Le backdoor in informatica sono paragonabili a porte di servizio (cioè le porte sul retro) che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico o un computer entrando nel sistema stesso.
Caratteristiche generali
Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico (amministratori di rete e sistemisti) per permettere una più agevole opera di manutenzione dell'infrastruttura informatica da remoto, mentre più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.
Un esempio celebre è il programma Back orifice, che attiva una backdoor sul sistema in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare la macchina.
Oltre ad essere molto pericolosi per l'integrità delle informazioni presenti sul sistema, le backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo DDoS.
I requisiti essenziali di ogni backdoor, al di là della sua "potenza", sono sicuramente:
- Invisibilità: Capacità di eseguire comandi senza che l'utilizzatore principale se ne accorga e proceda con il fix (risoluzione vulnerabilità).
- Versatilità: Capacità di adattarsi per superare i diversi sistemi di sicurezza che ogni pc può avere.
Funzionamento
Solitamente le backdoor non fanno altro che permettere l'accesso fra 2 computer diversi all'insaputa dell'infettato.
Solitamente usano sempre le stesse porte perché solitamente sono già aperte da altri programmi autorizzati come emule, quindi è più facile attivarsi e meno probabile che siano rilevati da antivirus.
I più comuni, però anche i meno pericolosi sono NetBus e DarkComet Rat, che offrono al pilota remoto una quantità smisurata di comandi effettuabili sulla macchina controllata, compresi lo sniffing remoto di tutti gli hardware.
Ma ne esistono di tanti tipi e solitamente sono programmati specificamente per la macchina da controllare, così da eseguire le azioni remote nel modo più efficiente possibile e da evitare di essere scoperti.
Tipologie
NetBIOS
Il protocollo NetBIOS è un protocollo remoto per la condivisione dei file instaurato nel sistema Windows 9x/ME che permetteva l'accesso da remoto non autorizzato, che ha comportato un enorme scompiglio fra gli utenti Windows che si sono visti violare la loro privacy.
Funzionava grazie alla porta 139 e chiunque conoscesse un'IP di un pc con porta 139 poteva connettersi e "curiosare" nel disco rigido del computer del malcapitato, con l'avvento dei Port Scanner chiunque poteva trovare un indirizzo IP vulnerabile. Tuttavia il problema venne ben presto risolto.
Trojan Horse
Il backdoor più comune è denominato Trojan e consiste in un codice eseguibile malevolo che permette di stabilire una connessione tra un pc locale, inconsapevole del rischio di attacco, e uno remoto dal quale viene portato l'attacco.
Una volta stabilita la connessione, un hacker può eseguire azioni che variano in funzione del server o del servizio con cui ha avuto accesso al pc sotto attacco. Tipicamente un trojan possiede meccanismi atti a raggirare i protocolli di sicurezza del sistema operativo usato, quindi è difficile capire da un'analisi superficiale se un computer infetto ha funzioni di backdoor.
Ogni giorno vengono creati e diffusi trojan sempre diversi per cui è consigliabile dotare il sistema operativo di software anti malware e antivirus aggiornati specifici per la rilevazione ed eradicazione di questi programmi malevoli.
Backdoor for exploit
Le backdoor possono essere sfruttati per portare a termine degli exploit, ad esempio su siti web.
Semplicemente sono codici maligni che vengono "iniettati" all'interno di un sito web, grazie ad un bug (difetto) di programmazione del sito stesso.
Ciò provoca l'interpretazione del nuovo codice come parte della programmazione del sito, anche se solitamente è una shell (interprete di comandi) che permette di eseguire azioni all'interno del sistema che ospita il sito web che generalmente sono concesse solo agli amministratori, senza richiedere nessun tipo di password o autenticazione.
Queste tecniche sono note come Remote File Inclusion o Code injection.
