در پشتی یا Backdoor چیست و چه خطراتی دارد؟

به گزارش گروه دانش و فناوری،سربازانی را تصور کنید که با پوشیدن لباس مبدل، به قلعه دشمن نفوذ می‌کنند و سپس با ایجاد حفره‌ای مخفی در دیوار پشت قلعه، منفذی می‌گشایند تا سربازان خودی وارد قلعه شوند. نفوذگران و مجرمان سایبری نیز برای رخنه در گوشی‌ها یا رایانه‌های دیگران، روش مشابهی به‌کار می‌برند. آن‌ها با سوء‌استفاده از ضعف‌های نرم‌افزاری یا سخت‌افزاری، روی دستگاه قربانی درِ مخفی باز می‌کنند تا از راه دور به‌آن دسترسی داشته باشند. آنگاه می‌توانند داده‌های کاربر را بربایند و هر بدافزار دیگری که می‌خواهند روی دستگاه نصب کنند. لذا فعال شدن «درِ پشتی» روی دستگاه قربانی، معمولا مقدمه‌ی حملات و آسیب‌های بعدی است. اکثر درهای پشتی برای نفوذ یا خرابکاری طراحی می‌شوند، اما بعضی از آن‌ها کاربردهای قانونی و مفید هم دارند که بعداً بیشتر درباره‌اش توضیح می‌دهیم.

بعضی از خطرات بعدیِ ناشی از نصب شدن درِ پشتی روی سامانه‌ی هدف چنین است:

• پایش
• سرقت داده
• رمزگشایی از پیغام‌ها/داده‌های رمزنگاری‌شده
• خراب‌کاری
• حمله‌های بدافزاری

 

کاربران از حمله‌های در پشتی ایمن نیستند و خرابکارها برای دسترسی به وسایل دیجیتالِ کاربران پیوسته روش‌ها و بدافزارهای جدیدی می‌سازند. خرابکارها با استفاده از در پشتی ممکن است فعالیت‌های مخربی مثل حملات DDoS ترتیب دهند، فایل‌ ارسال و دریافت کنند، تنظیمات دستگاه را تغییر دهند، از نمایشگر کاربر تصویر بگیرند و یا با انجام کارهای بی‌معنی مثل باز و بسته کردن درایو DVD، کاربر را آزار دهند. مثلا در یکی از نمونه‌ها، ادوارد اسنودن فاش کرد که آژانس امنیت ملی آمریکا (NSA) درهای پشتی خاصی را به هزاران وسیله الکترونیکی مصرفی و حتی به پروتکل‌های رمزنگاری رایج تحمیل کرده بود و لذا می‌توانست مکالمه‌ها را شنود و میکروفن‌ها و دوربین‌های کاربران را فعال و داده‌های کاربران را از راه دور جمع‌آوری کند.

 

در دنیای امنیت سایبری، «در پشتی» یا «درب پشتی» و به تعبیری در مخفی (بَک‌دُر: backdoor)، ابزار یا روشی است که نفوذگر بوسیله آن به گوشی/رایانه‌ی هدف دسترسی می‌یابد. بدیهی است که در حمله‌های نفوذی و خرابکارانه، دسترسی به دستگاه کاربر غیرمجاز و بدون اطلاع وی است.

همانطور که گفتیم، گاهی درهای پشتی برای مقاصد مفید نیز به کار می‌روند. از جمله، بعضی از سازندگانِ نرم‌افزار یا سخت‌افزار، روی محصولات‌شان در پشتی نصب می‌کنند تا بتوانند به مشتریان‌شان خدمات راه‌دور ارائه دهند و برای مثال نرم‌افزارها یا سفت‌افزارهای‌شان1 را عیب‌یابی یا به‌روزرسانی کنند. همچنین، کارشناس شبکه می‌تواند برای عیب‌یابی یا حتی رفع نقص رایانه‌های موجود در شبکه، روی آن‌ها در پشتی نصب کند تا بتواند مشکل را از راه دور شناسایی و حل کند. اما در حوزه امنیتی سایبری، منظور از در پشتی، عمدتاً نوع مجرمانه و مخرب آن است.

هر بدافزاری که نفوذگر بوسیله آن از راه دور به سامانه‌ی هدف دسترسی می‌‌یابد، نوعی در پشتی است. لذا انواع بدافزارها از جمله روت‌کیت‌ها، تروجان‌ها، جاسوس‌افزارها، کلیدضربه‌رباها، کرم‌ها و حتی باج‌افزارها ممکن است عملاً در نقش در پشتی ظاهر شوند.

درهای پشتی غیرمجاز به‌دو روش روی سامانه نصب می‌شوند:

• سخت‌افزاری/سفت‌افزاری: سخت‌افزار یا سفت‌افزارِ سامانه‌ی هدف، دستکاری می‌شود تا نفوذگر بتواند از راه دور به آن دسترسی یابد.
• نرم‌افزاری: بدافزارهایی روی رایانه/گوشی نصب می‌شوند و سیستم‌عاملِ رایانه‌/گوشی، کاربر غیرمجاز را از کاربر مجاز تشخیص نمی‌دهد.

مجرمان برای نصب در پشتی روی دستگاه ابتدا باید به‌نحوی به‌آن دست یابند؛ یعنی یا شخصا به دستگاه نزدیک شوند و آن‌را دستکاری کنند و یا با سوء‌استفاده از ضعف‌های دستگاه یا بوسیله بدافزار، از راه دور به‌آن نفوذ کنند. بعضی از رایج‌ترین ضعف‌هایی که هکرها با سوء‌استفاده از آن روی سامانه‌ها در پشتی نصب می‌کنند، چنین هستند:

• درگاه‌ها یا پورت‌های باز و بلااستفاده
• گذرواژه‌های ضعیف
• نرم‌افزارهای به‌روزنشده
• دیوارهای آتشِ ضعیف

چنین حمله‌هایی هدفمند هستند و هکرها با سوء‌استفاده از ضعف‌های نرم‌افزاری (معمولا در نرم‌افزارهای تحت وب مثل مرورگرها، فلش، جاوا و...) به سامانه‌ی هدف دسترسی می‌یابند. مجرمان، وب‌سایت‌ها و آگهی‌های آلوده‌ای طراحی می‌کنند که ظاهرشان موجه اما باطن‌شان مخرب است. آن‌ها دستگاه هدف را اسکن می‌کنند تا ضعف‌های نرم‌افزاریش را بیابند و سپس با سو‌ءاستفاده از همان ضعف‌ها داده‌های دستگاه را می‌ربایند یا شبکه‌ را از کار می‌اندازند و یا روی دستگاه‌، در پشتی نصب می‌کنند. لذا همین‌که بدافزار، دستگاه را آلود یا دستگاه بطور فیزیکی مورد نفوذ واقع شد (مثلا ربوده یا دستکاری شد)، نفوذگر می‌تواند روی آن در پشتی نصب کند.

 

• تروجان: تروجان‌ها بدافزارهایی هستند که ظاهر موجهی دارند اما در اصل مخرب هستند و برای دسترسی غیرمجاز به دستگاه‌های هدف طراحی شده‌اند. وقتی تروجان روی دستگاه نصب می‌شود، دری مخفی می‌گشاید و نفوذگر می‌تواند به فایل‌ها و برنامه‌های دستگاه دسترسی یابد و یا بدافزارهای بیشتری روی آن نصب کند تا برای مثال، داده‌های خاصی را به سرقت ببرد یا رایانه را برای اهداف دیگری (مثلا ترتیب دادن حمله DDoS) به کار بگیرد.
• روت‌کیت: روت‌کیت‌ها بدافزارهای پیچیده‌تری هستند و می‌توانند فعالیت‌های‌شان را از دید سیستم‌عامل مخفی کنند تا سیستم‌عامل آن‌ها را اشتباهاً مجاز تشخیص دهد و به‌آن‌ها مجوز دسترسی وسیع یا اصطلاحا ریشه (root) بدهد. هکرها بوسیله روت‌کیت می‌توانند از دور به دستگاه دسترسی یابند، فایل‌ها را دستکاری کنند، فعالیت‌های کاربر را ببینند، یا خرابکاری به بار آورند. روت‌کیت‌ ممکن است با فریب دادن سیستم‌عامل، وانمود کند که نرم‌افزار مجاز یا حتی تراشه‌ی رایانه است.
• درِ پشتیِ سخت‌افزاری: به تراشه‌ها یا سایر سخت‌افزارها یا حتی سفت‌افزارهای دستکاری شده که به کاربر غیرمجاز اجازه دسترسی می‌دهند، در پشتی سخت‌افزاری می‌گوییم. تلفن‌ها، مسیریاب‌های شبکه و وسایل اینترنت اشیاء مثل سامانه‌ی امنیت خانه از آن جمله‌اند. درِ پشتیِ سخت‌افزاری می‌تواند داده‌های کاربر را برای نفوذگر بفرستد و برایش دسترسی راه دور فراهم کند یا نفوذگر برای پاییدن فعالیت‌های کاربر از آن بهره ببرد. گاهی نیز مجرم با دسترسی مستقیم به خود دستگاه، روی آن در پشتی سخت‌افزاری می‌گشاید.
• در پشتی رمزگشا: درهای پشتیِ رمزگشا (cryptographic) مثل شاه‌کلید هستند، یعنی هر نوع داده‌ای را که با پروتکل خاصی رمزنگاری شده است، می‌گشایند. استانداردهایی مثل AES داده‌ها را سرتاسر (end-to-end) رمزنگاری می‌کنند، لذا فقط فرستنده و گیرنده پیغام که کلید رمزنگاری را در اختیار دارند می‌توانند پیغام را رمزگشایی کنند و محتوایش را ببینند. اما درهای پشتی رمزگشا برای شکستن رمز چنین مکاتبات امنی به‌کار می‌روند.

 

در ادامه، چند نمونه از درهای پشتی واقعی را که دنیای رایانش به خود دیده است، برمی‌شمریم:

• دابل‌پالسار (DoublePulsar): در سال 2017، محققان امنیتی بدافزاری موسوم به دابل‌پالسار را کشف کردند که در اصل آژانس امنیت ملی آمریکا آن‌را طراحی کرده بود. دابل‌پالسار برای پایش رایانه‌های ویندوزی و نصب رمزرُبای مخفی روی رایانه‌هایی با حافظه و توان پردازشی کافی ساخته شده بود. رمزرُبا قدرت پردازشی رایانه را برای استخراج بیت‌کوین به کار می‌گرفت و مخفیانه هزاران رایانه را به بات‌نت بزرگ کاوشگرهای رمزارز متصل می‌کرد.
• دوال‌ای‌سی (Dual_EC): دوال‌ای‌سی که رسوایی دیگری از آژانس امنیت ملی آمریکا بود، با استفاده از فرمول‌های ریاضی خاص، اعداد تصادفی پیچیده‌ای تولید می‌کرد که در رمزنگاری داده‌ها کاربرد دارند. اما Dual_EC حاوی در پشتی بود، لذا کاربرانی که دسترسی سطح بالا داشتند، می‌توانستند با استفاده از کلید مخفی، داده‌ها ‌را رمزگشایی کنند. آژانس امنیت ملی آمریکا هزاران شرکت بزرگ را واداشت تا Dual_EC را به‌عنوان پروتکل رمزنگاری اصلی خود بپذیرند. در سال 2013 ادوارد اسنودن اسنادی را افشا کرد که نشان می‌داد آژانس امنیت ملی آمریکا مالک کلیدهای مخفی بوده و اساسا می‌توانسته است هر نوع مکاتبه‌ای را که با پروتکل Dual_EC رمزنگاری شده است، باز کند و بخواند. شرکت‌هایی مثل بلک‌بری، سیسکو، مایکروسافت و RSA همگی در محصولات مختلف خود از پروتکل Dual_EC بهره برده بودند و نتیجتاً میلیون‌ها نفر از کاربران‌شان در معرض دید آژانس امنیت ملی آمریکا بودند.
• پویزون‌تَپ (PoisonTap): هکرها با کمک در مخفی پویزون‌تپ تقریبا به هر وب‌سایتی که کاربر در آن لاگین می‌کرد (حتی وب‌سایت‌هایی که احراز هویت‌شان دومرحله‌ای بود)، دسترسی می‌یافتند. پویزون‌تپ بدافزار خطرناکی بود اما خوشبختانه فقط در صورتی روی دستگاه نصب می‌شد که رایانه‌ی رَزبری‌پای2 مستقیما به درگاه یو‌اس‌بیِ دستگاه قربانی متصل شود، لذا آسیب‌هایش گسترده نبود.                                                                                

بله. حساب‌های کاربریِ اینترنتی‌، شبکه‌ها و وسایل دیجیتال شخصی‌ و حتی وسایل هوشمند متصل به اینترنت معمولا ضعف‌های امنیتی متعددی دارند. درنتیجه، نفوذگران با روش‌های مختلف روی نرم‌افزارها و سخت‌افزارهای کاربران در پشتی می‌گشایند. بعضی از رخنه‌ها یا ضعف‌هایی که ممکن است به ایجاد در پشتی منجر شود، چنین هستند:

• در پشتی شرکتی: بعضی از سازندگان محصولات دیجیتال آگاهانه روی محصولات‌شان در پشتی نصب می‌کنند تا بتوانند از راه دور به آن‌ها دسترسی یابند و برای مثال جهت پشتیبانی از مشتریان یا رفع مشکلات نرم‌افزارهای‌شان، تنظیمات خاصی روی‌ آن‌ها اعمال کنند. بیشتر شرکت‌ها درهای پشتی بسیار امنی ایجاد می‌کنند تا سوء‌استفاده از آن‌ها ‌را به حداقل برسانند، اما بعضی از درهای پشتی چندان امن نیستند و رخنه‌گاه نفوذگران می‌شوند.
• درگاه‌ها یا پورت‌های باز در شبکه: درگاه‌های باز در شبکه می‌توانند ترافیک‌های ارسالی از راه دور را دریافت کنند و نقطه‌ی ضعفِ شبکه شوند. هکرها معمولا پورت‌های باز اما بلااستفاده را هدف می‌گیرند و از طریق آن‌ها روی دستگاه قربانی در پشتی می‌گشایند و کاربر نیز هشداری دریافت نمی‌کند. البته کاربران خانگی معمولا با چنین خطری مواجه نیستند زیرا درگاه‌های روترهای خانگی بطور پیش‌فرض بسته است. اما اگر کاربری پورت دستگاه را باز گذاشته باشد، باید بسیار مراقب باشد و بداند که پورت‌های باز کدامند و از جانب آن‌ها چه خطراتی متوجه‌اش است. بسیاری از کارشناسان فناوری اطلاعات برای ایمن‌سازی هرچه بیشتر شبکه‌ها از کاوشگر شودان (Shodan) استفاده می‌کنند. شودان پایگاه‌داده‌ی برخطی متشکل از میلیاردها نشانی آی‌پی (متعلق به تجهیزات متصل به اینترنت) است که متخصصان امنیت در تحلیل امنیت شبکه از آن بهره می‌برند.
• گذرواژه‌های ضعیف: هکرها با سوء‌استفاده از گذرواژه‌های ضعیف به‌سادگی به حساب‌های کاربری‌ دسترسی می‌یابند. دسترسی به یکی از حساب‌های کاربری، راه را برای دسترسی به دیگر حساب‌ها و تجهیزات کاربر هموار می‌کند. مثلا در سال 2016 بات‌نت «میرای» 2.5 میلیون وسیله‌ی اینترنت اشیاء در جهان را هک کرد. میرای با سو‌ءاستفاده از گذرواژه‌های پیش‌فرض (گذرواژه‌هایی که شرکت‌ها بطور پیش‌فرض روی محصولات‌شان ثبت می‌کنند و بسیاری از کاربران پس از خرید محصول آن‌را عوض نمی‌کنند)، وسایل اینترنت اشیاء را اسکن و با گشودن در پشتی آن‌ها را به بات‌نت خاصی متصل می‌کرد.
• نرم‌افزارهای تاریخ‌گذشته: هکرها با حملات نفوذ، روی وسایل کاربران بدافزار و از جمله در پشتی نصب می‌کنند. اما اگر همه نرم‌افزارهای کاربر به‌روز شده باشد، خطر بسیار کمتری پیش می‌آید.  
• زودباوری: مجرمان در حمله‌های بدافزاری‌شان، به خطای کاربران دل می‌بندند. بعضی از کاربران برای دانلود نرم‌افزار رایگان، به هر وب‌سایتی اعتماد می‌کنند. گاهی نیز آگهی‌های فروشِ فریبنده‌ای طراحی می‌شوند تا کاربر، لینک آلوده را کلیک کند و بدافزار روی گوشی/رایانه‌ی او نصب ‌شود.

 

شناسایی درهای پشتی، سخت است اما با چند گام ساده می‌توان دستگاه را از شر درهای پشتی و حمله‌های ویروسی مربوطه ایمن داشت.

همیشه از ضدبدافزارها یا اصطلاحاً ضدویروس‌های پیشرفته بهره ببرید. آن‌ها بدافزارهای بیشتری (مثل تروجان‌، جاسوس‌افزار، رمزشکن‌ و روت‌کیت‌) را شناسایی و حذف می‌کنند؛ همچنین، بدافزارهایی را که ممکن است در پشتی ایجاد کنند، تشخیص می‌دهند و آن‌ها را پیش از شروع کارشان می‌زدایند. ضدویروس‌های کارآمد ابزارهایی مثل پایشگر وای‌فای، دیوار آتش پیشرفته، حفاظ وب و پایشگر میکروفن و وب‌کم نیز دارند تا امنیت برخط کاربر را هرچه بیشتر افزایش دهند.  

 

درهای پشتی اغلب خودشان را به نرم‌افزارها، فایل‌ها و اپلیکیشن‌های ظاهرا بی‌خطر می‌چسبانند. پس، هر فایلی را که از اینترنت می‌گیرید، بررسی کنید و ببینید آیا فقط همان فایل، دانلود شده است یا فایل‌های دیگری نیز همراهش دریافت شده‌اند. حتی فایلی که ظاهراً صحیح است هم ممکن است تروجان باشد. همیشه از وب‌سایت‌های رسمی و معتبر فایل بگیرید. ضدویروس با پایشگری نصب کنید که فایل‌ها را پیش از دانلود، بی‌درنگ وارسی کند.

دیوارهای آتش (فایروال‌ها) برای مقابله با درهای پشتی ضروری هستند. آن‌ها تمام ترافیک ورودی و خروجی را وارسی می‌کنند. اگر کسی خارج از شبکه بکوشد به دستگاه‌تان نفوذ کند، دیوار آتش راهش را سد می‌کند. همچنین، اگر نرم‌افزاری در دستگاه‌تان بخواهد برای شبکه‌ی ناشناخته‌ای داده بفرستد، دیوار آتش جلویش را می‌گیرد. حتی اگر در پشتی، ضدویروس‌تان را فریب دهد، دیوارهای آتش پیشرفته می‌توانند جریان‌های داده‌ی ارسالی و دریافتی توسط آن‌را شناسایی کنند. سیستم‌عامل ویندوز، دیوار آتش اختصاصی دارد که معمولا بطور پیش‌فرض فعال و از بخش تنظیمات ویندوز قابل دسترسی است. اما می‌توانید از دیوارهای آتش اختصاصی و قوی‌تر هم استفاده کنید یا دیوار آتش هوشمند و سخت‌افزاری بخرید که به مسیریاب شبکه‌ متصل ‌شود و شبکه را ایمن نگاه ‌دارد.

 

نرم‌افزارهای مدیریت گذرواژه (password manager) اطلاعات ورود به حساب‌های کاربریِ برخط‌ را به‌روش امن تولید و ذخیره می‌کنند. بوسیله آن‌ها حتی می‌توانید خودکار وارد حساب‌های‌تان شوید. همه‌ی اطلاعات‌تان با استاندارد 256 بیتی AES رمزنگاری و با گذرواژه‌ اصلی محافظت می‌شود. آن‌ها گذرواژه‌های پیچیده‌ی تصادفی تولید می‌کنند، لذا نفوذگران حتی با وجود در پشتی نیز نمی‌توانند به‌راحتی به دستگاه دسترسی یابند. نرم‌افزارهای پیشرفته‌ی مدیریت گذرواژه، امکانات بیشتری مثل تشخیص اثرانگشت یا تشخیص چهره هم دارند.

اکثر نفوذگران از روش‌ها و بدافزارهای رایج بهره می‌برند، زیرا آسانتر و کم‌هزینه‌ترند. حدود یک‌سوم متخصصان فناوری اطلاعات در اروپا تایید کرده‌اند که به شرکت متبوع‌شان نفوذ شده و علتش ضعف‌ها و رخنه‌هایی بوده است‌ که به‌موقع پوشانده و وصله‌گذاری نشده‌‌‌اند. سازندگان نرم‌افزار مرتباً وصله‌های جدید منتشر می‌کنند تا ضعف‌های محصولات‌شان را بپوشانند. نصب وصله‌های امنیتی، سخت نیست. بسیاری از برنامه‌ها حتی گزینه به‌روزرسانی خودکار هم دارند. به تنظیمات سیستم‌عامل‌تان مراجعه و گزینه مذکور را فعال کنید. به‌روز بودن سیستم‌عامل بسیار مهم است، زیرا درهای پشتی با فریفتن سیستم‌عامل روی دستگاه‌های دیجیتال نصب می‌شوند.

 

 

کاربران باید در فضای مجازی نیز مثل زندگی واقعی خردمندانه عمل کنند، حتی‌الامکان فقط از وب‌سایت‌هایی بازدید کنند که پروتکل امن HTTPS دارند، از وب‌سایت‌های مجهول‌الهویت خودداری کنند، اطلاعات شخصی‌شان را در وب‌سایت‌های نامعتبر وارد نکنند و هر فایلی را که دانلود می‌کنند با برنامه ضدویروس پایش کنند.

1. سفت‌افزار یا firmware، نرم‌افزاری اختصاصی است که روی سخت‌افزارهای خاصی مثل سوئیچ‌‌ها و مسیریاب‌های‌ شبکه و تجهیزات اینترنت اشیاء نصب می‌شود.
2. Raspberry Pi، نوعی رایانه‌ی کوچک است که تمام تجهیزات رایانشی و ذخیره‌سازی آن روی فقط یک بورد پیاده‌سازی شده است.

انتهای پیام