
Hoewel de meeste ingebouwde backdoors die we kennen in de eerste categorie vallen (oftewel de "oeps, dat was niet de bedoeling" categorie), hebben de leden van het Five Eyes inlichtingen delen pact (de VS, het VK, Canada, Australië en Nieuw-Zeeland) Apple, Facebook en Google gevraagd om backdoors in hun technologie te installeren om te helpen bij het verzamelen van bewijsmateriaal tijdens strafrechtelijke onderzoeken. Hoewel alle drie de bedrijven hebben geweigerd, geven alle drie gegevens door in de mate die wettelijk vereist is.
De Five Eyes-landen hebben benadrukt dat deze backdoors in het belang van de wereldwijde veiligheid zijn, maar er is veel potentieel voor misbruik. CBS News vond tientallen politieagenten door het hele land die momenteel beschikbare criminele databases gebruikten om zichzelf en hun vrienden te helpen hun exen te lastig te vallen, vrouwen te stalken en journalisten die bezwaar maakten tegen hun intimidatie en stalking lastig te vallen.
Dat gezegd hebbende, wat als overheidsinstanties besluiten dat ze geen nee willen accepteren?
Dit brengt ons bij de supply chain backdoor. Zoals de naam al suggereert, wordt een supply chain backdoor heimelijk ingevoegd in de software of hardware op een bepaald punt in de supply chain. Dit zou kunnen gebeuren terwijl de grondstoffen van leverancier naar fabrikant worden verzonden of als het eindproduct van fabrikant naar consument gaat.
Een voorbeeld: een overheidsinstantie zou complete routers, servers en andere netwerkapparatuur kunnen onderscheppen op weg naar een klant, en dan een achterdeurtje in de firmware installeren. En trouwens, de Amerikaanse National Security Agency (NSA) heeft dat daadwerkelijk gedaan, zoals onthuld in de wereldwijde surveillance onthullingen van Edward Snowden in 2013.
Supply chain-infiltraties zouden ook in software kunnen gebeuren. Neem open source-code, bijvoorbeeld. Open source-codebibliotheken zijn gratis opslagplaatsen van code, applicaties en ontwikkelingstools waar elke organisatie uit kan putten in plaats van alles helemaal opnieuw te coderen. Klinkt geweldig, toch? Iedereen die samenwerkt voor het algemeen welzijn, de vruchten van hun arbeid met elkaar delend. Voor het grootste deel is het geweldig. Elke bijdrage aan de broncode staat open voor controle, maar er zijn momenten geweest waarop kwaadaardige code het tot de eindgebruiker heeft gemaakt.
Tot dat punt, in juli 2018 werd cryptomining malware gevonden in een app (of "snap" zoals ze dat noemen in de wereld van Linux) voor Ubuntu en andere Linux-gebaseerde besturingssystemen. Canonical, de ontwikkelaars van Ubuntu, gaf toe: "Het is onmogelijk voor een grootschalige repository om alleen software te accepteren nadat elk individueel bestand tot in detail is bekeken."
Zijn backdoors en exploits hetzelfde?
Malwarebytes Labs definieert exploits als, 'bekende kwetsbaarheden in software die kunnen worden misbruikt om een bepaald niveau van controle te krijgen over de systemen waarop de getroffen software draait.' En we weten dat een achterdeurtje werkt als een geheime ingang naar je computer. Dus zijn achterdeurtjes en exploits hetzelfde?
Hoewel backdoors en exploits op het eerste gezicht erg op elkaar lijken, zijn ze niet hetzelfde.
Exploits zijn toevallige softwarekwetsbaarheden die worden gebruikt om toegang tot je computer te krijgen en potentieel malware te implementeren. Om het anders te zeggen, exploits zijn gewoon softwarefouten waarvan onderzoekers of cybercriminelen een manier hebben gevonden om er misbruik van te maken. Backdoors, aan de andere kant, worden opzettelijk geplaatst door fabrikanten of cybercriminelen om naar believen een systeem in en uit te gaan.
"Exploits zijn toevallige softwarekwetsbaarheden die worden gebruikt om toegang tot je computer te krijgen en potentieel malware te implementeren.... Backdoors, aan de andere kant, worden opzettelijk geplaatst door fabrikanten of cybercriminelen om naar believen een systeem in en uit te gaan."
Wat kunnen hackers doen met een backdoor?
Hackers kunnen een backdoor gebruiken om allerlei soorten malware op je computer te installeren.
- Spyware is een type malware dat, eenmaal op je systeem geïmplementeerd, informatie over jou verzamelt, de sites die je op internet bezoekt, de dingen die je downloadt, de bestanden die je opent, gebruikersnamen, wachtwoorden, en alles wat van waarde is. Een lichtere vorm van spyware genaamd keyloggers registreert specifiek elke toetsaanslag en klik die je maakt. Bedrijven kunnen spyware/keyloggers legaal en legitiem gebruiken om werknemers op het werk te monitoren.
- Ransomware is een type malware dat is ontworpen om je bestanden te versleutelen en je computer te vergrendelen. Om die kostbare foto's, documenten, enz. terug te krijgen (of welk bestandstype de aanvallers ook kiezen), moet je de aanvallers betalen via een vorm van cryptocurrency, meestal Bitcoin.
- Gebruik je computer in een DDoS-aanval. Door de backdoor te gebruiken om superuser-toegang op je systeem te krijgen, kunnen cybercriminelen op afstand de controle over je computer overnemen, en deze inschakelen in een netwerk van gehackte computers, oftewel een botnet. Met dit zombiecomputer-botnet kunnen criminelen vervolgens een website of netwerk overladen met verkeer vanuit het botnet in wat bekend staat als een distributed denial of service-aanval (DDoS). De verkeersvloed verhindert dat de website of het netwerk reageert op legitieme verzoeken, waardoor de site effectief buiten dienst wordt gesteld.
- Cryptojacking-malware is ontwikkeld om de middelen van je systeem te gebruiken voor het minen van cryptocurrency. Kortom, elke keer dat iemand cryptocurrency uitwisselt, wordt de transactie vastgelegd op een versleuteld virtueel grootboek, de blockchain genaamd. Cryptomining is het proces van het valideren van deze online transactie in ruil voor meer cryptocurrency en het vereist een enorme hoeveelheid rekenkracht. In plaats van de dure hardware te kopen die nodig is voor cryptomining, hebben criminelen ontdekt dat ze eenvoudig gehackte computers in een botnet kunnen inschakelen dat op dezelfde manier werkt als dure cryptomining-farms.
Wat is de geschiedenis van backdoors?
Hier is een blik op enkele van de meest (on)bekende backdoors, zowel echt als fictief sinds het ontstaan van computers.
Men zou kunnen zeggen dat backdoors in het publieke bewustzijn kwamen door de sciencefictionfilm WarGames uit 1983, met in de hoofdrol Matthew Broderick (in wat aanvoelt als een proefronde voor Ferris Bueller). Broderick, als de ondeugende tienerhacker David Lightman, gebruikt een ingebouwde backdoor om toegang te krijgen tot een militair supercomputer ontworpen om nucleaire oorlogssimulaties uit te voeren. Zonder dat Lightman het weet, kan de schizofrene computer het verschil tussen werkelijkheid en simulatie niet zien. En ook besloot een of andere genius de computer toegang te geven tot het hele nucleaire arsenaal van de Verenigde Staten. Hilariteit volgt terwijl de computer dreigt de hele wereld op te blazen.
In 1993 ontwikkelde de NSA een encryptiechip met een ingebouwde backdoor voor gebruik in computers en telefoons. De chip zou zogenaamd gevoelige communicatie beveiligen terwijl het wetshandhavings- en overheidsinstanties toestond om versleutelde stem- en datacommunicatie te decoderen en mee te luisteren wanneer dat nodig was. Hardware-backdoors hebben grote voordelen ten opzichte van de softwarevariant. Ze zijn namelijk moeilijker te verwijderen - je moet de hardware eruit halen of de firmware opnieuw flashen om dat te doen. De chip werd echter vanwege privacyzorgen nooit breed geaccepteerd.
In 2005 kreeg Sony BMG zich ermee bemoeid door miljoenen muziek-cd's te verzenden met een schadelijke kopieerbeveiligings-rootkit. Terwijl je niets vermoedend rockte op de laatste editie van Now That’s What I Call Music!, bevatte je cd een rootkit, die zich automatisch zou installeren zodra deze in je computer werd gestoken.
Ontworpen om je luistergewoonten te monitoren, voorkwam de Sony BMG-rootkit ook dat je cd's kon branden en liet een enorme beveiligingslek achter op je computer dat cybercriminelen konden misbruiken. Sony BMG betaalde miljoenen om rechtszaken in verband met de rootkit te schikken en riep nog vele miljoenen cd's terug.
In 2014 werden er ingebouwde achterdeurtjes gevonden in verschillende Netgear- en Linksys-routers. SerComm, de externe fabrikant die de routers in elkaar zette, ontkende de achterdeuren opzettelijk in hun hardware te hebben ingebouwd. Maar toen de patch die SerComm uitbracht het achterdeurtje verborg in plaats van het te repareren, werd het duidelijk dat het bedrijf geen goede bedoelingen had.
Datzelfde jaar ontdekten softwareontwikkelaars die werkten aan een afgeleide van Google's Android-besturingssysteem (Replicant genaamd) een achterdeurtje op Samsung mobiele apparaten, waaronder Samsungs Galaxy-serie van telefoons. Het achterdeurtje stelde Samsung of anderen die ervan op de hoogte waren, naar verluidt in staat om op afstand toegang te krijgen tot alle bestanden die op getroffen apparaten waren opgeslagen. In reactie op de ontdekking beschouwde Samsung het achterdeurtje als een 'functie' die 'geen beveiligingsrisico' vormde.
De andere beroemde telefoonfabrikant, Apple, weigert achterdeuren in zijn producten in te bouwen, ondanks herhaalde verzoeken van de FBI en het Amerikaanse ministerie van Justitie. De druk nam toe na de terroristische aanslagen in San Bernardino in 2015, waarbij de FBI een iPhone in beslag nam die eigendom was van een van de schutters. In plaats van de beveiliging van hun iOS-apparaten in gevaar te brengen, zette Apple extra in op privacy en maakte hun iPhones en iPads nog moeilijker te kraken. De FBI trok uiteindelijk hun verzoek in toen ze erin slaagden de oudere, minder veilige iPhone te hacken met de hulp van een mysterieuze derde partij.
Plugins met verborgen kwaadaardige code voor WordPress, Joomla, Drupal en andere contentmanagementsystemen blijven een aanhoudend probleem. In 2017 ontdekten beveiligingsonderzoekers een SEO-zwendel die meer dan 300.000 WordPress-websites trof. De zwendel draaide om een WordPress CAPTCHA-plugin genaamd Simply WordPress. Eenmaal geïnstalleerd opende Simply WordPress een achterdeurtje, dat toegang op beheerdersniveau gaf tot de getroffen websites. Vanaf daar plaatste de verantwoordelijke hacker verborgen links naar zijn dubieuze website voor kortlopende leningen (andere websites die naar jouw website linken zijn geweldig voor SEO).
2017 was ook getuige van de vernietigende NotPetya-ransomware. De kennelijke patiënt nul in dit geval was een Trojan-achterdeurtje vermomd als een software-update voor een Oekraïense boekhoudapp genaamd MeDoc. Bij navraag ontkende MeDoc de bron te zijn van NotPetya. De echte vraag—waarom zou iemand kiezen voor een nogal twijfelachtige Oekraïense boekhoudapp genaamd MeDoc?
In een nieuwsbericht uit 2018 dat klinkt als het plot voor een rechtstreekse B-filmthriller, meldde Bloomberg Businessweek dat door de staat gesponsorde Chinese spionnen de serverfabrikant Supermicro hadden geïnfiltreerd. De spionnen zouden spionagechips met hardware-achterdeurtjes hebben geïnstalleerd op servercomponenten die bestemd waren voor tientallen Amerikaanse technologiebedrijven en overheidsorganisaties—waaronder Amazon, Apple en de CIA.
Eenmaal geïnstalleerd in een datacentrum zouden de spionagechips communiceren met Chinese command and control (C&C) servers, waardoor Chinese agenten onbeperkte toegang kregen tot gegevens op het netwerk. Amazon, Apple en verschillende Amerikaanse overheidsfunctionarissen hebben allemaal de claims in het Bloomberg-verhaal tegengesproken. Supermicro verdedigde zich door het verhaal 'virtueel onmogelijk' te noemen, en geen andere nieuwsorganisatie heeft het opgepikt.
Tot slot, als voorbeeld van een situatie waarin een bedrijf had gewild dat ze een achterdeurtje hadden, kwam de Canadese cryptocurrency-beurs QuadrigaCX begin 2019 in het nieuws toen de oprichter van het bedrijf abrupt stierf tijdens een vakantie in India, waarbij hij het wachtwoord voor alles meenam. QuadrigaCX beweert dat alle $190 miljoen aan klantcryptovaluta-onderhoud onherroepelijk zijn vergrendeld in 'cold storage', waar ze decennia zullen blijven liggen en uiteindelijk triljoenen waard zullen zijn—of niets, afhankelijk van hoe cryptocurrency evolueert.
Hoe kan ik me beschermen tegen backdoors?
Goed nieuws slecht nieuws. Het slechte nieuws is dat het moeilijk is om ingebouwde achterdeurtjes te identificeren en jezelf ertegen te beschermen. Vaker wel dan niet weten de fabrikanten niet eens dat het achterdeurtje er is. Het goede nieuws is dat er dingen zijn die je kunt doen om jezelf te beschermen tegen de andere soorten achterdeurtjes.
Verander je standaard wachtwoorden. De hardwerkende mensen van de IT-afdeling van je bedrijf hadden nooit de bedoeling dat 'gast' of '12345' je echte wachtwoord zou zijn. Als je dat standaard wachtwoord laat staan, heb je onbewust een achterdeurtje gecreëerd. Verander het zo snel mogelijk en schakel multi-factor authenticatie (MFA) in terwijl je toch bezig bent. Ja, het bijhouden van een uniek wachtwoord voor elke applicatie kan ontmoedigend zijn. Een Malwarebytes Labs rapport over gegevensprivacy ontdekte dat 29 procent van de respondenten hetzelfde wachtwoord gebruikte voor tal van apps en apparaten. Niet slecht, maar er is nog ruimte voor verbetering.
Monitor netwerkactiviteit. Elke vreemde datapieken kunnen betekenen dat iemand een achterdeurtje op je systeem gebruikt. Om dit te stoppen, gebruik firewalls om inkomende en uitgaande activiteiten van de verschillende toepassingen op je computer te volgen.
Kies applicaties en plugins zorgvuldig. Zoals we hebben besproken, verstoppen cybercriminelen graag achterdeurtjes in schijnbaar onschuldige gratis apps en plugins. De beste verdediging hier is ervoor te zorgen dat je apps en plugins kiest van een gerenommeerde bron.
Android- en Chromebook-gebruikers moeten zich houden aan apps uit de Google Play Store, terwijl Mac- en iOS-gebruikers de Apple App Store moeten gebruiken. Bonus gerelateerd technisch advies—wanneer een nieuw geïnstalleerde app vraagt om toestemming om toegang te krijgen tot gegevens of functies op je apparaat, denk er dan even over na. Verdachte apps zijn bekend om het Google- en Apple-goedkeuringsproces te doorstaan.
Met betrekking tot de gegevensprivacy-studie, deden de meeste respondenten het goed om app-machtigingen bij te houden, maar 26 procent zei: 'Ik weet het niet.' Neem even de tijd, misschien zelfs nu, om de app-machtigingen op je apparaten te beoordelen (Malwarebytes voor Android doet dit voor je). Wat betreft WordPress-plugins en dergelijke. Controleer gebruikersbeoordelingen en recensies en vermijd het installeren van alles met een minder dan geweldige score.
Gebruik een goede cybersecurity-oplossing. Elke goede anti-malware oplossing zou in staat moeten zijn om cybercriminelen te stoppen met het inzetten van de Trojans en rootkits die worden gebruikt om die vervelende achterdeurtjes te openen. Malwarebytes, bijvoorbeeld, heeft cybersecurity-oplossingen voor Windows, Mac, en Chromebook. Niet te vergeten Malwarebytes voor Android en Malwarebytes voor iOS, zodat je op al je apparaten beschermd kunt blijven. Zakelijke gebruikers—we hebben jullie ook gedekt. Bekijk alle Malwarebytes zakelijke oplossingen.
En als je interesse in achterdeurtjes verder gaat dan wat je hier hebt gelezen, zorg ervoor dat je leest en je abonneert op de Malwarebytes Labs blog. Daar vind je al het laatste nieuws over achterdeurtjes en alles wat belangrijk is in de wereld van cybersecurity.