Tra i pericoli per la cybersecurity, le backdoor sono tra le più insidiose, veicoli di virus e altre minacce IT. Per difendersi occorre conoscerle e attuare alcuni stratagemmi.
Backdoor è un “metodo non autorizzato per ottenere l’accesso a un sistema informatico”. Così lo definisce NIST, aggiungendo che esso è “un potenziale rischio per la sicurezza”. Più che potenziale, è reale e diffuso. Quanto sia ampio e pericoloso lo mette in evidenza l’ultimo report annuale di Trend Micro sulla cybersecurity, da poco pubblicato. In esso si registra un massiccio aumento di rilevamenti backdoor (86,2%) nel 2022 in confronto al 2021. Questo aumento ha portato a essere la quarta principale minaccia, dietro a virus, worm e ramsomware.
Gli hacker sono in grado di utilizzare backdoor per installare qualsiasi tipo di malware su qualunque computer. Gli attacchi backdoor possono essere operazioni su larga scala, mirate a un’organizzazione governativa o all’infrastruttura IT aziendale. Tuttavia, vengono utilizzati anche contro computer e sistemi di privati cittadini. Nessuno, quindi, è al sicuro.
Cos’è una backdoor
Letteralmente, backdoor significa “porta sul retro” ed è proprio la perfetta metafora per spiegare come funziona. I ladri di solito non entrano in una casa dalla porta frontale, ma cercano di farlo utilizzando l’accesso secondario, perfetto per non farsi notare e agire indisturbati. Allo stesso modo funzionano le backdoor: a differenza di altre minacce informatiche che si fanno notare, sono molto discrete. Ma, in pratica, cos’è una backdoor? Con questo termine ci si riferisce a qualsiasi metodo mediante cui gli utenti autorizzati e non autorizzati possono aggirare le normali misure di sicurezza e ottenere un accesso utente su un sistema informatico, una rete o un’applicazione software. Una volta entrati, i criminali informatici sono in grado di utilizzare una backdoor per rubare dati personali e finanziari, installare malware e infettare i dispositivi.
Tuttavia non sono impiegate solo per fini malevoli. Infatti, possono essere installate da produttori di software o hardware per ottenere l’accesso alla loro tecnologia nel caso di necessità. Sono utili per aiutare i clienti bloccati dai loro dispositivi o per la risoluzione dei problemi lato software.
Il termine backdoor venne coniato negli anni Ottanta del secolo scorso, riferendosi ad account segreti o password creati per consentire a qualcuno sconosciuto l’accesso a un sistema.
Nella cultura di massa è divenuto “famoso” con il film di fantascienza WarGames, del 1983 in cui il protagonista, un hacker adolescente, utilizza una backdoor per ottenere l’accesso a un supercomputer militare progettato per eseguire simulazioni di guerra nucleare.
Dalla fantasia alla realtà il passo è breve: nel 1993 la National Security Agency statunitense sviluppò un chip di crittografia con una backdoor incorporata da utilizzare in computer e telefoni in modo da mantenere sicure le comunicazioni sensibili e consentire alle forze dell’ordine e alle agenzie governative di decrittare e ascoltare le trasmissioni vocali e di dati quando necessario.
Negli anni si sono susseguiti episodi che hanno visto l’impiego spesso malevolo di backdoor. Solo l’anno scorso Sucuri (azienda specializzata in soluzioni di sicurezza per WordPress) ha segnalato una campagna di malware mirata su migliaia di siti Web WordPress per reindirizzare i visitatori a siti Web fasulli. Da settembre 2022, l’attività di analisi SiteCheck ha messo in luce l’impiego di oltre 70 domini fake per ridurre la lunghezza delle URL, infettando più di 10.800 siti WordPress. Solo nel 2023 sono stati rilevati oltre 2.600 siti infetti, grazie all’impiego delle backdoor.
Come funziona
Le backdoor, come detto, possono essere impiegate per scopi malevoli o benevoli. Nel contesto di un attacco informatico, esse fungono da meccanismi nascosti utilizzati dagli aggressori per accedere a un sistema senza autenticazione. Un attacco backdoor si verifica quando gli attori delle minacce le adottano per ottenere l’accesso remoto a un sistema. Questo tipo di insidia consente agli aggressori di ottenere il controllo delle risorse di sistema, eseguire ricognizioni della rete e installare diversi tipi di malware. In alcuni casi, gli aggressori progettano un worm o un virus per sfruttare una backdoor esistente creata dagli sviluppatori originali o da un’aggressione precedente.
Quali azioni dannose possono essere intraprese dai cyber criminali una volta che accedono a un sistema? È prefigurabile la messa in atto di furti d’informazioni sensibili, eseguire transazioni fraudolente, installare spyware e trojan, lanciare attacchi Denial of Service (DoS), deturpare siti web.
I produttori, invece, a volte usano le backdoor per scopi legittimi, come ripristinare la password persa di un utente o fornire a enti governativi l’accesso a dati crittografati.
Cosa è possibile fare con una backdoor
Gli hacker malevoli sono abili a utilizzare una backdoor per installare qualsiasi tipo di malware sui computer, compromettendone la sicurezza. Possono installare uno spyware, ovvero un tipo di malware che, una volta distribuito sul sistema, raccoglie informazioni sul proprietario (e vittima) del computer, ottenendo informazioni varie.
Altro pericolo che si corre è il rischio di essere infettati, tramite accesso backdoor, con ransomware, un tipo di malware progettato per crittografare i file e bloccare il computer su cui viene installato, richiedendo alla vittima un riscatto per liberarlo.
Tramite backdoor è possibile usare un computer per un attacco DDoS (Distributed Denial of Service) Utilizzando la backdoor per ottenere l’accesso di superutente al sistema, i criminali informatici possono prendere il controllo del computer da remoto, arruolandolo in una rete di computer compromessi, nota anche come botnet. Con essa, i criminali sono in grado di sopraffare un sito Web o una rete con il traffico proveniente dalla botnet. Il flusso di traffico impedisce al sito web o alla rete di rispondere a richieste legittime, mettendo di fatto fuori servizio il sito.
Le backdoor intenzionali vengono messe in atto dagli stessi produttori di hardware e software. A differenza delle intenzioni criminali, quelle “benevole” esistono come artefatti del processo di creazione del software. Gli sviluppatori di software creano questi account backdoor in modo da entrare e uscire rapidamente dalle app mentre vengono codificate, testare le loro applicazioni e correggere bug del software.
Backdoor vs exploit
Quando si ha a che fare con le backdoor, spesso capita di parlare anche di exploit. Si tratta di vulnerabilità note nel software e che possono essere sfruttate per ottenere un certo livello di controllo sui sistemi che eseguono il software interessato. Paiono molto simili alle backdoor, ma non sono la stessa cosa. Gli exploit sono vulnerabilità software accidentali utilizzate per ottenere l’accesso al computer e/o distribuire malware. Per dirla in altro modo, gli exploit sono bug del software che è possibile sfruttate in modi differenti. La backdoor, invece, è messa intenzionalmente in atto dai produttori o dai cyber criminali per entrare e uscire da un sistema a piacimento.
Come proteggersi
Abbiamo visto come le backdoor siano minacce insidiose e capaci di veicolare virus e altri pericoli. C’è modo di difendersi? Sì, mettendo in pratica alcune raccomandazioni.
- Usare un antivirus. Impiegare un software antivirus avanzato permette di rilevare e prevenire un’ampia gamma di malware, inclusi trojan, cryptojacker, spyware e rootkit. Un antivirus rileverà i virus backdoor e li eliminerà prima che possano infettare sistemi IT.
- Adottare un firewall. I firewall sono essenziali per la protezione anti-backdoor: monitorano il traffico in entrata e in uscita su ogni dispositivo in cui sono installati. Se qualcuno al di fuori della rete approvata sta tentando di accedere al dispositivo, il firewall lo bloccherà e se un’app sul dispositivo che tenta di inviare dati a una posizione di rete sconosciuta, il firewall bloccherà anche quell’app.
- Monitorare l’attività di rete. Qualsiasi variazione anomala di dati potrebbe significare che qualcuno sta usando una backdoor sul sistema. Per evitare ciò, è bene utilizzare un firewall per tenere traccia delle attività in entrata e in uscita dalle varie applicazioni installate sul tuo computer.
- Cambiare / gestire le password. La periodica variazione delle password permette di tutelarsi da accessi indesiderati. Spesso, infatti, è risultato che nei sistemi violati mediante backdoor le password fossero deboli o di default. Meglio pensare all’adozione di password manager, che generano e memorizzano le informazioni di accesso per tutti i tuoi account. Tutte le informazioni sono crittografate in modo sicuro.
- Scegliere con attenzione applicazioni e plug-in. Ai criminali informatici piace nascondere backdoor all’interno di app e plug-in gratuiti apparentemente innocui. La migliore difesa in questi casi è assicurarsi che qualsiasi app e plug-in si scelga di attivare provenga da una fonte attendibile.
- Rimanere aggiornati su aggiornamenti/patch di sicurezza. La maggior parte degli hacker malevoli ricicla semplicemente gli stessi exploit e malware semplicemente perché ha dimostrato di funzionare. Il 34% dei professionisti IT in Europa ha ammesso che la propria azienda è stata violata a causa di una vulnerabilità senza patch. Ecco, quindi, perché il costante aggiornamento permette di tutelare la sicurezza ed essere più attrezzati agli attacchi backdoor.
