Ușa din spate

Această intrare sau secțiune privind securitatea cibernetică nu menționează sursele necesare sau cei prezenți sunt insuficienți . Putețiîmbunătăți această intrare adăugând citări din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor .

O ușă din spate (din termenul englezesc pentru ușă de serviciu sau ușă din spate ) este o metodă, adesea secretă, de a trece peste (bypass, bypass) autentificarea normală într-un produs, un sistem informatic , un criptosistem sau un algoritm .

Portierele din spate sunt adesea scrise în diferite limbaje de programare și au funcția principală de a depăși apărările impuse de un sistem, cum ar fi un firewall , pentru a accesa de la distanță un computer personal , obținând printr-un sistem de criptare o autentificare care vă permite să luați complet sau deținerea parțială a computerului victimei.

O ușă din spate poate fi ascunsă în secret într-un program de sistem nebănuit, un software separat sau poate fi, de asemenea, o componentă hardware rău intenționată, cum ar fi: echipamente de rețea, sisteme de supraveghere și unele dispozitive de infrastructură de comunicații care s-ar putea să se ascundă de ușile lor interne malitioase care permit intruziunea un posibil cibercriminal ( cracker ).

Caracteristici generale

În mod normal, aceste trucuri sunt instalate pe furiș, în unele cazuri sunt dorite în mod deliberat și pe scară largă, de exemplu, pot fi create în mod intenționat de către un manager de sistem IT ( administratori de rețea sau inginer de sisteme) permițând o întreținere mai ușoară a infrastructurii IT acționând pe computerul de la distanță al sistemului. software sau pentru a restabili parolele uitate de utilizatori.

Cu toate acestea, aceste găuri sunt adesea folosite de hackeri care intenționează să manipuleze sistemul.

Unele parole implicite pot acționa ca un backdoor dacă nu se fac verificările corecte și modificările de securitate corespunzătoare.

Unele caracteristici de depanare pot acționa, de asemenea, ca o eroare pentru a ocoli sistemul dacă nu sunt eliminate în versiunea oficială.

De asemenea, pot fi instalate în mod autonom de către unele programe malware (cum ar fi viruși , viermi sau troieni ), astfel încât să permită unui utilizator extern să preia controlul aparatului de la distanță fără permisiunea proprietarului.

În 1993, guvernul Statelor Unite a încercat să pună în aplicare un sistem de criptare, cipul Clipper, cu un backdoor explicit că autoritățile de aplicare a legii și de securitate națională au primit permisiunea de acces, dar acest cip nu. nivel.

Portierele din spate sunt adesea generate prin intermediul unor software-uri rău intenționate numite troieni care sunt instalate pe computerele victimelor prin înșelăciune, de exemplu prin trimiterea de e-mailuri care le invită să facă clic pe link-uri infectate ( phishing ) sau prin programe care aparent îndeplinesc funcții normale, dar care funcționează efectiv în fundal. infectați computerul (calul troian).

Sunt foarte periculoși, deoarece ocolesc sistemele de protecție a sistemului prin exploatarea porturilor firewall pe care le-a deschis utilizatorul pentru a permite funcționarea programelor pentru P2P (de exemplu, Emule) și asistență la distanță.

Un exemplu celebru este programul Back Orifice , care activează o ușă din spate pe sistemul în care este instalat, permițând oricui își cunoaște adresa IP să controleze mașina. Pe lângă faptul că sunt foarte periculoase pentru integritatea informațiilor prezente pe sistem, ușile din spate instalate de viruși pot fi folosite pentru a efectua atacuri DDoS (Distributed Denial Of Service).

Cerințele esențiale ale fiecărei uși din spate sunt:

• Transparență: Abilitatea de a executa comenzi fără ca utilizatorul principal să observe și să procedeze cu o remediere (rezoluția vulnerabilității).
• Versatilitate: Capacitate de adaptare pentru a depăși diferitele sisteme de securitate pe care le poate avea fiecare PC.

Trapdoor

O trapă este un punct de intrare nedocumentat la un modul sau program pe care un utilizator rău intenționat l-ar putea exploata pentru a accesa sistemul.

Crearea lor are loc de obicei cu bună-credință, deoarece sunt frecvent utilizate în procesul de dezvoltare a codului pentru testarea programului sau ulterior pentru actualizare ( actualizări ).

Odată ce software-ul este lansat , acestea trebuie eliminate pentru a evita lăsarea găurilor de securitate.

Un tip special de trapă este cel legat de un control aproximativ al erorilor dintr-un program, în special cu referire la datele de intrare.

Dacă nu este verificată admisibilitatea datelor de intrare , un utilizator rău intenționat ar putea de fapt provoca efecte nedorite în sistem.

Aceasta se întâmplă cu injecțiile SQL , unde atacatorul folosește un punct de intrare (cum ar fi un formular) pentru a furniza un șir SQL ( interogare ) capabil să provoace daune bazei de date (cum ar fi un tabel drop).

Așadar, verificarea întotdeauna a intrării este ceea ce vă așteptați este o regulă excelentă de aplicat pentru a asigura o securitate mai mare.

Documentele dezvăluite de Edward Snowden arată că, după 2010, NSA a introdus în secret portiere în software-ul comercial criptografic distribuit în întreaga lume prin colaborarea cu companiile producătoare ^[1] .

Observații

Amenințările din backdoor au început să apară odată cu extinderea internetului, făcând acest lucru odată cu creșterea numărului de utilizatori care fac parte din acesta.

Peterson și Turn, în timpul unei discuții în cadrul conferinței AFIPS din 1967, în timpul unei analize a atacurilor active, au descoperit utilizarea unor trapele pentru a ocoli structurile de securitate care permit accesul direct la date.

Utilizarea cuvântului cheie „trapdoor” coincide cu definiția de backdoor, totuși, datorită invenției criptografiei cu cheie publică, termenul trapdoor a căpătat un alt sens și, prin urmare, termenul de backdoor este acum preferat.

În general, astfel de încălcări ale securității au fost discutate pe larg într-un raport al Task Force RAND Corporation publicat în 1970 sub ARPA sponsorizat de JPAnderson și DJEdwards.

Un backdoor într-un sistem de autentificare poate injecta dinamic numele de utilizator și parola într-un formular , permițând astfel accesul la sistem.

Un exemplu faimos al acestui ultim tip a fost folosit ca complot al filmului Wargames din 1983, în care inginerul WOPR (War Operation Plan Response) prin introducerea numelui copilului său decedat ca parolă, a putut obține acces la sistem, permițând astfel vizualizarea documentelor, în care exista un joc video cu un simulator de inteligență artificială .

Deși companiile folosesc software proprietar (software al cărui cod sursă nu este disponibil publicului) pentru a apăra împotriva atacurilor din spate, acestea sunt la fel de vulnerabile la atacuri frecvente.

Cu toate acestea, unii programatori reușesc să instaleze în secret ouă de Paște în cadrul programelor, conștienți de posibilele măsuri judiciare în realizarea unui astfel de gest.

Cele mai frecvente, dar și cele mai puțin periculoase sunt NetBus și DarkComet Rat, care oferă o cantitate uriașă de comenzi care pot fi efectuate pe mașina controlată, inclusiv adulmecarea de la distanță a întregului hardware. Toate versiunile programului au fost utilizate pe scară largă de „ script kiddie ”, iar programul a fost popularizat și de lansarea Back Orifice, datorită dimensiunii sale mai mici, programul original avea 500 de fișiere executabile (.exe) KB.

Atacatorul poate folosi Back Orifice pentru a instala serverul NetBus pe computerul țintă, când este pornit pentru prima dată, serverul se va instala automat pe computerul gazdă, inclusiv schimbarea Registrului de sistem al Windows pentru a merge automat la fiecare boot de sistem . Serverul este un demon care ascultă conexiunile pe portul 12345 (în unele versiuni, numărul portului poate fi schimbat de la distanță).

Dar există multe tipuri și sunt de obicei programate special pentru mașina care urmează să fie controlată, astfel încât să efectueze acțiuni la distanță cât mai eficient posibil fără a fi detectate.

Majoritatea programelor antivirus detectează și elimină NetBus.

Tipuri

NetBIOS

Protocolul NetBIOS este un protocol de partajare la distanță a fișierelor configurat în sistemul Windows 9x / ME care a permis accesul la distanță neautorizat, ceea ce a dus la o tulburare enormă în rândul utilizatorilor Windows care și-au văzut încălcarea confidențialității .

A funcționat datorită portului 139 și oricine știa un IP al unui PC cu portul 139 se putea conecta și „snoop” pe hard diskul computerului victimei, odată cu apariția scanerelor de porturi, oricine ar putea găsi o adresă IP vulnerabilă. Cu toate acestea, problema a fost rezolvată curând.

Cal troian

Cel mai frecvent backdoor se numește troian și constă dintr-un cod executabil rău intenționat care vă permite să stabiliți o conexiune între un computer local, care nu conștientizează riscul de atac și unul la distanță de la care este adus atacul.

Odată ce conexiunea este stabilită, un cracker poate efectua acțiuni care variază în funcție de serverul sau serviciul cu care a accesat computerul atacat. De obicei, un troian are mecanisme pentru a ocoli protocoalele de securitate ale sistemului de operare utilizat, deci este dificil să înțelegem dintr-o analiză superficială dacă un computer infectat are funcții de backdoor.

În fiecare zi sunt creați și răspândiți troieni diferiți, astfel încât este recomandabil să echipați sistemul de operare cu software anti- malware și antivirus actualizat specific pentru detectarea și eradicarea acestor programe malware.

Backdoor pentru exploatare

Portierele din spate pot fi folosite pentru a efectua exploatări , de exemplu pe site-uri web .

Acestea sunt pur și simplu coduri rău intenționate care sunt „injectate” într-un site web , datorită unui bug (defect) din programarea site-ului în sine. Acest lucru determină interpretarea noului cod ca parte a programării site-ului, chiar dacă acesta este de obicei un shell (interpretor de comandă) care vă permite să efectuați acțiuni în cadrul sistemului care găzduiește site-ul web care sunt acordate în general numai administratorilor, fără a necesita orice fel de parolă sau autentificare.

Aceste tehnici sunt cunoscute sub numele de Includere fișiere la distanță sau Injecție cod.

Compilare în spatele ușii

Acest atac a fost prezentat inițial de Karger & Schell în 1974 ca „Trap Door insertion”, într-o analiză de securitate a Forței Aeriene a Statelor Unite de către Multics, unde au descris un astfel de atac asupra unui compilator PL / I, numit „compilator trapdoor”; în plus, este indicată o variantă în care codul de inițializare a sistemului este modificat prin inserarea unui backdoor în timpul bootului, această variantă este cunoscută și sub numele de „virus de boot ”.

Acest mecanism de backdoor se bazează pe faptul că oamenii verifică doar codul sursă, fără a compila codul sursă ( cod obiect ).

Un program numit compilator este folosit pentru a crea al doilea din primul și, de obicei, un compilator este folosit pentru aceasta, având încredere în el.

Thompson prezintă o versiune modificată a compilatorului Unix C care este capabilă să:

- introduceți un backdoor invizibil în timpul fazei de compilare a autentificării.

- cu posibilitatea includerii acestui mecanism în versiunile viitoare ale compilatorului în sine.

Deoarece compilatorul este un program compilat, ar fi extrem de puțin probabil ca utilizatorii umani să observe instrucțiunile de limbaj al mașinilor care îndeplinesc în mod ascuns aceste sarcini.

Ce este mai rău, într-o dovadă Thompson de implementare a acestui concept, compilatorul modificat modifică programul de analiză ( decompilatorul ), astfel încât oricine se uită la fișierele binare în mod obișnuit să nu vadă codul real rulând, ci altceva.

Usi din spate asimetrice

O ușă din spate este numită „simetrică” atunci când toți cei care o găsesc o pot folosi ei înșiși în mod liber.

Termenul „ușă din spate simetrică” a fost introdus de Adam Young și Moti Yung în „Proceedings of Advances in Cryptology” (proceduri avansate de criptologie ).

Un backdoor asimetric poate fi folosit doar de un atacator care știe deja existența acestei vulnerabilități , făcându-l public (de exemplu, prin publicațiile dezvăluite prin inginerie inversă etc.).

Această metodă nu poate fi urmărită din punct de vedere al calculului, această clasă de atacuri a fost numită cleptografie ; pot fi realizate în software, hardware (de exemplu, carduri inteligente ) sau o combinație a celor două.

Teoria asimetrică a backdoor-ului face parte dintr-un câmp mai mare numit acum criptovirologie.

Mai exact, NSA a încorporat o ușă din spate cleptografică în standardul dual EC DRBG .

Există un backdoor asimetric experimental în cheia de generație RSA .

Această portieră OpenSSL RSA creată de Young și Yung, folosește o pereche răsucită de curbe eliptice și a fost pusă la dispoziția publicului.

Strategii de atac

De fapt, cercetările arată că multe dintre ușile din spate utilizate în atacurile vizate au fost special concepute pentru a ocoli orice tip de sistem de detectare a intruziunilor ( IDS ).

Strategii de intruziune:

• Legarea portului - dezvăluie unde și cum sunt transmise și livrate mesajele în rețea.
• Conectare - În această strategie permite o conexiune de la servere la platforma victimei prin porturi care nu sunt protejate de firewall.
• Utilizarea disponibilității conectării - Această strategie implică utilizarea diferitelor eșantioane de programe malware nu numai pentru a încălca rețeaua, dar pentru a nu o detecta, pentru perioade lungi de timp. Acest lucru extinde faptul că hackerii trebuie să fure date sensibile de la țintă. Primul malware, sau „prima linie backdoor”, acționează ca o platformă pentru descărcarea celui de-al doilea eșantion, „a doua linie de backdoor”, care efectuează furtul real de informații.
• Abuz legitim de platformă - În această strategie, criminalii cibernetici abuzează de o platformă validă bine stabilită, cum ar fi un blog, de exemplu, și o utilizează pentru stocarea datelor trimise de serverul rău intenționat creat anterior pentru atac sau, în acest caz, colectat.

Exemple

Mulți viermi ai computerului (cum ar fi Sobig și Mydoom ) instalează un backdoor pe computerul infectat (de obicei un PC cu conexiune în bandă largă , care rulează Microsoft Windows și Microsoft Outlook ).

Astfel de portiere din spate sunt instalate cu scopul de a permite spammerilor să trimită mesaje nedorite de pe mașinile infectate.

Alții, cum ar fi rootkit-ul distribuit pe ascuns pe milioane de unități Sony / BMG la sfârșitul anului 2005, au depășit în mod ilegal măsurile de gestionare a drepturilor digitale ( DRM) , în acest caz special, ca colectoare de date; întrucât ambele programe ilegitime au transmis periodic date ascunse către serverele centrale.

În 2003, o încercare sofisticată de a implanta un backdoor în kernel-ul Linux a permis dezvoltatorilor de software să descopere o eroare în sistemul de operare, caz în care modificarea a două linii de cod a permis atacatorului să aibă permisiuni de acces root prin apelarea funcției sys_wailt4, se datorează faptului că simbolul = a fost utilizat în locul simbolului egalității de control ==, care corespunde simbolului de atribuire, caz în care condiția de acces a fost întotdeauna adevărată.

Această mică diferență este ușor trecută cu vederea și ar putea fi chiar interpretată ca o eroare tipografică accidentală, mai degrabă decât ca un atac intenționat.

În ianuarie 2014, a fost descoperit un backdoor în unele produse Samsung care au un sistem de operare Android , cum ar fi dispozitivele Samsung Galaxy.

Unele versiuni ale Samsung Android au un backdoor nativ care permite accesul de la distanță la datele stocate pe dispozitiv sau la întregul sistem de fișiere; În special, software-ul care se ocupă de gestionarea comunicării cu modemul: în special, utilizând protocolul Samsung IPC , este posibilă implementarea unei clase de cereri recunoscute ca comenzi RFS, care permite atacatorului să poată executa prin telecomandă operații de I / O modem pe hard disk periferic sau memorie.

Când procesul de modem se execută, este posibil să ofere telecomandă over-the-air, care ar putea fi utilizată pentru emiterea de comenzi RFS și astfel accesarea sistemului de fișiere al dispozitivului.

Cel marcat cu galben este ușa din spate ascunsă pentru autentificare ca administrator

Încredere Încredere

Acest atac datează de la Karger & Schell în 1974 și a fost popularizat în 1984 în articolul lui Kenneth Thompson , „Reflections on Trusting Trust”.

Primul care a vorbit despre acest atac a fost însuși Thompson, cu ocazia discursului pe care l-a ținut, în 1983, când a primit Premiul Turing , unul dintre cele mai râvnite premii din comunitatea informatică.

Aici el discută modul în care instrumentele folosite pentru a crea aplicații și toate software-urile pe care le folosim pot deveni vectori de atacuri asupra securității lor și, în special, povestește cum el însuși, pentru distracție, a introdus un backdoor în primele versiuni ale Unix sistemul de operare, care i-a permis să intre pe orice computer care i-a folosit creația fără să-și cunoască datele de conectare.

Și capcana nu era în cod: nici măcar un programator atent care a analizat codul sursă al sistemului de operare nu ar fi găsit nicio urmă a backdoor-ului în sine.

Capcana se afla în compilator: În timpul procedurii de compilare, compilatorul a introdus, doar într-o anumită parte a sistemului de operare, o capcană a cărei capcană nu avea nicio urmă în codul sursă citibil de către un om.

În acea seară, în camera plină de dapper profesori și hackeri cu barbă în cămăși înflorate în stil California, Ken a explicat cum printr-un proces de învățare progresivă software-ul ar putea încorpora informații în sine, înecând-o în mai multe niveluri interne decât o analiză obișnuită.

Afirmațiile lui Thompson au dezvăluit în cele din urmă modul în care ani de cercetare privind codul sursă Unix au eșuat: pur și simplu trebuia să se adâncească. Ken spunea că software-ul instalat pe o mașină nu este doar cel mai recent nivel de software instalat, ci și memoria a tot ceea ce s-a făcut înainte.

Contramăsuri

Odată ce sistemul a fost compromis cu un backdoor, cum ar fi compilatorul Trusting Trust, este foarte dificil pentru utilizatorul „legitim” să recâștige controlul sistemului original.

Cu toate acestea, în schema de încredere au fost sugerate mai multe puncte slabe practice.

De exemplu: un utilizator suficient de motivat ar putea examina cu atenție codul mașinii de compilare de încredere înainte de utilizare.

După cum sa menționat mai sus, există modalități de a ascunde troianul, cum ar fi subversarea decompilatorului; dar există și modalități de a contracara apărarea, cum ar fi să scrii propriul tău decompilator de la zero.

O metodă generică pentru a contracara atacurile de încredere se numește Diverse Double Compiling (DDC).

Această abordare necesită ca compilatorul de încredere să poată compila codul sursă al compilatorului părinte test.

Această metodă schimbă radical lucrurile, deoarece acum un atacator trebuie să subverseze simultan atât compilatorul original, cât și toate compilatoarele utilizate ca compilatoare de încredere.

Această metodă a fost aplicată de autorul său pentru a verifica dacă compilatorul C al suitei GCC , folosind ICC (v. 11.0) ca un compilator diferit, conținea un troian.

În practică, astfel de verificări nu sunt efectuate de utilizatorii finali, cu excepția cazurilor extreme de detectare și analiză a intruziunilor, datorită rarității unor astfel de atacuri sofisticate și deoarece programele sunt distribuite de obicei în formă binară.

Astfel de verificări sofisticate sunt de interes pentru furnizorii de sisteme de operare pentru a se asigura că nu există distribuții software compromise, în special în medii de înaltă securitate, unde aceste atacuri reprezintă o preocupare reală.

Lista Backdoor

• Back Orifice - a fost creat în 1998 de hackeri din grupul Dead Cow ca instrument de administrare la distanță. A permis computerelor Windows să fie controlate de la distanță printr-o rețea prin exploatarea similarității cu numele Microsoft BackOffice.
• Dual_EC_DRBG - Generator securizat criptografic de numere pseudo-aleatorii, a fost descoperit în 2013 că are o intrare cleptografică inserată în mod deliberat de NSA, din care deținea cheia privată.
• Mai multe portiere din copii neautorizate ale pluginului WordPress au fost descoperite în martie 2014. Au fost inserate sub formă de cod JavaScript ofuscat și create în tăcere, de exemplu, un cont de administrator în baza de date a site-ului. O schemă similară a fost expusă ulterior în pluginul Joomla .
• Versiunile Borland Interbase 4.0 până la 6.0 aveau un backdoor codat, pus acolo de dezvoltatori. Codul serverului conține un cont de backdoor compilat (nume de utilizator: din punct de vedere politic, parola corectă), care ar putea fi accesat printr-o conexiune de rețea și odată ce un utilizator s-a conectat cu acesta, dar puteți controla complet toate bazele de date Interbase. Ușa din spate a fost detectată în 2001 și un patch a fost eliberat.
• Juniper Networks Backdoor lansat în 2008 în versiunile de firmware ScreenOS 6.2.0r15 la 6.2.0r18 și 6.3.0r12 la 6.3.0r20 care oferă oricărui utilizator acces administrativ atunci când folosește o parolă master cu caractere speciale .

Notă

Elemente conexe

• Calculator
• Refuzul de serviciu
• Exploata
• adresa IP
• Programe malware
• NetBIOS
• Port (rețele)
• Sistem computerizat

Alte proiecte

• Wikicitată conține citate din sau pe Backdoor

linkuri externe

• http://blog.trendmicro.com/backdoor-attacks-work-protect/
• http://informaticasanitaria.it/2016/06/25/sul-dare-fiducia-trusting-trust/
• https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf
• http://www.swappa.it/wiki/Uni/ESP-Affidabilit%E0Software

Portal de securitate cibernetică : Accesați intrările Wikipedia care se ocupă de securitatea cibernetică