Tony Anscombe, Global Security Evangelist e Industry Partnerships Ambassador da ESET
Uma backdoor – em relação à software e hardware – é a capacidade de receber acesso a um endpoint, servidor, dispositivo ou rede, evitando a autenticação e outros processos e mecanismos padrões de segurança.
Quando tornamos métodos de acesso alternados e não publicados ao escrever códigos, desenvolvedores às vezes criam backdoors para evitar autenticações ou ainda como um backup de acesso, caso haja algum problema. Edward Snowden revelou que em 2013 algumas companhias sofreram pressão para instalar backdoors em seus produtos por meio de agências de espionagem governamentais.
Muito popular entre os cibercriminosos, backdoors em sistemas direcionados permitem que eles entrem e saiam da maneira que quiserem. O acesso pode acontecer por qualquer um ciente de sua existência ou que o encontre, ou ainda acessível somente pelo cibercriminoso ou quem o está controlando.
Como isso é feito pelos cibercriminosos
Independente do motivo por trás da backdoor, o livre acesso que ela permite é um grande risco de segurança que a maioria das empresas gostariam de evitar.
Os pesquisadores da ESET descobriram recentemente backdoors maliciosas que podem ser provenientes do notório grupo de ciberespionagem, chamado de Turla. O malware “Gazer” é muito comum em ataques direcionados a governos e diplomatas desde 2016. Mais detalhes sobre esse ataque podem ser encontrados aqui.
Backdoors maliciosas geralmente utilizam métodos padrões para criarem oportunidades de instalação, também conhecida como uma infecção. Por exemplo, o grupo Turla faz uso de campanhas de watering hole e spear-phishings para conseguirem atingir seus alvos.
Elas são instaladas a partir de vulnerabilidades nos navegadores ou extensões e são usadas para iniciar o processo de infecção de um dispositivo, eventualmente levando à criação de uma backdoor.
O spear-phishing é basicamente um ataque de phishing direcionado – uma campanha de e-mail que parece ser legítima, mas possui o objetivo de fazer com que você faça o download de um arquivo malicioso em anexo ou fazer com que o usuário clique em um link que o redireciona a uma página falsa infectada.
Quando uma porta se fecha, outra se abre
Uma vez que o malware está na rede ele irá buscar métodos de se comunicar, procurando uma porta aberta no servidor para se vincular a ela. Quando conectado, o invasor pode comandar e controlar a rede. O firewall seria uma medida de segurança útil, pois ele iria bloquear qualquer tentativa de conexão por fontes externas, enquanto o tráfego de fontes internas utilizando portas abertas podem ser menos restritos.
No entanto, assim que uma backdoor é acessada, ela pode ser usada para criar outras backdoors, criando um labirinto difícil de ser detectado e destruído. Dessa forma, para se proteger de invasões por meio de backdoors é necessário tecnologia e uma equipe de colaboradores, já que esses ataques geralmente são direcionados, assim como ataques de spear-phishing.
A educação em segurança da informação é essencial para que todos possam identificar e-mails com phishing e assim não cair em truques de engenharia social e mensagens falsas.
Educação, foco e boas práticas
Para combater essas ameaças, o monitoramento de rede em busca de padrões de tráfego ou conexões deve ser uma norma de procedimento. Isso se mostra necessário pois para descobrir o uso de seus dispositivos ou rede, isso requer um alto conhecimento técnico.
Uma boa prática é sempre atualizar sistemas, reduzindo o número de vulnerabilidades que um invasor pode explorar. Isso não se deve limitar somente a softwares; o hardware opera com um software, sendo assim, garantir que tudo esteja em sua última versão é muito importante. O monitoramento de versões de software sobre a rede tornará mais fácil a identificação de sistemas ou hardware com vulnerabilidades conhecidas.
Softwares anti-malware atualizados, proteção de endpoints, servidores e serviços reduzem significativamente as oportunidades dos invasores. A proteção anti-phishing ajuda na diminuição de riscos quanto uma ação equivocada por parte de um empregado ou colaborador.
Recomendo avaliar todas as tecnologias disponíveis da ESET para ajudar na proteção contra esses riscos; os produtos para empresas podem ser encontrados aqui. Além disso, o ESET Remote Administrator (ERA) é uma solução multipremiada.