Бекдор

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Бекдор
CMNS: Бекдор у Вікісховищі

Бекдо́р (від англ. back door, чорний хід) — в комп'ютерній системі (криптосистемі або алгоритмі) — це метод обходу стандартних процедур автентифікації, несанкціонований віддалений доступ до комп'ютера, отримання доступу до відкритого тексту, і так далі, залишаючись при цьому непоміченим. Бекдор може набувати форми встановленої програми (наприклад, Back Orifice) або може проникнути у систему через руткіт[1].

Початкові паролі можуть функціювати як бекдори, якщо вони не змінені користувачем. Деякі функції налагодження можуть також виступати як бекдори, якщо вони не будуть видалені в остаточній версії програми[2].

Огляд

[ред. | ред. код]

Загрози бекдорів стали помітними, коли багатокористувацькі та мережеві операційні системи стали поширеними. Пітерсен і Терн обговорювали комп'ютерні диверсії в статті, опублікованій в роботі 1967 конференції AFIPS[3]. Вони зазначили клас активних інфільтраційних атак, що використовують «люк» як точку входу в систему в обхід засобів захисту і дають прямий доступ до даних. Використання слова люк тут, вочевидь, збігається з більш пізніми визначеннями бекдора. Тим не менш, з появою криптографії з відкритим ключем термін люк набув іншого змісту. В цілому, такі порушення безпеки були обговорені детально в RAND Corporation доповіді цільової групи, опублікованій у ARPA, яку спонсорували Д.П Андерсон і Д.Д Едвардс у 1970 році[4].

Бекдор в системі авторизації може прийняти форму добре закодованої комбінації логіну і пароля, яка дає доступ до системи. Відомий приклад: такого роду бекдор був використаний як пристрій друку фільму Військові ігри (WarGames) в 1983, в якій архітектор комп'ютерної системи «WOPR» ввів складно кодований пароль (ім'я свого покійного сина), який давав користувачам доступ до системи і до незадокументованої частини системи (зокрема до режиму віртуальної реальності і прямої взаємодії зі штучним інтелектом).

Цікавим є невдалий бекдор у функції sys_wait4() в ядрі Linux (2003).[5][6] Розробка велась на пропрієтарній системі керування версіями BitKeeper[en], а на ніч код викладався на загальний огляд на більш поширеній CVS. Цю CVS і зламали, додавши у функцію sys_wait4() два рядки, що перевіряють вхідні дані на некоректну комбінацію прапорців.

Хоча число бекдорів в системах, що використовують власницьке програмне забезпечення (ПЗ, де сирцевий код не є загальнодоступним) не так багато, проте вони теж часто потрапляють під атаку. Програмістам навіть вдалося таємно впровадити велику кількість доброякісного коду, як великодні яйця в програми; такі випадки можуть включати в себе утримання від виконання будь-яких дій, звичайно, якщо це не дозволено.

Крім того, можна створити бекдор без зміни початкового коду програми, або навіть його зміни після компіляції. Це може бути зроблено шляхом переписування компілятора так, що він визнає код під час компіляції, який запускає включення бекдору в складеному виводі. Коли змінений компілятор знаходить такий код, він компілює його, як звичайно, але при цьому вставляє бекдор (можливо, процедуру розпізнавання пароля). Таким чином, коли користувач надає ці данні, він отримує доступ до деяких (швидше за все, до не задокументованих) аспектів роботи програми. Інформація про цю атаку вперше була викладена Кеном Томпсоном у своїй знаменитій роботі Reflections on Trusting Trust (див.нижче).

Чимало комп'ютерних хробаків, такі як Sobig і Mydoom, встановлюють бекдор на зараженому комп'ютері (зазвичай ПК під широкосмуговим управлінням Microsoft Windows і Microsoft Outlook). Такі бекдори можливо встановлені таким чином, що спамери можуть відправити небажані електронні листи від заражених машин. Інші програмні засоби, такі як Sony/BMG, що приховують наслідки злому, приховано поширилися на мільйони музичних CD дисків наприкінці 2005 року, вони визначалися як DRM засоби, в даному випадку, як агенти збору даних; обидві таємні програми регулярно встановлювали зв'язок з центральними серверами.

Традиційний бекдор є симетричним бекдором: будь-яким, котрий знаходить лазівку і в свою чергу може використовувати її. Поняття «асиметричний бекдор» було введено Адамом Янгом і Моті Юнгом[en] в Proceedings of Advances in Cryptology: Crypto '96. Асиметричний бекдор може бути використаним лише зловмисником, який впроваджує його, навіть якщо повне здійснення бекдора стає публічним (наприклад: за допомогою публікацій, знаходження і виявлення зворотньої розробки і т.д). Крім того, важко піддається чисельному рішенню виявити присутність асиметричного бекдора під чорним ящиком запитів. Цей клас атак був названий kleptography[en]; вони можуть бути виконані в програмному забезпеченні, апаратних засобах (наприклад, смарт-карти), або одночасно. Теорія асиметричних бекдорів є частиною більш великої області, яка називається Cryptovirology. Примітно, що NSA вставили клептографічний бекдор в стандарт Dual_EC_DRBG[7].

Приклади бекдорів

[ред. | ред. код]

У генерації RSA ключів існує асиметричний нелегальний бекдор. Даний OpenSSL RSA бекдор [Архівовано 21 лютого 2015 у Wayback Machine.] був розроблений Янгом і Юнгом; для отримання доступу він використовує виту пару еліптичних кривих[8].

У січні 2014 року, бекдор був виявлений в деяких продуктах Samsung Android, особливо в ряді пристроїв під назвою Galaxy. Фірмові версії Samsung Android оснащені бекдором, що забезпечує віддалений доступ до даних, що зберігаються на пристрої. Зокрема, програмне забезпечення Samsung Android, що відповідає за обробку зв'язку з модемом, за допомогою протоколу Samsung IPC, реалізує клас запитів, відомих як команди (RFS) віддаленого файлового сервера, що дозволяє оператору бекдора виконувати за допомогою модему віддалені операції вводу/виводу на жорсткому диску, телефоні чи іншому сховищі. Samsung — модем, який працює на складовій програмного забезпечення Android, включає в себе бездротове дистанційне керування, яке може бути використане як доступ до RFS команд і таким чином, як доступ до файлової системи пристрою[9].

Деякі дослідники вважають систему Intel Management Engine бекдором. У випадку компрометації зловмисниками ця система може бути використана як руткіт, завдяки якому буде отриманий повний контроль над комп'ютером жертви. При цьому у жертви відсутня будь-яка можливість дізнатись про компрометації цієї системи з ураженого комп'ютера. Дана система присутня у всіх чипсетах Intel для процесорів починаючи з сімейства Intel Core 2[10].

Станом на початок січня 2024 року, невідомий раніше бекдор для Android під назвою «Xamalicious» заразив близько 338 300 пристроїв через шкідливі програми в Google Play, офіційному магазині програм для Android. Компанія McAfee, що входить до App Defense Alliance, виявила 14 заражених програм у Google Play, причому три з них мали по 100 000 установок. Встановлено, що користувачі, встановлювали їх з середини 2020 року. Крім того, окремий набір з 12 шкідливих програм, що несуть загрозу «Xamalicious», статистика завантажень яких недоступна, поширюється в неофіційних сторонніх магазинах програм, заражаючи користувачів через завантажувані файли APK (пакет для Android)[11].

Примітки

[ред. | ред. код]
  1. wired.com: «How a Crypto ‘Backdoor’ Pitted the Tech World Against the NSA» (Zetter) 24 Sep 2013 [Архівовано 18 березня 2014 у Wayback Machine.]
  2. Архівована копія. Архів оригіналу за 26 червня 2014. Процитовано 11 жовтня 2014.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  3. H.E. Petersen, R. Turn. «System Implications of Information Privacy». Proceedings of the AFIPS Spring Joint Computer Conference, vol. 30, pages 291—300. AFIPS Press: 1967
  4. Security Controls for Computer Systems, Technical Report R-609, WH Ware, ed, Feb 1970, RAND Corp
  5. Про інцидент з wait4() на anticopyright.ru. Архів оригіналу за 15 жовтня 2014. Процитовано 23 жовтня 2014.
  6. Новина про спробу злому Linux на Slashdot. Архів оригіналу за 20 червня 2015. Процитовано 23 жовтня 2014.
  7. G+M: «The strange connection between the NSA and an Ontario tech firm» 20 Jan 2014. Архів оригіналу за 28 вересня 2014. Процитовано 22 жовтня 2014.
  8. cryptovirology.com page on OpenSSL RSA backdoor. Архів оригіналу за 21 лютого 2015. Процитовано 22 жовтня 2014.
  9. replicant.us: «Samsung Galaxy Back-door» 28 Jan 2014. Архів оригіналу за 10 березня 2014. Процитовано 22 жовтня 2014.
  10. Damien Zammit (Jun 15 2016). Intel x86s hide another CPU that can take over your machine (you can't audit it). Boing Boing. Архів оригіналу за 6 травня 2021. Процитовано 30 серпня 2017.
  11. Нова шкідлива програма Xamalicious для Android була встановлена ​​330 тисяч разів у Google Play. // Автор: Митник Михайло. 13.01.2024

Див. також

[ред. | ред. код]