بکدور یا درب پشتی (Backdoor) چیست؟

بکدور وسیله‌ای برای دسترسی به یک سیستم کامپیوتری یا داده‌های رمزگذاری شده است که مکانیسم‌های امنیتی مرسوم سیستم را دور می‌زند.

یک توسعه‌دهنده ممکن است یک بکدور ایجاد کند تا بتواند به یک برنامه کاربردی یا سیستم عامل برای عیب‌یابی یا اهداف دیگر دسترسی داشته باشد. با این حال، مهاجمان اغلب از بکدور استفاده می‌کنند و خود را به عنوان بخشی از یک اکسپلویت نصب می‌کنند. در برخی موارد، یک کرم یا ویروس برای استفاده از بکدور ایجاد شده توسط یک حمله قبلی طراحی شده است.

به عنوان یک ابزار اداری، یک ابزار حمله یا به عنوان مکانیزمی که به دولت اجازه دسترسی به داده‌های رمزگذاری شده را می‍‌‌‌‌‌‌دهد، بکدور یک خطر امنیتی است زیرا همیشه عوامل تهدیدی وجود دارند که به دنبال هر گونه آسیب پذیری برای سوء استفاده هستند.

در مقاله 2000 خود، “چه کسی اعتماد شما را جلب می کند؟” مشاور امنیتی کارول فنلی از یک قیاس برای نشان دادن این وضعیت استفاده کرد: “به ساختمانی با یک سیستم امنیتی پیچیده نزدیک شوید که اسکن های زیستی، بررسی پس زمینه و کارها را انجام می دهد. یک خروجی پشتی تا بتوانند برای دود بیرون بیایند – و سپس امیدوار باشند که هیچ کس متوجه آن نشود.

عملکرد بکدور چگونه است؟

بکدورها می‌توانند بسیار متفاوت باشند. به عنوان مثال، برخی از آن‌ها توسط فروشندگان قانونی ایجاد می‌شوند، در حالی که برخی دیگر به طور سهوی در نتیجه خطاهای برنامه نویسی ایجاد می‌شوند. گاهی اوقات توسعه دهندگان در طول فرآیند توسعه از بکدور استفاده می‌کنند و پس از آن از کد تولید حذف نمی‌شوند.

بکدور نیز معمولاً از طریق بدافزارها ایجاد می‌شوند. یک ماژول بدافزار ممکن است خود به عنوان یک بکدور عمل کند، یا می‌تواند به عنوان یک بکدور خط اول عمل کند، به این معنی که به عنوان یک پلت فرم مرحله بندی برای دانلود ماژول‌های بدافزار دیگر که برای انجام حمله واقعی طراحی شده‌اند، عمل می‌کند.

الگوریتم‌های رمزگذاری و پروتکل‌‍‌های شبکه نیز ممکن است، حداقل به طور بالقوه، حاوی درهای پشتی باشند. برای مثال، در سال 2016، محققان توضیح دادند که چگونه اعداد اول مورد استفاده در الگوریتم‌های رمزگذاری می‌توانند به گونه‌ای ساخته شوند که دشمن را قادر سازد تا اعداد اول الگوریتم‌های رمزگذاری را که قبلاً تصور می‌شد امن هستند، فاکتور کند  و در نتیجه رمزگذاری را بشکند.

در سال 2014، رویکردی به تولید اعداد تصادفی به نام Dual_EC_DRBG (مولد بیت تصادفی قطعی منحنی بیضوی دوگانه) دارای نقصی در آن یافت شد که اعداد دانه تصادفی حاصل را تا حدودی قابل پیش بینی کرد. اجماع جامعه امنیتی این بود که NSA اجازه استفاده از این استاندارد را داد، حتی با وجود اینکه می‌دانست ضعفی وجود دارد، تا بتوانند از آن به عنوان یک بکدور استفاده کنند.

تشخیص و پیشگیری

شناسایی بکدور و روش‌های تشخیص سیستم عامل رایانه می‌تواند بسیار دشوار و متفاوت باشد. در برخی موارد، نرم افزار ضد بدافزار ممکن است قادر به شناسایی نرم افزارهای بکدور باشد. در موارد دیگر، متخصصان امنیتی ممکن است نیاز به استفاده از ابزارهای تخصصی برای شناسایی بکدور یا استفاده از ابزار نظارت بر پروتکل برای بازرسی بسته های شبکه داشته باشند.

چندین استراتژی مختلف برای جلوگیری از حملات بکدور وجود دارد. قبل از هر چیز، سازمان‌ها باید بهترین شیوه‌های امنیتی را رعایت کنند، مانند اجتناب از نرم افزارهای نامعتبر و اطمینان از اینکه هر دستگاه توسط یک فایروال محافظت می‌شود. فایروال‌های برنامه همچنین می‌توانند به جلوگیری از حملات بکدور کمک کنند، زیرا آنها ترافیکی را که می تواند در پورت‌های باز جریان یابد را محدود می‌کند. نظارت بر ترافیک شبکه برای امضاهایی که ممکن است نشان دهنده وجود یک بکدور باشد نیز مهم است.

حملات معروف بکدور

تعدادی از حملات بکدور با مشخصات بالا در چند دهه گذشته رخ داده است که به چند مورد از آن‌ها اشاره می‌کنیم:

در اواخر سال 2020، یک شرکت امنیت سایبری به نام FireEye یک بکدور بسیار جدی را کشف کرد که در به‌روزرسانی‌های نرم‌افزار مدیریت شبکه Orion SolarWinds پنهان شده بود. مهاجمان که گمان می‌رود منشا آن‌ها از دولت نشئت بگیرد. از SolarWinds برای تسهیل حمله جزیره‌ای استفاده کردند که بدافزاری را در شبکه‌های مشتریان Orion به منظور جمع‌آوری اطلاعات نصب می‌کرد. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) بر این باور است که حمله در اوایل مارس 2020 آغاز شد و همه سازمان‌های در معرض خطر در واقع توسط مهاجم برای اقدامات بعدی هدف قرار نگرفتند.

در اوایل سال 2021، یک شرکت امنیت سایبری هلندی یک حساب مخفی درب پشتی رمزگذاری شده را در فایروال‌های Zyxel و کنترل‌کننده‌های نقطه دسترسی (AP) کشف کرد. این حساب مخفی به مهاجمان اجازه می‌داد تا به خود امتیازات مدیریتی بدهند، از جمله توانایی تغییر تنظیمات فایروال و رهگیری ترافیک. بکدور از یک آسیب پذیری در اعتبارنامه‌های مورد استفاده برای به روز رسانی سیستم عامل فایروال و کنترلر AP سوء استفاده کرد.

حمله قابل توجه دیگر Back Orifice نام داشت. Back Orifice که در سال 1999 توسط یک گروه هکر که خود را Cult of the Dead Cow می‌نامیدند ایجاد شد، از آسیب پذیری‌های سیستم عامل ویندوز (OS) برای نصب درب‌های پشتی استفاده کرد که امکان کنترل از راه دور رایانه‌های ویندوز را فراهم می‌کرد.

Backdoor ها همیشه مبتنی بر نرم افزار نیستند و همیشه توسط گروه‌های هکر سرکش ایجاد نمی‌شوند. در سال 2013، نشریه خبری آلمانی اشپیگل گزارش داد که واحد عملیات دسترسی مناسب آژانس امنیت ملی کاتالوگ اطلاعاتی را در اختیار دارد.

منبع: searchsecurity

لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.

 مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.