Ataques informáticos de backdoor

Uma backdoor refere-se a qualquer método através do qual utilizadores autorizados e não autorizados conseguem contornar as medidas de segurança normais e obter acesso de utilizador de alto nível (também conhecido como acesso de raiz) a um sistema informático, rede ou aplicação de software.

DESCARREGAR MALWAREBYTES GRATUITAMENTE

Também para Windows, iOS, Android, Chromebook e Para empresas

O que é uma backdoor?

Imagine que é um ladrão a vigiar uma casa para um potencial assalto. Vê um sinal de segurança "Protegido por..." colocado no relvado da frente e a câmara da campainha da Ring. Sendo o ladrão astuto que é, salta a vedação que leva às traseiras da casa. Vê que há uma porta das traseiras, cruza os dedos e experimenta a maçaneta - está destrancada. Para o observador casual, não há sinais externos de um roubo. De facto, não há razão para não poder roubar esta casa pela mesma porta das traseiras outra vez, assumindo que não saqueia o local.

As backdoors informáticas funcionam praticamente da mesma forma.

No mundo da cibersegurança, uma backdoor refere-se a qualquer método através do qual utilizadores autorizados e não autorizados são capazes de contornar as medidas de segurança normais e obter acesso de utilizador de alto nível (também conhecido como acesso à raiz) num sistema informático, rede ou aplicação de software. Uma vez lá dentro, os cibercriminosos podem utilizar uma backdoor para roubar dados pessoais e financeiros, instalar malware adicional e sequestrar dispositivos.

Mas as backdoors não são apenas para os maus da fita. As backdoors também podem ser instaladas por fabricantes de software ou hardware como forma deliberada de obter acesso à sua tecnologia após o facto. As backdoors da variedade não criminosa são úteis para ajudar os clientes que estão irremediavelmente bloqueados nos seus dispositivos ou para a resolução de problemas de software.

Ao contrário de outras ciberameaças que se dão a conhecer ao utilizador (veja-se o ransomware), os backdoors são conhecidos por serem discretos. As backdoors existem para que um grupo selecionado de pessoas com conhecimento possa ter acesso fácil a um sistema ou aplicação.

Como ameaça, as backdoors não vão desaparecer tão cedo. De acordo com orelatório Malwarebytes Labs State of Malware, as backdoors foram a quarta deteção de ameaças mais comum em 2018, tanto para consumidores como para empresas - aumentos respetivos de 34 e 173 por cento em relação ao ano anterior.

Se está preocupado com backdoors, se ouviu falar de backdoors nas notícias e quer saber o que se passa, ou se tem uma backdoor no seu computador e precisa de se livrar dela agora mesmo, está no sítio certo. Continue a ler e prepare-se para aprender tudo o que sempre quis saber sobre backdoors.

"Uma backdoor refere-se a qualquer método através do qual utilizadores autorizados e não autorizados conseguem contornar as medidas de segurança normais e obter acesso de utilizador de alto nível (também conhecido como acesso à raiz) num sistema informático, rede ou aplicação de software."

Notícias sobre backdoors

Como é que as backdoors funcionam?

Vamos começar por perceber como é que os backdoors acabam no seu computador. Isso pode acontecer de duas maneiras diferentes. Ou a backdoor surge como resultado de malware ou por uma decisão intencional de fabrico (hardware ou software).

O malware backdoor é geralmente classificado como um Trojan. Um Trojan é um programa de computador malicioso que finge ser algo que não é, com o objetivo de entregar malware, roubar dados ou abrir uma backdoor no seu sistema. Tal como o cavalo de Troia da literatura grega antiga, os Trojans informáticos contêm sempre uma surpresa desagradável.

Os cavalos de Troia são um instrumento incrivelmente versátil no conjunto de ferramentas do cibercriminoso. Apresentam-se sob muitos disfarces, como um anexo de correio eletrónico ou o descarregamento de um ficheiro, e fornecem um grande número de ameaças de malware.

Para agravar o problema, os cavalos de Troia têm por vezes a capacidade de se replicarem e de se espalharem por outros sistemas sem quaisquer comandos adicionais dos cibercriminosos que os criaram. Tomemos, por exemplo, o cavalo de Troia bancário Emotet. O Emotet começou em 2014 como um ladrão de informação, espalhando-se por dispositivos e roubando dados financeiros sensíveis. Desde então, o Emotet evolu iu para um veículo de entrega de outras formas de malware. O Emotet ajudou a tornar o cavalo de Troia a principal ameaça detetada em 2018, de acordo com o relatório State of Malware.

Num exemplo de malware backdoor, os cibercriminosos esconderam malware dentro de um conversor de ficheiros gratuito. Sem surpresa, não converteu nada. De facto, o download foi concebido apenas para abrir uma backdoor no sistema alvo. Noutro exemplo, os cibercriminosos esconderam malware backdoor dentro de uma ferramenta usada para piratear aplicações de software Adobe (que isto seja uma lição sobre pirataria de software). E num último exemplo, uma aplicação de ticker de criptomoeda aparentemente legítima chamada CoinTicker funcionou como anunciado, exibindo informações sobre várias formas de criptomoeda e mercados, mas também abriu uma backdoor.

Uma vez que os cibercriminosos tenham conseguido entrar no sistema, podem empregar o que é conhecido como rootkit. Um rootkit é um pacote de malware concebido para evitar a deteção e ocultar a atividade na Internet (do utilizador e do seu sistema operativo). Os rootkits fornecem aos atacantes acesso contínuo aos sistemas infectados. Essencialmente, o rootkit é o batente da porta que mantém a porta dos fundos aberta.

"Os backdoors foram a quarta deteção de ameaças mais comum em 2018, tanto para consumidores como para empresas - aumentos respetivos de 34 e 173 por cento em relação ao ano anterior."

As backdoors incorporadas ou proprietárias são implementadas pelos próprios fabricantes de hardware e software. Ao contrário do malware backdoor, as backdoors incorporadas não são necessariamente concebidas com um objetivo criminoso em mente. Na maior parte das vezes, as backdoors incorporadas existem como artefactos do processo de criação de software.

Os programadores de software criam estas contas backdoor para poderem entrar e sair rapidamente das aplicações enquanto estas estão a ser codificadas, testar as suas aplicações e corrigir erros de software (ou seja, erros) sem terem de criar uma conta "real". Não é suposto que estas backdoors sejam fornecidas com o software final lançado ao público, mas por vezes acontecem. Não é o fim do mundo, mas há sempre a possibilidade de uma backdoor proprietária cair nas mãos dos cibercriminosos.

Embora a maioria das backdoors integradas de que temos conhecimento se enquadrem na primeira categoria (ou seja, a categoria "ups, não queríamos ter colocado isso aí"), os membros do pacto de partilha de informações Five Eyes (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) pediram à Apple, ao Facebook e à Google que instalassem backdoors na sua tecnologia para ajudar na recolha de provas durante investigações criminais. Embora as três empresas tenham recusado, todas elas fornecem dados a jusante na medida exigida por lei.

Os países dos Cinco Olhos sublinharam que estas "backdoors" são do interesse da segurança global, mas há um grande potencial para abusos. A CBS News descobriu que dezenas de polícias de todo o país utilizaram as bases de dados criminais atualmente disponíveis para se ajudarem a si próprios e aos seus amigos a assediarem as suas ex, a assediarem as mulheres e a assediarem os jornalistas que se sentiram ofendidos com os seus assédios e assédios.

Dito isto, e se as agências governamentais decidissem que não iam aceitar um "não" como resposta?

Isto leva-nos à backdoor da cadeia de abastecimento. Tal como o nome sugere, uma backdoor da cadeia de abastecimento é inserida sub-repticiamente no software ou no hardware em algum ponto da cadeia de abastecimento. Isto pode acontecer quando as matérias-primas são enviadas do fornecedor para o fabricante ou quando o produto acabado vai do fabricante para o consumidor.

Por exemplo, uma agência governamental poderia intercetar routers, servidores e equipamento de rede diverso a caminho de um cliente e instalar uma backdoor no firmware. E, a propósito, a Agência de Segurança Nacional dos EUA (NSA) fez isso mesmo, como revelado nas revelações de vigilância global de Edward Snowden em 2013.

As infiltrações na cadeia de abastecimento também podem ocorrer no software. Veja-se o código-fonte aberto, por exemplo. As bibliotecas de código de fonte aberta são repositórios gratuitos de código, aplicações e ferramentas de desenvolvimento que qualquer organização pode utilizar em vez de codificar tudo de raiz. Parece ótimo, certo? Toda a gente a trabalhar em conjunto para um bem maior, partilhando os frutos do seu trabalho uns com os outros. Na maior parte das vezes, é ótimo. Qualquer contribuição para o código fonte está sujeita a análise, mas houve casos em que o código malicioso chegou ao utilizador final.

Nesse sentido, em julho de 2018, foi encontrado malware de criptomineração dentro de uma aplicação (ou "snap", como lhe chamam no mundo do Linux) para o Ubuntu e outros sistemas operativos baseados em Linux. A Canonical, os criadores do Ubuntu, admitiu: "É impossível que um repositório de grande escala só aceite software depois de cada ficheiro individual ter sido revisto em pormenor".

As backdoors e os exploits são a mesma coisa?

Malwarebytes Labs define exploits como "vulnerabilidades conhecidas no software que podem ser utilizadas para obter algum nível de controlo sobre os sistemas que executam o software afetado". E sabemos que uma backdoor funciona como uma entrada secreta no nosso computador. Então, as backdoors e os exploits são a mesma coisa?

Embora as backdoors e os exploits pareçam muito semelhantes à primeira vista, não são a mesma coisa.

Os exploits são vulnerabilidades acidentais de software utilizadas para obter acesso ao seu computador e, potencialmente, implementar algum tipo de malware. Por outras palavras, os exploits são apenas bugs de software que os investigadores ou os cibercriminosos descobriram uma forma de aproveitar. Os backdoors, por outro lado, são deliberadamente colocados pelos fabricantes ou cibercriminosos para entrar e sair de um sistema à vontade.

"As explorações são vulnerabilidades acidentais de software utilizadas para obter acesso ao computador e, potencialmente, instalar algum tipo de malware.... As backdoors, por outro lado, são colocadas deliberadamente pelos fabricantes ou cibercriminosos para entrar e sair de um sistema à vontade."

O que é que os hackers podem fazer com uma backdoor?

Os piratas informáticos podem utilizar uma backdoor para instalar todo o tipo de malware no seu computador.

  • O spyware é um tipo de malware que, uma vez instalado no seu sistema, recolhe informações sobre si, os sites que visita na Internet, os ficheiros que descarrega, os ficheiros que abre, os nomes de utilizador, as palavras-passe e tudo o que tenha valor. Uma forma menos comum de spyware, designada por keyloggers, rastreia especificamente cada batida de tecla e clique que faz. As empresas podem utilizar spyware/keyloggers como um meio legítimo e legal de monitorizar os empregados no trabalho.
  • O ransomware é um tipo de malware concebido para encriptar os seus ficheiros e bloquear o seu computador. Para recuperar essas preciosas fotografias, documentos, etc. (ou qualquer tipo de ficheiro que os atacantes escolham como alvo) tem de pagar aos atacantes através de alguma forma de moeda criptográfica, normalmente Bitcoin.
  • Utilizar o seu computador num ataque DDoS. Utilizando a backdoor para obter acesso de super-utilizador no seu sistema, os cibercriminosos podem assumir o comando do seu computador remotamente, inscrevendo-o numa rede de computadores pirateados, também conhecida como botnet. Com esta rede de computadores zombie, os criminosos podem então sobrecarregar um sítio Web ou uma rede com tráfego proveniente da rede de bots, naquilo que é conhecido como um ataque distribuído de negação de serviço (DDoS). A inundação de tráfego impede que o sítio Web ou a rede respondam a pedidos legítimos, deixando efetivamente o sítio fora de serviço.
  • O malware Cryptojacking foi concebido para utilizar os recursos do seu sistema para minerar criptomoedas. Em suma, sempre que alguém troca criptomoedas, a transação é registada num livro virtual encriptado conhecido como blockchain. A criptomineração é o processo de validação dessas transações online em troca de mais criptomoedas e requer uma enorme quantidade de poder de computação. Em vez de comprar o dispendioso hardware necessário para a criptomineração, os criminosos descobriram que podem simplesmente alistar computadores pirateados numa botnet que funciona da mesma forma que as dispendiosas quintas de criptomineração.

Qual é a história das backdoors?

Aqui está uma retrospetiva de algumas das mais (in)famosas backdoors, tanto reais como fictícias, desde os primórdios dos computadores.

Pode dizer-se que as backdoors entraram na consciência pública no filme de ficção científica de 1983 Jogos de Guerrade 1983, protagonizado por Matthew Broderick (no que parece ser um teste para Ferris Bueller). No papel de David Lightman, um hacker adolescente traquina, Broderick usa uma backdoor para aceder a um supercomputador militar concebido para fazer simulações de guerras nucleares. Sem o conhecimento de Lightman, o computador esquizofrénico não consegue distinguir a realidade da simulação. Além disso, um génio decidiu dar ao computador acesso a todo o arsenal nuclear dos Estados Unidos. O computador ameaça fazer explodir o mundo inteiro.

Em 1993, a NSA desenvolveu um chip de encriptação com uma porta traseira incorporada para utilização em computadores e telefones. Supostamente, o chip manteria as comunicações sensíveis seguras, permitindo simultaneamente que as forças da ordem e as agências governamentais desencriptassem e escutassem as transmissões de voz e de dados quando tal se justificasse. Os backdoors de hardware têm grandes vantagens em relação aos de software. Nomeadamente, são mais difíceis de remover - tem de se arrancar o hardware ou fazer uma nova atualização do firmware para o fazer. O chip, no entanto, descarrilou devido a preocupações com a privacidade antes de ser adotado.

Em 2005, a Sony BMG entrou no negócio das backdoors quando enviou milhões de CDs de música com um rootkit de proteção contra cópia nocivo. Mal sabia o utilizador que, ao ouvir a última edição de Now That's What I Call Music! o seu CD incluía um rootkit, que se instalava automaticamente assim que era inserido no computador.

Concebido para monitorizar os seus hábitos de audição, o rootkit da Sony BMG também o impedia de gravar CDs e deixava uma vulnerabilidade no seu computador que os cibercriminosos podiam aproveitar. A Sony BMG pagou milhões para resolver processos judiciais relacionados com o rootkit e recolheu ainda mais milhões de CDs.

Em 2014, descobriu-se que vários routers Netgear e Linksys tinham backdoors incorporados. A SerComm, o fabricante terceiro que montou os routers, negou ter colocado as backdoors no seu hardware de propósito. Mas quando o patch que a SerComm lançou acabou por esconder a backdoor em vez de a corrigir, tornou-se claro que a empresa não estava a fazer nada de bom. Ainda não se sabe exatamente o que a SerComm estava a tentar fazer com a backdoor.

Nesse mesmo ano, os programadores de software que trabalhavam num produto derivado do sistema operativo Android da Google (chamado Replicant) descobriram uma backdoor nos dispositivos móveis da Samsung, incluindo a série de telefones Galaxy da Samsung. A backdoor permitia, alegadamente, à Samsung ou a qualquer outra pessoa que dela tivesse conhecimento, o acesso remoto a todos os ficheiros armazenados nos dispositivos afectados. Em resposta à descoberta, a Samsung referiu-se à backdoor como uma "funcionalidade" que não representava "qualquer risco de segurança".

O outro famoso fabricante de telemóveis, a Apple, recusa-se a incluir backdoors nos seus produtos, apesar dos repetidos pedidos do FBI e do Departamento de Justiça dos EUA para o fazer. A pressão aumentou após os ataques terroristas de San Bernardino em 2015, em que o FBI recuperou um iPhone que pertencia a um dos atiradores. Em vez de comprometer a segurança dos seus dispositivos iOS , a Apple dobrou a aposta na privacidade e tornou os seus iPhones e iPads ainda mais difíceis de decifrar. O FBI acabou por retirar o seu pedido quando conseguiu piratear o iPhone mais antigo e menos seguro com a ajuda de um terceiro misterioso.

Os plug-ins que contêm código oculto malicioso para WordPress, Joomla, Drupal e outros sistemas de gestão de conteúdos são um problema constante. Em 2017, os investigadores de segurança descobriram um esquema de SEO que afectou mais de 300 000 sítios Web WordPress. O esquema centrava-se num plugin CAPTCHA para WordPress chamado Simply WordPress. Uma vez instalado, o Simply WordPress abria uma porta dos fundos, permitindo o acesso do administrador aos sítios Web afectados. A partir daí, o hacker responsável incorporou links ocultos para o seu site de empréstimo do dia de pagamento (outros sites com links para o seu site são óptimos para SEO).

2017 também foi testemunha do destrutivo ransomware NotPetya. O aparente paciente zero neste caso foi um cavalo de Troia backdoor disfarçado de atualização de software para uma aplicação de contabilidade ucraniana chamada MeDoc. Quando questionado, o MeDoc negou ser a fonte do NotPetya. A verdadeira questão é: porque é que alguém escolheria uma aplicação de contabilidade ucraniana muito suspeita chamada MeDoc?

Numa notícia de 2018 que parece o cenário de um thriller de filme B, a Bloomberg Businessweek informou que espiões chineses patrocinados pelo Estado se tinham infiltrado no fabricante de servidores Supermicro. Os espiões alegadamente instalaram chips espiões com backdoors de hardware em componentes de servidores destinados a dezenas de empresas tecnológicas americanas e organizações governamentais dos EUA - sobretudo a Amazon, a Apple e a CIA.

Uma vez instalados num centro de dados, os chips espiões comunicariam com os servidores chineses de comando e controlo (C&C), dando aos agentes chineses acesso ilimitado aos dados da rede. A Amazon, a Apple e vários funcionários do governo dos EUA refutaram as alegações feitas na história da Bloomberg. A Supermicro, em sua defesa, classificou a história como "virtualmente impossível" e nenhuma outra organização noticiosa a registou.

Finalmente, como exemplo de uma situação em que uma empresa gostaria de ter uma porta dos fundos, a bolsa de criptomoedas canadense QuadrigaCX foi notícia no início de 2019 quando o fundador da empresa morreu abruptamente durante as férias na Índia, levando a senha de tudo com ele. QuadrigaCX afirma que todos os US $ 190 milhões em participações de criptomoedas de clientes estão irremediavelmente trancados em "armazenamento refrigerado", onde ficarão por décadas e eventualmente valerão zilhões de dólares - ou nada, dependendo de como a criptomoeda vai.

Como posso proteger-me contra backdoors?

Boas notícias, más notícias. A má notícia é que é difícil identificar e proteger-se contra backdoors incorporados. Na maioria das vezes, os fabricantes nem sequer sabem que a backdoor está lá. A boa notícia é que há coisas que se podem fazer para nos protegermos de outros tipos de backdoors.

Altere as suas palavras-passe predefinidas. As pessoas que trabalham arduamente no departamento de TI da sua empresa nunca quiseram que a sua palavra-passe fosse "guest" ou "12345". Se deixar essa palavra-passe predefinida, criou involuntariamente uma porta dos fundos. Altere-a assim que possível e active a autenticação multi-fator (MFA) enquanto o faz. Sim, manter o registo de uma palavra-passe única para cada aplicação pode ser assustador. Umrelatório Malwarebytes Labs sobre privacidade de dados revelou que 29% dos inquiridos utilizavam a mesma palavra-passe em várias aplicações e dispositivos. Nada mau, mas ainda há espaço para melhorias.

Monitorizar a atividade da rede. Quaisquer picos de dados estranhos podem significar que alguém está a utilizar uma backdoor no seu sistema. Para impedir que isso aconteça, utilize firewalls para controlar a atividade de entrada e saída das várias aplicações instaladas no seu computador.

Escolha cuidadosamente as aplicações e os plug-ins. Como já referimos, os cibercriminosos gostam de esconder backdoors dentro de aplicações e plugins gratuitos aparentemente benignos. A melhor defesa neste caso é certificar-se de que as aplicações e os plug-ins que escolher provêm de uma fonte respeitável.

Os utilizadores de Android e Chromebook devem optar por aplicações da loja Google Play, enquanto os utilizadores de Mac e iOS devem optar pela App Store da Apple. Dica técnica relacionada com bónus - quando uma aplicação recém-instalada pedir permissão para aceder a dados ou funções no seu dispositivo, pense duas vezes. Sabe-se que as aplicações suspeitas conseguem passar pelos respectivos processos de verificação de aplicações da Google e da Apple.

Voltando ao estudo sobre a privacidade dos dados, a maioria dos inquiridos fez bem em controlar as permissões das aplicações, mas 26% disseram "não sei". Reserve algum tempo, possivelmente agora mesmo, para rever as permissões das aplicações nos seus dispositivosMalwarebytes para Android fará isso por si). Quanto aos plug-ins do WordPress e similares. Verifique as classificações e comentários dos utilizadores e evite instalar qualquer coisa com uma pontuação menos do que estelar.

Utilizar uma boa solução de cibersegurança. Qualquer boa solução anti-malware deve ser capaz de impedir que os cibercriminosos implementem os cavalos de Troia e os rootkits utilizados para abrir essas incómodas backdoors. Malwarebytes, por exemplo, tem soluções de cibersegurança para Windows, Mace Chromebook. Já para não falar do Malwarebytes para Android e do Malwarebytes para iOS, para que possa manter-se protegido em todos os seus dispositivos. Utilizadores empresariais - também os temos cobertos. Confira todas as soluções empresariaisMalwarebytes .

E se o seu interesse em backdoors vai para além do que leu aqui, não se esqueça de ler e subscrever o blogueMalwarebytes Labs . Lá encontrará todas as últimas notícias sobre backdoors e tudo o mais que importa no mundo da cibersegurança.