بکدور یا درب پشتی (Backdoor) چیست؟
بکدور وسیلهای برای دسترسی به یک سیستم کامپیوتری یا دادههای رمزگذاری شده است که مکانیسمهای امنیتی مرسوم سیستم را دور میزند.
یک توسعهدهنده ممکن است یک بکدور ایجاد کند تا بتواند به یک برنامه کاربردی یا سیستم عامل برای عیبیابی یا اهداف دیگر دسترسی داشته باشد. با این حال، مهاجمان اغلب از بکدور استفاده میکنند و خود را به عنوان بخشی از یک اکسپلویت نصب میکنند. در برخی موارد، یک کرم یا ویروس برای استفاده از بکدور ایجاد شده توسط یک حمله قبلی طراحی شده است.
به عنوان یک ابزار اداری، یک ابزار حمله یا به عنوان مکانیزمی که به دولت اجازه دسترسی به دادههای رمزگذاری شده را میدهد، بکدور یک خطر امنیتی است زیرا همیشه عوامل تهدیدی وجود دارند که به دنبال هر گونه آسیب پذیری برای سوء استفاده هستند.
در مقاله 2000 خود، “چه کسی اعتماد شما را جلب می کند؟” مشاور امنیتی کارول فنلی از یک قیاس برای نشان دادن این وضعیت استفاده کرد: “به ساختمانی با یک سیستم امنیتی پیچیده نزدیک شوید که اسکن های زیستی، بررسی پس زمینه و کارها را انجام می دهد. یک خروجی پشتی تا بتوانند برای دود بیرون بیایند – و سپس امیدوار باشند که هیچ کس متوجه آن نشود.
عملکرد بکدور چگونه است؟
بکدورها میتوانند بسیار متفاوت باشند. به عنوان مثال، برخی از آنها توسط فروشندگان قانونی ایجاد میشوند، در حالی که برخی دیگر به طور سهوی در نتیجه خطاهای برنامه نویسی ایجاد میشوند. گاهی اوقات توسعه دهندگان در طول فرآیند توسعه از بکدور استفاده میکنند و پس از آن از کد تولید حذف نمیشوند.
بکدور نیز معمولاً از طریق بدافزارها ایجاد میشوند. یک ماژول بدافزار ممکن است خود به عنوان یک بکدور عمل کند، یا میتواند به عنوان یک بکدور خط اول عمل کند، به این معنی که به عنوان یک پلت فرم مرحله بندی برای دانلود ماژولهای بدافزار دیگر که برای انجام حمله واقعی طراحی شدهاند، عمل میکند.
الگوریتمهای رمزگذاری و پروتکلهای شبکه نیز ممکن است، حداقل به طور بالقوه، حاوی درهای پشتی باشند. برای مثال، در سال 2016، محققان توضیح دادند که چگونه اعداد اول مورد استفاده در الگوریتمهای رمزگذاری میتوانند به گونهای ساخته شوند که دشمن را قادر سازد تا اعداد اول الگوریتمهای رمزگذاری را که قبلاً تصور میشد امن هستند، فاکتور کند و در نتیجه رمزگذاری را بشکند.
در سال 2014، رویکردی به تولید اعداد تصادفی به نام Dual_EC_DRBG (مولد بیت تصادفی قطعی منحنی بیضوی دوگانه) دارای نقصی در آن یافت شد که اعداد دانه تصادفی حاصل را تا حدودی قابل پیش بینی کرد. اجماع جامعه امنیتی این بود که NSA اجازه استفاده از این استاندارد را داد، حتی با وجود اینکه میدانست ضعفی وجود دارد، تا بتوانند از آن به عنوان یک بکدور استفاده کنند.
تشخیص و پیشگیری
شناسایی بکدور و روشهای تشخیص سیستم عامل رایانه میتواند بسیار دشوار و متفاوت باشد. در برخی موارد، نرم افزار ضد بدافزار ممکن است قادر به شناسایی نرم افزارهای بکدور باشد. در موارد دیگر، متخصصان امنیتی ممکن است نیاز به استفاده از ابزارهای تخصصی برای شناسایی بکدور یا استفاده از ابزار نظارت بر پروتکل برای بازرسی بسته های شبکه داشته باشند.
چندین استراتژی مختلف برای جلوگیری از حملات بکدور وجود دارد. قبل از هر چیز، سازمانها باید بهترین شیوههای امنیتی را رعایت کنند، مانند اجتناب از نرم افزارهای نامعتبر و اطمینان از اینکه هر دستگاه توسط یک فایروال محافظت میشود. فایروالهای برنامه همچنین میتوانند به جلوگیری از حملات بکدور کمک کنند، زیرا آنها ترافیکی را که می تواند در پورتهای باز جریان یابد را محدود میکند. نظارت بر ترافیک شبکه برای امضاهایی که ممکن است نشان دهنده وجود یک بکدور باشد نیز مهم است.
حملات معروف بکدور
تعدادی از حملات بکدور با مشخصات بالا در چند دهه گذشته رخ داده است که به چند مورد از آنها اشاره میکنیم:
در اواخر سال 2020، یک شرکت امنیت سایبری به نام FireEye یک بکدور بسیار جدی را کشف کرد که در بهروزرسانیهای نرمافزار مدیریت شبکه Orion SolarWinds پنهان شده بود. مهاجمان که گمان میرود منشا آنها از دولت نشئت بگیرد. از SolarWinds برای تسهیل حمله جزیرهای استفاده کردند که بدافزاری را در شبکههای مشتریان Orion به منظور جمعآوری اطلاعات نصب میکرد. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بر این باور است که حمله در اوایل مارس 2020 آغاز شد و همه سازمانهای در معرض خطر در واقع توسط مهاجم برای اقدامات بعدی هدف قرار نگرفتند.
در اوایل سال 2021، یک شرکت امنیت سایبری هلندی یک حساب مخفی درب پشتی رمزگذاری شده را در فایروالهای Zyxel و کنترلکنندههای نقطه دسترسی (AP) کشف کرد. این حساب مخفی به مهاجمان اجازه میداد تا به خود امتیازات مدیریتی بدهند، از جمله توانایی تغییر تنظیمات فایروال و رهگیری ترافیک. بکدور از یک آسیب پذیری در اعتبارنامههای مورد استفاده برای به روز رسانی سیستم عامل فایروال و کنترلر AP سوء استفاده کرد.
حمله قابل توجه دیگر Back Orifice نام داشت. Back Orifice که در سال 1999 توسط یک گروه هکر که خود را Cult of the Dead Cow مینامیدند ایجاد شد، از آسیب پذیریهای سیستم عامل ویندوز (OS) برای نصب دربهای پشتی استفاده کرد که امکان کنترل از راه دور رایانههای ویندوز را فراهم میکرد.
Backdoor ها همیشه مبتنی بر نرم افزار نیستند و همیشه توسط گروههای هکر سرکش ایجاد نمیشوند. در سال 2013، نشریه خبری آلمانی اشپیگل گزارش داد که واحد عملیات دسترسی مناسب آژانس امنیت ملی کاتالوگ اطلاعاتی را در اختیار دارد.
منبع: searchsecurity
لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.
مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.