Come Funzionano le Backdoor

Spesso si tende ad associare i trojans alle backdoors: in realtà questa associazione è errata. Il trojan compie delle azioni all’insaputa dell’utente, ed è concepito per creare danni o per attivare a sua volta altre applicazioni; la backdoor (alla lettera in inglese porta sul retro) è un programma dannoso insediato nel computer vittima e spesso nascosto o camuffato, il cui scopo è quello di aprire un “corridoio” con l’esterno sfruttabile da chi sa che su quella macchina è installata la backdoor. Ma come funziona e cosa può fare in genere una backdoor? Vediamo di descriverlo di seguito. Una backdoor è generalmente composta da tre parti: il server, il client e lo scanner (che può anche essere integrato nel client). Il modulo server è quello che deve essere eseguito e quindi installato nel computer vittima, per aprire una determinata porta e renderlo quindi vulnerabile ad attacchi dall’esterno. Colui il quale ha intenzione di portare l’attacco usa in primo luogo lo scanner per effettuare un controllo su un determinato range (gruppo) di indirizzi IP, per ognuno dei quali viene effettuata una richiesta di accesso basata sulla porta in cui è in “ascolto” il server.

Nel momento in cui un IP “risponde”, significa che nella macchina associata a quell’indirizzo è in esecuzione il server. A questo punto, basta inserire nel client l’IP che ha risposto per accedere senza alcuna autorizzazione al computer vittima. Abbiamo dunque visto che per penetrare in un sistema tramite backdoor è necessario un indirizzo IP. Come molti di voi ben sanno, gli indirizzi IP nella stragrande maggioranza dei casi sono dinamici: essi variano cioè ad ogni nuova connessione alla rete. Una volta perso il collegamento client/server a causa della disconnessione da Internet della vittima sarebbe quindi necessario ricontrollare il range di IP per ritrovarla in un secondo momento.

Molte tra le backdoor superano questo problema: possono essere infatti settate per notificare, ad ogni nuova connessione, il relativo indirizzo IP. La notifica può avvenire tramite e-mail, IRC o ICQ. Una volta stabilito il collegamento client/server, le backdoor consentono di prendere il totale controllo della macchina. Esistono infatti delle opzioni che permettono di svolgere azioni di disturbo che mandano nel panico la vittima (apertura e chiusura cassetto CD-ROM, blocco del mouse o della tastiera, spegnimento dello schermo o rovesciamento delle immagini e molto altro), ma anche altre che consentono di recuperare informazioni personali, quali le password memorizzate (casella e-mail, chat, ecc.) nonché di esplorare il contenuto dell’hard disk, scaricare i file in esso contenuti o offendo anche la possibilità di formattarlo.

Molte backdoor consentono inoltre di installare un ulteriore strumento maligno: un keylogger. Si tratta di una parte del server preposta a monitorare i tasti premuti tramite tastiera e di salvarli in un apposito file sul disco fisso. Questo file è consultabile attraverso il client o il suo contenuto può venire inviato dal server mediante posta elettronica nel momento in cui viene stabilita una connessione ad Internet. E’ facile intuire quindi come sia semplice scovare anche in questo modo password, numeri di carte di credito, nonché altre informazioni strettamente personali della vittima. Per poter svolgere il suo compito, il server della backdoor viene generalmente eseguito ad ogni avvio del sistema operativo (usando diverse modalità che verranno descritte in seguito). A differenza delle altre applicazioni, spesso fa in modo di non comparire nella lista dei processi attivi (task) per non destare sospetti. Per concludere, Back Orifice, NetBus e SubSeven sono tra le backdoors più diffuse e conosciute.