Trước hết, bạn cần biết backdoor là gì? Đây là khái niệm để chỉ một loại Trojan, sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra.
Thông thường, việc xác định những phần mềm đang sử dụng có được an toàn hay không vốn rất khó khăn, thì để tìm và phát hiện ra các Trojan “cửa hậu” lại là vấn đề nan giải gấp bội. Việc phát hiện ra những backdoor vừa nguy hiểm với phương thức hoạt động rất tinh tế như các loại sau đây cũng không phải là vấn đề đơn giản.
12. Back Orifice
Được xem là loại backdoor đầu tiên trong lịch sử, Back Orifice đã khiến cho thế giới phải có một cái nhìn mới, rộng lớn hơn về những mối nguy hiểm của backdoor. Được tạo ra vào năm 1998 bởi một nhóm có tên Cult of the Dead Cow (Tín đồ của Bò chết) gồm những hacker khét tiếng. Back Orifice giúp những tin tặc này có thể kiểm soát và điều khiển từ xa qua mạng với cổng xâm nhập là 31337, hoạt động trên Microsoft BackOffice Server – tiền thân của Windows Small Business Server.
Back Orifice sau đó được đưa ra để chứng minh cho những lo ngại về vấn đề bảo mật trên Windows 98. Hệ điều hành này bị các hacker khai thác nhiều trong tính năng ẩn người dùng để phát tán mã độc.
Cũng từ khi backdoor Back Orifice ra đời, khái niệm Trojan được ra đời để chỉ những chương trình máy tính hoạt động bí mật nhằm phá hoại, gây tổn hại máy tính.
11. DSL Backdoor
Cuối năm 2013, một số bộ định tuyến sử dụng phần cứng của Sercomm như Linksys, Netgear, Cisco và Diamond bị phát hiện ra có một backdoor bí mật của nhà sản xuất đang gia tăng tại cổng 32764. Backdoor này cho phép kẻ tấn công gửi các lệnh đến những bộ định tuyến theo cổng TCP 32764 từ một dòng lệnh shell mà không cần bất cứ sự xác thực nào của quản trị mạng. Eloi Vanderbeken, một Reverse-Engneer (người chuyên dịch ngược phần mềm) người Pháp đã phát hiện ra backdoor này và nhận thấy rằng mặc dù lỗ hổng này đã được vá trong phiên bản Firmware mới nhất, tuy nhiên Sercomm đã cài thêm một backdoor tương tự bằng một cách khác.
Một bản vá sau đó được tung ra vào tháng 4/2014 để khắc phục vấn đề này. Tuy vậy, đây cũng chỉ là một thao tác nhằm ẩn truy cập vào cổng 32764 và phải đợi có một gói cập nhật đặc biệt mới tìm ra cách trị được backdoor TCP 32764. Hiện vẫn chưa có một bản vá chính thức hoàn chỉnh nào cho backdoor mới được phát hiện này.
10. Backdoor mã hoá toàn bộ ổ đĩa dữ liệu
Đây là một đại diện cho một loại “không phải backdoor, nhưng là một tính năng” (not a backdoor, but a feature). PGP Whole Disk Encryption này hiện đã thuộc về hãng bảo mật Symantec. Công cụ này giúp tạo ra một mật khẩu vào các tiến trình lúc khởi động cho ổ đĩa được mã hoá. Mặc định mật khẩu sẽ không còn hiệu lực ngay trong lần đầu sử dụng. Lần đầu tiên về loại backdoor này được tìm thấy vào năm 2007, khi đó những sản phẩm mã hoá toàn ổ đĩa lưu trữ của PGP cũng có chức năng tương tự. Tuy vậy, không có bất cứ tài liệu nào được công bố là tiện ích này có một “tính năng” đáng sợ như vậy.
9. Backdoor ẩn trong các plug-in lậu của WordPress
WordPress hiện là một trong những blog nổi tiếng với những chức năng và hệ thống quản trị nội dung mạnh mẽ. Những trong hồ sơ về bảo mật của blog này thì có nhiều sự cố ngoài mong đợi của người sử dụng. Trong đó đáng sợ nhất là hacker đã lợi dụng những sơ hở trong việc quản lí các tiện ích cài thêm cho blog để thêm backdoor vào trang WordPress. Tuy nhiên, hành vi này không phải ai cũng phát hiện ra, kể cả những chuyên gia về WordPress.
8. Backdoor trong các plug-in của Joomla
Không chỉ có WordPress chịu ảnh hưởng của cách thức tấn công qua hệ thống quản trị nội dung (CMS – Content Management System) mà cả Joomla – một tiện ích CMS mã nguồn mở cũng là nạn nhân. Hệ thống quản trị nội dung Joomla được viết bằng ngôn ngữ PHP và kết nối tới cơ sở dữ liệu MySQL được tin tặc lợi dụng những sơ hở trong cách quản lí và cài đặt các tiện ích để tấn công (nhất là các plug-in miễn phí).
Các cuộc tấn công nhờ backdoor mở đường này thường là bước đệm để tội phạm mạng tấn công vào trang web và đánh sập nó. Việc này khiến cho cả những người làm web “tay mơ” lẫn các lập trình viên chuyên nghiệp làm việc với mã nguồn Joomla phải đắn đo và cẩn thận hơn nhiều trước khi cài thêm một plug-in cho trang web của mình.
7. Backdoor ProFTPD
ProFTPD, một chuẩn FTP Server mở được sử dụng rộng rãi đã từng là mục tiêu của các cuộc tấn công với backdoor. Quay trở lại năm 2010, những kẻ tấn công đã truy cập vào bộ mã nguồn của máy chủ hosting (không gian trên máy chủ có cài dịch vụ Internet như ftp, www… để chứa nội dung trang web hay dữ liệu). Sau đó, chúng thêm những đoạn mã để giúp cho kẻ tấn công truy cập vào tận gốc của máy chủ FTP bằng cách gửi lệnh HELP ACIDBITCHEZ. Mục tiêu cuối cùng là tin tặc sẽ sử dụng phương thức khai thác zero-day trong ProFTPD của mình để đột nhập vào các trang web và phát tán nhiều loại mã độc hại.
6. “Cửa hậu” Borland Interbase
Từ năm 1994 đến 2001, phiên bản Borland (sau này là Inprise) Interbase phiên bản từ phiên bản 4.0 đến 6.0 chứa một mã “cửa hậu” cực độc hại (hard-coded backdoor). Điều đáng nói là mã này được thêm vào bởi các kĩ sư của Borland. Backdoor này có thể truy cập qua kết nối mạng với cổng 3050, một khi người dùng đăng nhập với công cụ này thì hacker có thể toàn quyền truy cập các cơ sở dữ liệu của Interbase.
Có một chi tiết thú vị là thông tin đăng nhập để mở cửa cho backdoor rất độc đáo với username là politically (chính trị) và mật khẩu là correct (chính xác).
5. Backdoor có trên cả Linux
Vào năm 2003, một kẻ nặc danh đã có gắng chèn một backdoor rất xảo quyệt vào mã nguồn của nhân Linux. Mã này được viết ra với vẻ ngoài không có bất cứ dấu hiệu nào của một backdoor, từ đó kẻ đột nhập vào máy chủ có thể thêm vào mã nguồn nhân của hệ điều hành.
Hai dòng mã thực tế đã bị thay đổi, nếu lướt qua thì không dễ gì phát hiện ra. Về lí thuyết, sự thay đổi này có thể giúp kẻ tấn công có được quyền quản trị trên máy. May mắn là backdoor này đã kịp thời bị phát hiện bởi một tiện ích kiểm soát mã độc.
4. Mã cửa sau tcpdump
Một năm trước khi kẻ nặc danh cố gắng đưa backdoor vào nhân Linux thì cũng có một tin tặc khác tìm cách đưa backdoor vào tiện ích tcpdump trên Linux (và cả Unix).
Backdoor này có cơ chế hoạt động rõ ràng và dễ phát hiện hơn so với “cửa hậu” tấn công nhân Linux sau này. Mã độc này sẽ bổ sung một cơ chế ra lệnh và kiểm soát (command and control) để tiện ích tcpdump có thể hoạt động trên cổng 1963. Tương tự như backdoor tấn công Linux, âm mưu này cũng nhanh chóng bị phát hiện và tiêu diệt tận gốc ngay sau đó.
3. Backdoor phần cứng TAO của NSA
Tiết lộ gần đây cho biết, nhóm Tailored Access Operations (TAO – Điệp vụ Truy cập Hoàn hảo) của NSA (Cơ quan An ninh Quốc gia Mỹ) có thể can thiệp vào các đơn hàng thiết bị điện tử và cài đặt các phần cứng, phần mềm theo dõi trước khi các thiết bị này đến tay người mua. Các phần cứng được giao đến các nước khác sẽ bị thêm các backdoor vào firmware để phục vụ cho việc nghe trộm. Bên cạnh các thiết bị mạng, NSA cũng tạo ra những phần mềm giám sát được cài trong firmware của nhiều dòng máy tính, thậm chí cả những thiết bị ngoại vi – linh kiện như ổ cứng lưu trữ. Nếu người dùng thực hiện
Cụ thể, theo một tờ báo của Đức, NSA có thể cài phần mềm, linh kiện gián điệp lên đủ loại thiết bị từ thiết bị mạng của Huawei cho tới Cisco, các hãng ổ cứng tên tuổi như Seagate, Western Digital… Một vài linh kiện theo dõi cho phép NSA theo dõi "vĩnh viễn" nạn nhân, bởi chúng được thiết kế để tiếp tục hoạt động ngay cả khi người dùng format ổ cứng hoặc cập nhật firmware.
2. Windows _NSAKEY backdoor
Theo phát biểu của NSA, vào năm 1999, các nhà nghiên cứu đã phát hiện ra một biến có tên _NSAKEY đi kèm với một khoá công khai (public key) 1024 bit trong phiên bản Windows NT 4 Service Pack 5. Nhiều nhận định cho rằng Microsoft đã bí mật cũng cấp cho NSA backdoor này để truy cập những dữ liệu đã được mã hoá trên Windows. Tuy nhiên, Microsoft đã phủ nhận cáo buộc này và khẳng định không có chuyện cấu kết với NSA để đặt backdoor. Nhưng vẫn có nhiều chuyên gia nghi ngờ có điều không rõ ràng trong chuyện này.
1. Dual Elliptic Curve backdoor
Lại liên quan đến NSA, theo tiết lộ của Reuters, NSA đã trả cho RSA 10 triệu USD để công ty này thiết kế hệ thống mặc định trong phần mềm bảo mật được sử dụng rộng rãi trên Internet và trong các chương trình an ninh máy tính. Hệ thống này có tên Dual Elliptic Curve - là bộ tạo số ngẫu nhiên dựa trên đường cong elip nhưng nó được kín đáo tạo một số lỗi hay "cửa hậu" cho phép NSA giải mã.
Về lí thuyết, các thông điệp sẽ được mã hoá với chuẩn Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) – một tiêu chuẩn đã được phê chuẩn bởi NIST. Sau khi Edward Snowden làm rò rỉ bản ghi nhớ nội bộ NSA đã đưa việc này ra ánh sáng.
Sau khi "cửa sau" của Dual Elliptic Curve bị phát giác, RSA đã nhanh chóng lên tiếng khuyến cáo khách hàng ngưng sử dụng hệ thống này. Tuy nhiên, câu chuyện về 10 triệu USD mà NSA hối lộ cho RSA đã gây bất ngờ cho các chuyên gia an ninh máy tính trên thế giới. Bởi vì, RSA là công ty bảo mật lâu đời của Mỹ có danh tiếng bảo vệ quyền riêng tư cho người dân và từng chống lại nỗ lực của NSA vào thập niên 90 nhằm thuyết phục Chính phủ Mỹ cho phép sử dụng con chip Clipper để cài vào các điện thoại và máy tính giúp cho các cơ quan chính quyền dễ giải mã tín hiệu khi được luật pháp cho phép.
Theo PC World VN.
Bình luận