Ataques de computação backdoor

Um backdoor refere-se a qualquer método pelo qual usuários autorizados e não autorizados podem contornar as medidas de segurança normais e obter acesso de usuário de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software.

FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

O que é um backdoor?

Imagine que você é um ladrão que está investigando uma casa para um possível roubo. Você vê uma placa de segurança "Protected by..." (Protegido por...) fixada no gramado da frente e a câmera da campainha da Ring. Sendo o ladrão astuto que é, você pula a cerca que leva aos fundos da casa. Você vê que há uma porta dos fundos, cruza os dedos e experimenta a maçaneta - ela está destrancada. Para o observador casual, não há sinais externos de um roubo. Na verdade, não há motivo para você não roubar essa casa pela mesma porta dos fundos novamente, supondo que você não saqueie o local.

Os backdoors de computador funcionam praticamente da mesma maneira.

No mundo da segurança cibernética, um backdoor refere-se a qualquer método pelo qual usuários autorizados e não autorizados conseguem contornar as medidas de segurança normais e obter acesso de usuário de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software. Uma vez lá dentro, os criminosos cibernéticos podem usar um backdoor para roubar dados pessoais e financeiros, instalar malware adicional e sequestrar dispositivos.

Mas os backdoors não são apenas para os bandidos. Os backdoors também podem ser instalados por fabricantes de software ou hardware como um meio deliberado de obter acesso à sua tecnologia após o fato. Os backdoors da variedade não criminosa são úteis para ajudar os clientes que estão irremediavelmente bloqueados em seus dispositivos ou para solucionar problemas de software.

Ao contrário de outras ameaças cibernéticas que se tornam conhecidas pelo usuário (como o ransomware), os backdoors são conhecidos por serem discretos. Os backdoors existem para que um grupo seleto de pessoas conhecidas obtenha acesso fácil a um sistema ou aplicativo.

Como ameaça, os backdoors não estão desaparecendo tão cedo. De acordo com orelatório Malwarebytes Labs State of Malware, os backdoors foram a quarta detecção de ameaça mais comum em 2018, tanto para consumidores quanto para empresas, com aumentos de 34% e 173% em relação ao ano anterior.

Se você está preocupado com backdoors, ouviu falar sobre backdoors nas notícias e quer saber qual é o problema, ou se tem um backdoor em seu computador e precisa se livrar dele agora mesmo, você está no lugar certo. Continue lendo e prepare-se para aprender tudo o que você sempre quis saber sobre backdoors.

"Um backdoor refere-se a qualquer método pelo qual usuários autorizados e não autorizados podem contornar as medidas de segurança normais e obter acesso de usuário de alto nível (também conhecido como acesso root) em um sistema de computador, rede ou aplicativo de software."

Notícias sobre backdoors

Como funcionam os backdoors?

Para começar, vamos descobrir como os backdoors vão parar em seu computador. Isso pode acontecer de duas maneiras diferentes. O backdoor surge como resultado de um malware ou por uma decisão intencional de fabricação (hardware ou software).

O malware de backdoor é geralmente classificado como um cavalo de Troia. Um cavalo de Troia é um programa de computador mal-intencionado que finge ser algo que não é, com o objetivo de fornecer malware, roubar dados ou abrir uma porta dos fundos em seu sistema. Assim como o cavalo de Tr oia da literatura grega antiga, os cavalos de Troia de computador sempre contêm uma surpresa desagradável.

Os cavalos de Troia são um instrumento incrivelmente versátil no kit de ferramentas dos criminosos cibernéticos. Eles se apresentam sob vários disfarces, como um anexo de e-mail ou um download de arquivo, e oferecem inúmeras ameaças de malware.

Para agravar o problema, os cavalos de Troia às vezes apresentam uma capacidade semelhante a um verme de se replicar e se espalhar para outros sistemas sem nenhum comando adicional dos criminosos cibernéticos que os criaram. Veja, por exemplo, o cavalo de Troia bancário Emotet. O Emotet teve seu início em 2014 como um ladrão de informações, espalhando-se pelos dispositivos e roubando dados financeiros confidenciais. Desde então, o Emotet evolu iu e se tornou um veículo de entrega para outras formas de malware. O Emotet ajudou a tornar o Trojan a principal detecção de ameaças em 2018, de acordo com o relatório State of Malware.

Em um exemplo de malware backdoor, os criminosos cibernéticos esconderam o malware dentro de um conversor de arquivos gratuito. Não é nenhuma surpresa, ele não converteu nada. Na verdade, o download foi projetado exclusivamente para abrir um backdoor no sistema de destino. Em outro exemplo, os criminosos cibernéticos esconderam um malware de backdoor dentro de uma ferramenta usada para piratear aplicativos de software da Adobe (que isso sirva de lição sobre pirataria de software). E, em um último exemplo, um aplicativo aparentemente legítimo de ticker de criptomoeda chamado CoinTicker funcionou como anunciado, exibindo informações sobre várias formas de criptomoeda e mercados, mas também abriu um backdoor.

Uma vez que os criminosos cibernéticos conseguem entrar, eles podem empregar o que é conhecido como rootkit. Um rootkit é um pacote de malware projetado para evitar a detecção e ocultar a atividade na Internet (de você e do seu sistema operacional). Os rootkits fornecem aos invasores acesso contínuo aos sistemas infectados. Em essência, o rootkit é o batente da porta que mantém a porta dos fundos aberta.

"Os backdoors foram a quarta detecção de ameaça mais comum em 2018, tanto para consumidores quanto para empresas, com aumentos de 34% e 173% em relação ao ano anterior."

Os backdoors embutidos ou proprietários são implementados pelos próprios fabricantes de hardware e software. Ao contrário do malware de backdoor, os backdoors incorporados não são necessariamente concebidos com algum objetivo criminoso em mente. Na maioria das vezes, os backdoors incorporados existem como artefatos do processo de criação do software.

Os desenvolvedores de software criam essas contas backdoor para que possam entrar e sair rapidamente dos aplicativos enquanto eles estão sendo codificados, testar seus aplicativos e corrigir bugs de software (ou seja, erros) sem precisar criar uma conta "real". Esses backdoors não devem ser enviados com o software final liberado para o público, mas às vezes isso acontece. Não é o fim do mundo, mas sempre há a chance de um backdoor proprietário cair nas mãos de criminosos cibernéticos.

Embora a maioria das backdoors incorporadas que conhecemos se enquadre na primeira categoria (ou seja, a categoria "opa, não queríamos colocar isso aí"), os membros do pacto de compartilhamento de inteligência Five Eyes (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) solicitaram à Apple, ao Facebook e ao Google que instalassem backdoors em sua tecnologia para ajudar na coleta de provas durante investigações criminais. Embora as três empresas tenham se recusado, elas fornecem dados downstream na medida exigida por lei.

As nações do Five Eyes enfatizaram que esses backdoors são do melhor interesse da segurança global, mas há muito potencial para abusos. A CBS News descobriu que dezenas de policiais de todo o país usaram os bancos de dados criminais disponíveis atualmente para ajudar a si mesmos e a seus amigos a assediar suas ex-namoradas, a assediar mulheres e a assediar jornalistas que se sentiram ofendidos com seus assédios e assédios.

Dito isso, e se os órgãos governamentais decidissem que não aceitariam um "não" como resposta?

Isso nos leva ao backdoor da cadeia de suprimentos. Como o nome sugere, um backdoor da cadeia de suprimentos é inserido clandestinamente no software ou hardware em algum ponto da cadeia de suprimentos. Isso pode acontecer quando as matérias-primas são enviadas do fornecedor para o fabricante ou quando o produto acabado vai do fabricante para o consumidor.

Por exemplo, uma agência governamental poderia interceptar roteadores, servidores e equipamentos de rede diversos completos a caminho de um cliente e, em seguida, instalar um backdoor no firmware. E, a propósito, a Agência Nacional Security (NSA) dos EUA realmente fez isso, conforme revelado nas revelações de vigilância global de Edward Snowden em 2013.

As infiltrações na cadeia de suprimentos também podem ocorrer no software. Veja o código-fonte aberto, por exemplo. As bibliotecas de código-fonte aberto são repositórios gratuitos de código, aplicativos e ferramentas de desenvolvimento que qualquer organização pode usar em vez de codificar tudo do zero. Parece ótimo, certo? Todos trabalhando juntos para o bem maior, compartilhando os frutos de seu trabalho uns com os outros. Na maioria das vezes, isso é ótimo. Qualquer contribuição para o código-fonte é passível de análise, mas houve casos em que códigos maliciosos chegaram ao usuário final.

Nesse sentido, em julho de 2018, um malware de criptomineração foi encontrado dentro de um aplicativo (ou "snap", como é chamado no mundo do Linux) para o Ubuntu e outros sistemas operacionais baseados em Linux. A Canonical, desenvolvedora do Ubuntu, admitiu: "É impossível para um repositório de grande escala aceitar apenas software após cada arquivo individual ter sido revisado em detalhes".

Backdoors e exploits são a mesma coisa?

Malwarebytes Labs define exploits como "vulnerabilidades conhecidas em software que podem ser exploradas para obter algum nível de controle sobre os sistemas que executam o software afetado". E sabemos que um backdoor funciona como uma entrada secreta em seu computador. Então, backdoors e exploits são a mesma coisa?

Embora backdoors e exploits pareçam muito semelhantes à primeira vista, eles não são a mesma coisa.

Exploits são vulnerabilidades acidentais de software usadas para obter acesso ao seu computador e, possivelmente, implantar algum tipo de malware. Em outras palavras, exploits são apenas bugs de software dos quais pesquisadores ou criminosos cibernéticos encontraram uma maneira de tirar proveito. Os backdoors, por outro lado, são deliberadamente instalados por fabricantes ou criminosos cibernéticos para entrar e sair de um sistema à vontade.

"Exploits são vulnerabilidades acidentais de software usadas para obter acesso ao seu computador e, potencialmente, implantar algum tipo de malware.... Os backdoors, por outro lado, são deliberadamente instalados por fabricantes ou criminosos cibernéticos para entrar e sair de um sistema à vontade."

O que os hackers podem fazer com um backdoor?

Os hackers podem usar um backdoor para instalar todo tipo de malware em seu computador.

  • Spyware é um tipo de malware que, uma vez implantado no sistema, coleta informações sobre você, os sites que visita na Internet, os downloads que faz, os arquivos que abre, nomes de usuário, senhas e qualquer outra coisa de valor. Uma forma menor de spyware, chamada keyloggers, rastreia especificamente cada pressionamento de tecla e clique que você faz. As empresas podem usar spyware/keyloggers como um meio legítimo e legal de monitorar os funcionários no trabalho.
  • O ransomware é um tipo de malware projetado para criptografar seus arquivos e bloquear seu computador. Para recuperar suas preciosas fotos, documentos etc. (ou qualquer tipo de arquivo que os atacantes escolham como alvo), você precisa pagar aos atacantes por meio de alguma forma de criptomoeda, geralmente Bitcoin.
  • Usar seu computador em um ataque DDoS. Usando o backdoor para obter acesso de superusuário em seu sistema, os criminosos cibernéticos podem assumir o comando de seu computador remotamente, alistando-o em uma rede de computadores hackeados, também conhecida como botnet. Com esse botnet de computadores zumbis, os criminosos podem então sobrecarregar um site ou uma rede com o tráfego do botnet no que é conhecido como ataque distribuído de negação de serviço (DDoS). A enxurrada de tráfego impede que o site ou a rede responda a solicitações legítimas, efetivamente tirando o site de serviço.
  • O malware de criptojacking foi projetado para usar os recursos de seu sistema para minerar criptomoedas. Em resumo, toda vez que alguém troca criptomoedas, a transação é registrada em um livro-razão virtual criptografado conhecido como blockchain. A mineração de criptomoedas é o processo de validação dessas transações on-line em troca de mais criptomoedas e requer uma enorme quantidade de poder de computação. Em vez de comprar o hardware caro necessário para a criptomineração, os criminosos descobriram que podem simplesmente alistar computadores hackeados em uma botnet que funciona da mesma forma que as caras fazendas de criptomineração.

Qual é o histórico dos backdoors?

Aqui está uma retrospectiva de alguns dos backdoors mais (in)famosos, tanto reais quanto fictícios, desde o surgimento dos computadores.

Pode-se dizer que os backdoors entraram na consciência pública no filme de ficção científica de 1983 Jogos de Guerrade 1983, estrelado por Matthew Broderick (no que parece ser um teste para Ferris Bueller). Broderick, como o travesso hacker adolescente David Lightman, usa um backdoor embutido para obter acesso a um supercomputador militar projetado para executar simulações de guerra nuclear. Sem o conhecimento de Lightman, o computador esquizofrênico não consegue distinguir a realidade da simulação. Além disso, algum gênio decidiu dar ao computador acesso a todo o arsenal nuclear dos Estados Unidos. A hilaridade se segue quando o computador ameaça explodir o mundo inteiro.

Em 1993, a NSA desenvolveu um chip de criptografia com um backdoor integrado para uso em computadores e telefones. Supostamente, o chip manteria as comunicações confidenciais seguras e, ao mesmo tempo, permitiria que os órgãos policiais e governamentais descriptografassem e ouvissem as transmissões de voz e dados quando necessário. Os backdoors de hardware têm grandes vantagens sobre o tipo de software. Em especial, são mais difíceis de serem removidos - é preciso arrancar o hardware ou atualizar o firmware para fazer isso. O chip, no entanto, foi descarrilado devido a preocupações com a privacidade antes de ser adotado de alguma forma.

Em 2005, a Sony BMG entrou no negócio de backdoors quando enviou milhões de CDs de música com uma proteção contra cópia prejudicial rootkit. Mal sabia você que, ao curtir a última edição do Now That's What I Call Music! seu CD incluía um rootkit, que se instalaria automaticamente assim que fosse inserido em seu computador.

Projetado para monitorar seus hábitos de escuta, o Sony BMG rootkit também impedia a gravação de CDs e deixava uma vulnerabilidade aberta em seu computador, da qual os criminosos cibernéticos poderiam se aproveitar. A Sony BMG pagou milhões para resolver processos judiciais relacionados ao rootkit e recolheu ainda mais milhões de CDs.

Em 2014, descobriu-se que vários roteadores Netgear e Linksys tinham backdoors embutidos. A SerComm, o fabricante terceirizado que montou os roteadores, negou ter colocado os backdoors em seu hardware de propósito. Mas quando o patch lançado pela SerComm acabou ocultando o backdoor em vez de corrigi-lo, ficou claro que a empresa não estava tramando nada de bom. Ainda não se sabe exatamente o que a SerComm estava tentando fazer com o backdoor.

Naquele mesmo ano, desenvolvedores de software que trabalhavam em um desdobramento do sistema operacional Android do Google (chamado Replicant) descobriram um backdoor em dispositivos móveis da Samsung, incluindo a série de telefones Galaxy da Samsung. O backdoor supostamente permitia que a Samsung ou qualquer outra pessoa que tivesse conhecimento dele tivesse acesso remoto a todos os arquivos armazenados nos dispositivos afetados. Em resposta à descoberta, a Samsung se referiu ao backdoor como um "recurso" que não representava "nenhum risco de segurança".

A outra famosa fabricante de telefones, a Apple, se recusa a incluir backdoors em seus produtos, apesar das repetidas solicitações do FBI e do Departamento de Justiça dos EUA para que o faça. A pressão aumentou após os ataques terroristas de San Bernardino em 2015, nos quais o FBI recuperou um iPhone de propriedade de um dos atiradores. Em vez de comprometer a segurança de seus dispositivos iOS , a Apple dobrou a privacidade e tornou seus iPhones e iPads ainda mais difíceis de serem descobertos. O FBI acabou retirando sua solicitação quando conseguiu hackear o iPhone mais antigo e menos seguro com a ajuda de um terceiro misterioso.

Os plug-ins que contêm códigos ocultos mal-intencionados para WordPress, Joomla, Drupal e outros sistemas de gerenciamento de conteúdo são um problema constante. Em 2017, pesquisadores de segurança descobriram um golpe de SEO que afetou mais de 300.000 sites do WordPress. O golpe se concentrava em um plug-in CAPTCHA do WordPress chamado Simply WordPress. Uma vez instalado, o Simply WordPress abria uma porta dos fundos, permitindo o acesso do administrador aos sites afetados. A partir daí, o hacker responsável incorporou links ocultos para seu site de empréstimo do dia de pagamento (outros sites com links para o seu site são ótimos para SEO).

2017 também foi testemunha do destrutivo ransomware NotPetya. O aparente paciente zero nesse caso foi um cavalo de Troia backdoor disfarçado como uma atualização de software para um aplicativo de contabilidade ucraniano chamado MeDoc. Quando questionado, o MeDoc negou ser a fonte do NotPetya. A verdadeira questão é: por que alguém escolheria um aplicativo de contabilidade ucraniano extremamente suspeito chamado MeDoc?

Em uma notícia de 2018 que parece o cenário de um thriller de filme B direto para vídeo, a Bloomberg Businessweek informou que espiões chineses patrocinados pelo Estado haviam se infiltrado na fabricante de servidores Supermicro. Os espiões supostamente instalaram chips de espionagem com backdoors de hardware em componentes de servidores destinados a dezenas de empresas americanas de tecnologia e organizações governamentais dos EUA - principalmente a Amazon, a Apple e a CIA.

Uma vez instalados em um data center, os chips espiões supostamente se comunicavam com os servidores de comando e controle (C&C) chineses, dando aos agentes chineses acesso irrestrito aos dados da rede. A Amazon, a Apple e vários funcionários do governo dos EUA refutaram as alegações feitas na matéria da Bloomberg. A Supermicro, em sua defesa, chamou a história de "virtualmente impossível", e nenhuma outra organização de notícias a publicou.

Por fim, como exemplo de uma situação em que uma empresa gostaria de ter uma porta dos fundos, a bolsa de criptomoedas canadense QuadrigaCX foi notícia no início de 2019 quando o fundador da empresa morreu abruptamente enquanto passava férias na Índia, levando consigo a senha de tudo. A QuadrigaCX alega que todos os US$ 190 milhões em ativos de criptomoedas de clientes estão irremediavelmente trancados em um "armazenamento a frio", onde permanecerão por décadas e, no final, valerão zilhões de dólares - ou nada, dependendo da evolução das criptomoedas.

Como posso me proteger contra backdoors?

Boas notícias, más notícias. A má notícia é que é difícil identificar e se proteger contra backdoors incorporados. Na maioria das vezes, os fabricantes nem sequer sabem que o backdoor está lá. A boa notícia é que há coisas que você pode fazer para se proteger de outros tipos de backdoors.

Altere suas senhas padrão. As pessoas que trabalham duro no departamento de TI da sua empresa nunca quiseram que sua senha real fosse "guest" ou "12345". Se você deixar essa senha padrão em vigor, estará criando uma porta dos fundos sem querer. Altere-a assim que possível e ative a autenticação multifator (MFA) enquanto estiver fazendo isso. Sim, manter o controle de uma senha exclusiva para cada aplicativo pode ser assustador. Umrelatório da Malwarebytes Labs sobre privacidade de dados constatou que 29% dos entrevistados usavam a mesma senha em vários aplicativos e dispositivos. Nada mal, mas ainda há espaço para melhorias.

Monitore a atividade da rede. Qualquer pico estranho de dados pode significar que alguém está usando um backdoor em seu sistema. Para impedir isso, use firewalls para rastrear a atividade de entrada e saída dos vários aplicativos instalados em seu computador.

Escolha aplicativos e plug-ins com cuidado. Como já abordamos, os criminosos cibernéticos gostam de esconder backdoors dentro de aplicativos e plug-ins gratuitos aparentemente benignos. A melhor defesa nesse caso é garantir que os aplicativos e plug-ins escolhidos sejam provenientes de uma fonte confiável.

Android e Chromebook devem usar aplicativos da Google Play Store, enquanto os usuários de Mac e iOS devem usar a App Store da Apple. Dica técnica bônus relacionada: quando um aplicativo recém-instalado solicitar permissão para acessar dados ou funções no seu dispositivo, pense duas vezes. Sabe-se que aplicativos suspeitos conseguem passar pelos respectivos processos de verificação de aplicativos do Google e da Apple.

Voltando ao estudo sobre privacidade de dados, a maioria dos entrevistados se saiu bem ao rastrear as permissões de aplicativos, mas 26% disseram "não sei". Reserve algum tempo, possivelmente agora mesmo, para analisar as permissões de aplicativos em seus dispositivos (Malwarebytes for Android fará isso para você). Quanto aos plug-ins do WordPress e similares. Verifique as classificações e avaliações dos usuários e evite instalar qualquer coisa que não tenha uma pontuação excelente.

Use uma boa solução de segurança cibernética. Qualquer boa solução antimalware deve ser capaz de impedir que os criminosos cibernéticos implantem os cavalos de Troia e os rootkits usados para abrir essas incômodas backdoors. Malwarebytes A Microsoft, por exemplo, tem soluções de segurança cibernética para Windows, Mac, e Chromebook. Sem mencionar Malwarebytes para Android e Malwarebytes para iOS, para que você possa ficar protegido em todos os seus dispositivos. Usuários corporativos - nós também os cobrimos. Confira todas as soluções empresariais doMalwarebytes .

E se o seu interesse em backdoors for além do que você leu aqui, não deixe de ler e se inscrever no blogMalwarebytes Labs . Lá você encontrará todas as notícias mais recentes sobre backdoors e tudo o mais que importa no mundo da segurança cibernética.