Le backdoor sono uno dei rischi più insidiosi per la sicurezza informatica, rappresentando una minaccia potenzialmente devastante per privacy e sicurezza dei dati. Una backdoor è una porta nascosta, una vulnerabilità intenzionalmente inserita in un sistema informatico, che consente ad un attaccante di accedere al sistema senza essere rilevato.

Questo tipo di vulnerabilità può essere creato da programmatori malevoli o da hacker che cercano di penetrare nei sistemi informatici, ma può anche essere introdotto involontariamente da sviluppatori che ignorano le potenziali implicazioni di sicurezza delle loro azioni.
In questo articolo esploreremo le varie tipologie di backdoor, i loro effetti sulla sicurezza informatica e le strategie per prevenirle e rilevarle.

backdoor

Se avete sentito parlare di minacce backdoor in informatica vi suggeriamo di leggere per intero il nostro articolo, scoprirete di che cosa si tratta.
Insieme, parleremo di che cos’è una backdoor, come funzionano queste minacce informatiche e quali sono i rischi che corre la vostra azienda.

  1. Backdoor in informatica, di che cosa si tratta?
  2. Backdoor e Exploit: le differenze
  3. Come funziona
  4. Come si creano 
  5. 3 tipi di backdoor
  6. Dove si usano 
  7. Perché può essere pericoloso un backdoor
  8. Come difendersi 

Backdoor in informatica, che cosa sono?

Il termine inglese backdoor in informatica significa letteralmente porta sul retro.
Tra coloro che si occupano di informatica, il concetto di porta sul retro fa riferimento ad un punto di accesso (porta) al sistema informatico aziendale che tuttavia consente a qualcuno che sta all’esterno di controllarlo.

Per i lettori più tecnici, potremo dire che nel mondo della sicurezza informatica, una backdoor è qualsiasi metodo con cui gli utenti autorizzati e non autorizzati sono in grado di aggirare le normali misure di sicurezza e ottenere un accesso utente di alto livello a diversi servizi: rete, applicazioni we-based, siti web, ecc…

Un esempio di accesso backdoor legittima potrebbe essere il programma TeamViewer: un software che permette la connessione remota ad un dispositivo.
Il concetto di porta sul retro in informatica nel tempo ha assunto tuttavia un’accezione negativa. Infatti, oggi il termine fa riferimento ad una minaccia cybercrime: ovvero, tutte quei software/configurazioni/vulnerabilità che permettono gli accessi illegittimi al sistema informatico di un utente vittima.

Backdoor e Exploit: si tratta del medesimo concetto?

Simili ma non sovrapponibili.

Il concetto di exploit si rifà ad una definizione ben specifica: si tratta di una vulnerabilità software che permette all’hacker di prendere il controllo di un sistema. Al contrario, il concetto di backdoor si riferisce ad una vulnerabilità che è stata deliberatamente inserita dai produttori o dai criminali informatici per entrare e uscire da un sistema.

Come funzionano le backdoor

Un’infezione di tipo backdoor per essere efficace necessità di 3 caratteristiche fondamentali:

  • trasparenza: intesa come presenza che rimane nascosta e risulta non rilevabile dai software antivirus
  • sfrutta le vulnerabilità di altre applicazioni web-based già esistenti (si installa in concomitanza con altri software)
  • versatilità: possono essere funzionali a tutti i sistemi operativi e a molti dispositivi.

Come si crea una backdoor

Considerato che esistono diverse tipologie di backdoor, dobbiamo considerare che ci sono anche diversi metodi per sfruttarle. In linea di massima una porta di accesso sul retro esiste grazie alla presenza di una vulnerabilità all’interno di un sistema o a bordo di un dispositivo.

Se l’hacker viene a conoscenza di questo punto debole, può arbitrariamente decidere di sfruttarlo per aprire una porta sul retro.
Fate attenzione, le porte non sono virus informatici. Non confondiamo i piani del discorso.

Può succedere che, per far sì che l’hacker possa aprire una porta debba usufruire dell’invio di file malevoli alla vittima: una volta che la vittima ha aperto i file, il pirata informatico può finalmente agire.

backdoor vulnerabilities

Tipologie di backdoor in informatica

Esistono diverse tipologie di funzionalità backdoor e tutte sono estremamente sfruttate dagli hacker in rete:

  • NetBIOS

Si tratta di un protocollo dei sistemi Windows che permette l’accesso remoto non autorizzato: questo particolare elemento è stato più e più volte messo in discussione perché vulnerabile e oggettivamente pericoloso per la privacy degli utenti. Fino a quando la casa madre non ha risolto il problema di sicurezza annesso a questo protocollo, si trattava di un vero accesso backdoor.

  • Trojan Horse

Conosciuti da tutti come virus trojan parliamo dei software backdoor più diffusi. Anche in questo caso, il virus viene allegato all’installazione di un software primario e permette di stabilire una connessione remota tra il dispositivo della vittima e l’hacker. A seconda del tipo di trojan, l’hacker potrà eseguire diverse azioni: in primis, aggirare la sicurezza del dispositivo. Uno dei trojan più famosi che fungono da backdoor è il RAT.

  • Exploit Backdoor

Uno dei motivi per cui un backdoor viene sfruttato sono gli exploit: in particolare sui siti web.

Si tratta di pezzi di codice malevolo che vengono inseriti sui siti web vulnerabili. Questa azione permette all’hacker di eseguire azioni nel sistema che ospita il sito, senza richiedere nessun tipo di password o autenticazione.

Come si usano oggi le backdoor in informatica?

Oggi, le backdoor sono elementi che vengono sfruttati e sono diffusi su molteplici dispositivi.
Se pensiamo ai moderni server in circolazione, questi ultimi possiedono particolari interfacce backdoor che consentono una serie di azioni sul dispositivo tra cui:

  • accensione
  • spegnimento
  • riconfigurazione di alcuni elementi.

Parallelamente, esistono anche molti apparati di rete che contengono delle porte sul retro legittime che consentono di accedere al pannello di amministrazione del sistema. Purtroppo, nel caso in cui queste porte di accesso non fossero correttamente impostate possono essere sfruttate da malintenzionati.

Questo è ciò che è capitato nel caso della botnet Mirai che qualche anno fa. L’attacco ha generato un vero e proprio esercito di dispositivi zombie per portare a termine a sua volta altri attacchi su larga scala. Infatti, il meccanismo backdoor è stato utilizzato per trasformare i dispositivi in bot e questi, sono stati impiegati– all’insaputa dell’utente – in un attacco DDoS.

Dovete pensare che ogni oggetto connesso a Internet (specialmente parlando di dispositivi IoT) ha installato al suo interno un software che funge da sistema operativo. Ebbene, molto spesso, questi applicativi risultano vulnerabili e non adeguatamente protetti a partire dalla casa madre: è proprio a questo punto che i criminali informatici sfruttano la loro predisposizione per trarne vantaggio. Sfruttando i punti deboli del software dei dispositivi, gli hacker riescono ad aprirsi un varco (backdoor) e riescono addirittura a prendere il controllo dell’intero dispositivo. Pensate se il dispositivo in questione è una webcam, una tastiera o un mouse.

I rischi tecnologici

Alcuni dei principali rischi informatici derivanti dalla presenza delle backdoor sono:

  • entrare a far parte di una botnet ovvero, rischiare che un hacker prenda il controllo del dispositivo, grazie alla presenza di una backdoor, e lo utilizzi per attaccare altre infrastrutture;
  • entrare nella rete informatica aziendale e diffondersi su tutti i dispositivi;
  • sottrarre informazioni e dati interni;
  • cracking, ovvero impedire all’utente di utilizzare il dispositivo normalmente.

Si può rimuovere una backdoor?

Prima di passare alla rimozione di una backdoor è bene porsi una domanda:

Riesco in autonomia a rilevare la presenza di una backdoor?

Purtroppo la risposta è NO, spesso e volentieri la rilevazione di una porta sul retro richiede l’intervento di un Vulnerability Assessment, ovvero un check-up di sicurezza dell’intera rete e dei dispositivi presenti. Tuttavia, per rimediare alla presenza di una porta sul retro indesiderata è possibile effettuare una serie di passaggi tra cui:

  • Se il vostro sistema informatico è gestito da un IT Manager, un buon sistema di prevenzione è la limitazione dei privilegi;
  • aggiornamento continuo di sistemi operativi e applicazioni (anche su dispositivi IoT);
  • disabilitate i servizi non necessari;
  • eliminate i browser che non utilizzate e se decidete di manteneteli e aggiornateli;
  • munitevi di un sistema di difesa dalle minacce informatiche che comprenda firewall, filtri della navigazione, software protezione endpoint professionali.

Come difendersi dalle backdoor

Per difendersi dalle backdoor è necessario adottare una serie di misure di sicurezza che prevedano sia la prevenzione che la rilevazione.
In primo luogo, è fondamentale utilizzare software e sistemi operativi affidabili e costantemente aggiornati, in modo da ridurre al minimo la presenza di vulnerabilità del sistema.
Inoltre, è consigliabile utilizzare strumenti di sicurezza come firewall, antivirus e antimalware per proteggere il sistema da attacchi esterni.
È anche importante adottare politiche di sicurezza aziendale chiare e rigorose, come l’utilizzo di password complesse e la limitazione dell’accesso ai dati sensibili solo ai dipendenti autorizzati.

Infine, per rilevare le backdoor è necessario monitorare costantemente il sistema alla ricerca di attività anomale, utilizzando strumenti di sicurezza specializzati e aggiornati. Con queste misure preventive e di rilevamento, è possibile proteggere efficacemente i sistemi informatici dalle backdoor e mantenere la sicurezza dei dati e della privacy.

Articoli che potrebbero interessarti: