Cos’è un attacco backdoor?

Per definizione, da Enciclopedia Treccani online, per backdoor o porte di servizio si intende un programma (spesso indicato come botola) che consente di accedere a un altro programma aggirandone il sistema di protezione. In termini pratici, per capire cosa sono le backdoor, bisogna pensare a delle vere e proprie porte di servizio presenti in alcuni software. Anche se nel 90% dei casi le backdoor vengono create dai manutentori per avere un accesso diretto al software da remoto, diventano un obiettivo perfetto per malintenzionati, o nel gergo informatico hacker, che potrebbero mettere a segno un attacco backdoor tramite un blackdoor malware.

In informatica, troviamo diversi tipi di backdoor: tutte, nessuna esclusa, sono soggette ad attacchi. Ecco un elenco delle differenti porte di servizio che si possono incontrare:

• Rootkit: si tratta di un tipo di backdoor aggressiva, e quando si verifica in attacchi multipli la situazione diventa quasi irrecuperabile, soprattutto se si muove a livello di kernel.
• Bootnet: si tratta di un tipo di backdoor malware che attacca in maniera multipla e seriale diversi sistemi gestiti da una sola unità.

Come afferma il celebre generale e filosofo cinese Sun Tzu nel libro L’arte della guerra, conoscere il proprio “nemico” è fondamentale per vincere sia le battaglie che le guerre. Che sia in carne e ossa, come accadeva per Sun Tzu, o che si tratti invece di un backdoor trojan che infetta le porte di servizio dei nostri dispositivi, sapere come si muove la minaccia, come “pensa” e anticiparne le prossime mosse è vitale per la nostra sicurezza.

Ecco perché è importante sapere cos’è un attacco backdoor, oppure come individuare un backdoor malware, e conoscere in anticipo le conseguenze che questi backdoor trojan possono causare ai nostri sistemi.

Proprio come in uno sport, nell’attacco backdoor informatico c’è chi attacca e chi deve difendersi. In tal caso siamo noi e il nostro computer a doversi difendere.

Il malintenzionato può tentare in vari modi l’accesso alle porte di servizio; a tal proposito, vengono organizzati tre tipi di classi di attacco backdoor:

• RAT: è l’acronimo di Remote Access Trojan, e indica che siamo di fronte a un attacco backdoor trojan, il quale ha preso completo possesso non soltanto della nostra shell, ma di tutto il sistema.
• Reverse Shell: si tratta di una tecnica tanto ingegnosa quanto pericolosa. In pratica sarà il sistema attaccato ad aprire un varco e creare una connessione a favore del malintenzionato, che si ritroverà così all’interno del software su cui potrà eseguire qualsiasi comando.
• Botnet: si tratta di un attacco molto simile a un backdoor trojan, ma con la differenza (non trascurabile) che il Botnet avviene su larga scala, ma con un controllo meno dettagliato delle singole vittime.
• Stuxnet: Stuxnet è un worm informatico che ha utilizzato un attacco backdoor per infiltrarsi nei sistemi.

Cosa accade durante un attacco backdoor informatico?

Come per tanti campi del sapere, anche in informatica il modo migliore per capire un fenomeno è osservarlo. Ad esempio, in un attacco Reverse Shell potremmo trovare compromessa la nostra “cmd”, il celebre command prompt di Windows, e notare l’apertura di una “socket” che buca l’accesso al nostro sistema e permette una connessione da remoto.

Come accorgersi di essere sotto attacco backdoor?

La prima azione da fare quando si è vittima di un attacco backdoor malware o trojan è rendersene conto. Sembrerà una cosa banale, ma spesso gli utenti continuano a utilizzare i propri dispositivi, e dunque a fornire informazioni preziose, senza rendersi conto che il computer è stato colpito. Molte azioni non sono semplici da attuare e sono appannaggio di utenti competenti in sicurezza informatica, mentre altri piccoli accorgimenti possono essere fatti da chiunque.

Il primo segnale che può dirci se siamo sotto attacco backdoor potrebbe essere quello della rilevazione di un insolito traffico di dati in uscita. È possibile constatare facilmente questa eventualità anche con software o applicazioni gratuite. Un altro modo per capire se nel nostro sistema c’è un backdoor malware è quello di andare a vedere l’attività dei dischi con la presenza di file sospetti nella directory root di qualsiasi altro drive.

Inoltre, qualora ci si dovesse imbattere in trojan o malware di qualsiasi tipo, è molto importante “dare ascolto” all’antivirus e seguire le eventuali istruzioni.

Quali sono i rischi di un attacco backdoor?

Così come sono vari i tipi di attacchi backdoor (trojan, Netbot, etc), diversi sono i rischi per i nostri sistemi. Il primo rischio di attacco backdoor è sicuramente quello legato alla privacy, con relativa sottrazione di informazioni personali e dati riservati. In linea di massima, i rischi attacco backdoor sono i seguenti:

• Infettare il sistema per connetterlo a una botnet e creare attacchi di massa, come ad esempio un attacco DDoS.
• Registrare dati personali, interazioni, preferenze, costumi, abitudini e conversazioni per scopi di social engineering;
• Cracking: impedire all’utente di utilizzare il proprio dispositivo. Si può attuare tramite varie tecniche: phishing, exploiting, con virus o social engineering.
• Diffondere “a catena” la stessa infezione a tutti gli altri sistemi connessi.

Abbiamo visto cos’è e come si comporta un attacco backdoor, uno dei tipi di attacchi informatici più utilizzati attualmente, ma ora è il momento per capire cosa fare quando veniamo attaccati. Bisogna innanzitutto disporre di un buon antivirus che possa proteggerci da backdoor trojan e backdoor malware, ma ovviamente questo non basta, altrimenti il problema sarebbe facilmente risolvibile.

Bisogna fare attenzione a installare solo applicazioni e software scaricate e acquistate da fonti affidabili, oltre che aggiornare regolarmente il proprio sistema operativo, Windows, o iOS che sia. L’attenzione va assolutamente riposta anche sulle password di tutti i dispositivi connessi in casa, da Alexa allo stereo, passando per il tablet e terminando con gli smartphone. Si può inoltre garantire la sicurezza del sistema grazie alle VPN, (Virtual Private Network), che permettono di navigare in anonimato e ridurre il rischio di furti di dati.

Negli ultimi tre anni, l’argomento sicurezza informatica è stato al centro dei discorsi di governi, amministrazioni e aziende di quasi tutto il mondo. Questo per diversi motivi, fra cui un mondo ormai completamente connesso e interconnesso e attacchi sempre più frequenti a istituzioni e organi governativi. Si parla sempre più spesso infatti di cyberwar, di sicurezza cibernetica, di hacker e di tutto ciò che rappresenta un rischio nel mondo virtuale, ormai sempre più frequentato.

In Italia, l’organo predisposto in materia di sicurezza informatica è l’Agenzia per la Cybersicurezza Nazionale, fondata nell’agosto del 2021 e diventata operativa dal mese successivo. Tale agenzia nasce con l’obiettivo di tutelare gli interessi nazionali nel campo della cybersicurezza. Un argomento che preoccupa e non poco i governi mondiali è proprio quello degli attacchi backdoor, le cui vittime sono spesso le catene di approvvigionamento aziendale (in inglese “supply chain”), e per cui si è registrato un aumento del 742% negli ultimi tre anni.