Backdoors, no recuerdo haber abierto esa puerta

backdoorsMe parece que se me había pasado comentaros pero…

A pesar de que muchas personas nunca hayan oído hablar de ellas, las backdoors (puertas traseras) son uno de los métodos más frecuentemente usados a día de hoy para realizar ataques maliciosos.

Dejando a un lado el caso concreto de las puertas traseras en algoritmos criptográficos, una backdoor permite el acceso a un determinado equipo utilizando métodos no convencionales y sin la autorización correspondiendo del usuario. Explicado de forma sencilla, se basa en una típica arquitectura cliente/servidor en la que el cliente realiza peticiones concretas (e.g., envió de determinados datos confidenciales) y el servidores responde a dicha petición. Actualmente existen dos grupos principales de backdoors:

  • System backdoors: Este tipo de puerta trasera permite el acceso continuo a todos los datos y procesos que se están ejecutando en el equipo a nivel de sistema, de forma completamente remota. Esto resulta muy jugoso para un atacante malicioso que desea mantener el control del equipo el mayor tiempo posible, aunque se solucione la vulnerabilidad que le permitió el control en un primer momento.
  • Application backdoors: En este caso, la puerta trasera no se crea en el sistema, sino en una determinada aplicación supuestamente legítima que se ejecuta en él. Esta puede ser insertada por el propio desarrollador, a propósito, tanto con una intención maliciosa en mente o para labores de depuración de código. De todas formas, también entra en juego la posibilidad de que el código haya sido corrompido por un tercero que ha tenido acceso al mismo en algún punto, o por usar herramientas de desarrollo infectadas que insertan la puerta trasera en todos los binarios salientes.

Para comprender mejor las puertas traseras, os vamos a comentar unas herramientas que pueden ser usadas para crearlas, y unos casos reales en los que se ha descubierto la existencia de ellas.

Empezando con las system backdoors, es importante indicar algunas de las herramientas más famosas: Netcat, Back Orifice, NetBus y SubSeven. De todas formas, personalmente no considero que ha día de hoy sean ninguna amenaza real, ya que son fácilmente detectables. Un mecanismo común para saber si un equipo tiene una puerta trasera, es analizar su tráfico entrante y saliente para descubrir irregularidades. En esta batalla del gato y el ratón, los atacantes han perfeccionado su técnica de ocultación utilizando el correo, redes sociales o incluso protocolos de señalización para la comunicación entre el cliente y el servidor. Dado que dichos paquetes no suelen ser analizados por varios firewalls, consiguen pasar completamente desapercibidos.

En cuanto a las application backdoors, como hemos comentado antes, el objetivo de las mismas puede ser malicioso o no. Un ejemplo de puerta trasera no creada con malas intenciones, es la descubierta por dos investigadores que mostraron cómo existía una ‘llave maestra’ que permitía deshabilitar una de las medidas de seguridad más importantes dentro del arranque de los equipos. Se supone que se utilizaba para poder realizar procesos internos de control sin grandes problemas. Apuntando ahora a las puertas traseras insertadas con intenciones maliciosas, nos encontramos con una aplicación móvil que espera un determinado texto en un SMS para comenzar a enviar información comprometida del terminal en el que está instalada. Estas acciones van desde el envío de conversiones privadas hasta la grabación de llamadas en tiempo real.

Como ya hemos comentado otras veces, no existen remedios mágicos para este tipo de ataques. Simplemente recordad que tenéis que tener cuidado con lo que instaláis en vuestro equipo, ya que si no lo hacéis os pueden abrir una puerta trasera sin daros cuenta.

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com