Cibersegurança: O que é backdoor?
Imagine que você é um ladrão vigiando uma casa em busca de um possível roubo. Você vê uma placa de segurança “Área Vigiada” fixada no gramado da frente e a câmera da campainha. Sendo o ladrão astuto que você é, você pula a cerca que leva aos fundos da casa. Você vê que há uma porta dos fundos, cruza os dedos e experimenta a maçaneta – ela está destrancada. Para o observador casual, não há sinais externos de invasão. Na verdade, não há razão para que você não possa entrar nesta casa pela mesma porta dos fundos novamente, desde que não saqueie o lugar.
Os backdoors de computador funcionam da mesma maneira.
No campo da cibersegurança, o termo “backdoor” se refere a qualquer técnica que permite a usuários, tanto autorizados quanto não autorizados, evitar as medidas de segurança convencionais e adquirir acesso privilegiado (também conhecido como acesso root) a um sistema de computador, rede ou aplicativo de software. Depois de entrarem, os cibercriminosos podem usar um backdoor para roubar dados pessoais e financeiros, instalar malware adicional e sequestrar dispositivos.
Mas backdoors não são apenas para bandidos. Backdoors também podem ser instalados por fabricantes de software ou hardware como um meio deliberado de obter acesso à sua tecnologia após algum fato. Backdoors do tipo não criminoso são úteis para ajudar clientes que estão irremediavelmente bloqueados em seus dispositivos ou para solucionar problemas de software.
Ao contrário de outras ameaças cibernéticas que se tornam conhecidas pelo usuário (como o ransomware), os backdoors são conhecidos por serem discretos. Existem backdoors para que um grupo seleto de pessoas bem informadas obtenha acesso fácil a um sistema ou aplicativo.
Se você está preocupado com backdoors, ouviu falar de backdoors nas notícias e quer saber qual é o problema, ou se tem um backdoor em seu computador e precisa se livrar dele agora mesmo, você está no lugar certo. Continue lendo e prepare-se para aprender tudo o que você sempre quis saber sobre backdoors.
Como funcionam os backdoors?
Vamos começar descobrindo como os backdoors acabam no seu computador. Isso pode acontecer de algumas maneiras diferentes. Um backdoor pode ser originado tanto de um malware quanto de uma escolha deliberada durante a fabricação de hardware ou software.
Os malwares que criam backdoors são frequentemente categorizados como Trojans. Um Trojan é um software malicioso que se disfarça como um programa inofensivo, com o objetivo de instalar malware, roubar informações ou criar um backdoor no sistema. Assim como o lendário cavalo de Tróia da mitologia grega, os Trojans de computador trazem consigo uma surpresa indesejada.
Confira também: 10 Tipos de Software Malicioso Malware com Orientações para Cibersegurança
Os cavalos de Tróia são uma ferramenta extremamente versátil no arsenal dos cibercriminosos. Eles podem se apresentar de diversas formas, como anexos de e-mail ou arquivos para download, e carregam uma ampla gama de ameaças de malware.
Para piorar a situação, alguns cavalos de Troia têm a capacidade de se replicar e se propagar para outros sistemas de maneira semelhante a um worm, sem necessitar de comandos adicionais dos cibercriminosos que os desenvolveram. Veja, por exemplo, o Trojan bancário Emotet. O Emotet começou em 2014 como um ladrão de informações, espalhando-se por dispositivos e roubando dados financeiros confidenciais. Desde então, o Emotet evoluiu para um veículo de entrega para outras formas de malware. O Emotet ajudou a tornar o Trojan a principal detecção de ameaças em 2018, de acordo com o relatório State of Malware.
Em um exemplo de malware backdoor, os cibercriminosos esconderam o malware dentro de um conversor de arquivos gratuito. Nenhuma surpresa – não converteu nada. Na verdade, o download foi projetado exclusivamente para abrir um backdoor no sistema de destino. Em outro exemplo, os cibercriminosos esconderam malware backdoor dentro de uma ferramenta usada para piratear aplicativos de software da Adobe. E em um exemplo final, um aplicativo de ticker de criptomoeda aparentemente legítimo chamado CoinTicker funcionou conforme anunciado, exibindo informações sobre várias formas de criptomoeda e mercados, mas também abriu um backdoor.
Quando os cibercriminosos entram em ação, eles podem utilizar um rootkit, que é um conjunto de malware desenvolvido para evitar a detecção e esconder atividades na Internet (tanto do usuário quanto do sistema operacional). Rootkits garantem aos invasores acesso contínuo aos sistemas comprometidos. Em resumo, o rootkit funciona como a tranca que mantém a porta dos fundos permanentemente aberta.
Backdoors integrados ou proprietários são implementados pelos próprios fabricantes de hardware e software. Ao contrário do malware backdoor, os backdoors integrados não são necessariamente concebidos com algum propósito criminoso em mente. Na maioria das vezes, backdoors integrados existem como artefatos do processo de criação de software.
Os desenvolvedores de software criam essas contas backdoor para que possam entrar e sair rapidamente dos aplicativos à medida que são codificados, testar seus aplicativos e corrigir bugs de software (ou seja, erros) sem precisar criar uma conta “real”. Esses backdoors não deveriam ser fornecidos com o software final lançado ao público, mas às vezes são fornecidos. Não é o fim do mundo, mas sempre existe a chance de um backdoor proprietário cair nas mãos de cibercriminosos.
Embora a maioria dos backdoors integrados que conhecemos se enquadram na primeira categoria (ou seja, a categoria “opa, não queríamos colocar isso aí”), os membros do pacto de compartilhamento de inteligência Five Eyes (EUA, Reino Unido, Canadá , Austrália e Nova Zelândia) pediram à Apple, ao Facebook e ao Google que instalassem backdoors na sua tecnologia para ajudar na recolha de provas durante investigações criminais. Embora todas as três empresas tenham recusado, todas as três fornecem dados downstream na medida exigida por lei.
As nações dos Cinco Olhos sublinharam que estas portas dos fundos são do interesse da segurança global, mas há um grande potencial para abusos. A CBS News descobriu que dezenas de policiais em todo o Estados Unidos da América usaram bancos de dados criminais atualmente disponíveis para ajudar a si mesmos e a seus amigos a assediar suas ex-namoradas, atacar mulheres e assediar jornalistas que se ofendiam com seu assédio e intimidação.
Dito isto, e se as agências governamentais decidissem que não aceitariam um não como resposta?
Isso nos leva à porta dos fundos da cadeia de suprimentos (supply chain). Como o nome sugere, um backdoor da cadeia de suprimentos é inserido sub-ilegalmente no software ou hardware em algum ponto da cadeia de suprimentos. Isso pode acontecer à medida que as matérias-primas são enviadas do fornecedor ao fabricante ou à medida que o produto acabado segue do fabricante ao consumidor.
Por exemplo, uma agência governamental poderia interceptar roteadores, servidores e equipamentos de rede diversos completos a caminho de um cliente e, em seguida, instalar um backdoor no firmware. E, a propósito, a Agência de Segurança Nacional dos EUA (NSA) realmente fez isso, conforme revelado nas divulgações de vigilância global de Edward Snowden em 2013.
As infiltrações na cadeia de suprimentos também podem acontecer em software. Veja o código-fonte aberto, por exemplo. Bibliotecas de código-fonte aberto são repositórios gratuitos de código, aplicativos e ferramentas de desenvolvimento que qualquer organização pode usar em vez de codificar tudo do zero. Parece ótimo, certo? Todos trabalhando juntos para um bem maior, compartilhando os frutos do seu trabalho uns com os outros. Na maior parte, é ótimo. Qualquer contribuição para o código-fonte está sujeita a escrutínio, mas houve casos em que código malicioso chegou ao usuário final.
Em julho de 2018, por exemplo, um malware de criptomineração foi encontrado dentro de um aplicativo (ou “snap”, como é chamado no mundo Linux) para Ubuntu e outros sistemas operacionais baseados em Linux. Os desenvolvedores do Ubuntu admitiram: “É impossível para um repositório em grande escala aceitar software apenas depois que cada arquivo individual tiver sido revisado detalhadamente”.
Confira também: Desvendando a Engenharia Social na Segurança da Informação: O Que Você Precisa Saber
Como posso me proteger contra backdoors?
Boas notícias, más notícias. A má notícia é que é difícil identificar e proteger-se contra backdoors integrados. Na maioria das vezes, os fabricantes nem sabem que a porta dos fundos está lá. A boa notícia é que existem coisas que você pode fazer para se proteger de outros tipos de backdoors.
Altere suas senhas padrão. As pessoas trabalhadoras do departamento de TI da sua empresa nunca apoiariam que sua senha real fosse “convidado” ou “12345”. Se você deixar essa senha padrão em vigor, você criou involuntariamente um backdoor. Altere-a o mais rápido possível e ative a autenticação multifator (MFA) enquanto estiver fazendo isso.
Monitore a atividade da rede. Quaisquer picos de dados estranhos podem significar que alguém está usando um backdoor em seu sistema. Para impedir isso, use firewalls para rastrear atividades de entrada e saída de vários aplicativos instalados em seu computador.
Escolha aplicativos e plug-ins com cuidado. Como já abordamos, os cibercriminosos gostam de esconder backdoors dentro de aplicativos e plug-ins gratuitos aparentemente benignos. A melhor defesa aqui é garantir que todos os aplicativos e plug-ins escolhidos venham de uma fonte confiável.
Os usuários de Android e Chromebook devem usar os aplicativos da Google Play Store, enquanto os usuários de Mac e iOS devem usar a App Store da Apple. Dica técnica bônus: quando um aplicativo recém-instalado solicitar permissão para acessar dados ou funções em seu dispositivo, pense duas vezes. Sabe-se que aplicativos suspeitos passam pelos respectivos processos de verificação de aplicativos do Google e da Apple.
Reserve algum tempo, possivelmente agora, para revisar as permissões de aplicativos em seus dispositivos. Quanto aos plug-ins do WordPress e similares. Verifique as avaliações e comentários dos usuários e evite instalar qualquer coisa com uma pontuação baixa.
Use uma boa solução de segurança cibernética. Qualquer boa solução antimalware deve ser capaz de impedir que os cibercriminosos implantem cavalos de Tróia e rootkits usados para abrir backdoors incômodos.
Confira também: Cibersegurança: qual o melhor antivírus gratuito
E se o seu interesse em backdoors vai além do que você leu aqui, que tal se inscrever em um dos cursos de cibersegurança da IBSEC?
