Backdoory – skąd się biorą i jak sobie z nimi radzić?

Jak znajdować backdoory, minimalizować skutki ich występowania oraz zabezpieczyć firmową infrastrukturę w nowych realiach informatycznego świata radzi David Geer z magazynu CSO.

Świat nie jest sprawiedliwy – nie dość, że na użytkowników nowoczesnych technologii wciąż czyhają hakerzy i cyberprzestępcy (których złe intencje są oczywiste), to na dodatek coraz częściej zdarza się, że świadomie narażają nas również ci, którym powinniśmy móc ufać, czyli producenci sprzętu i oprogramowania, którzy coraz częściej pozostawiają w nich potencjalnie niebezpieczne backdoory (tylne furtki). Dlaczego właściwie tak się dzieje i jak radzić sobie z tym problemem?

Z analiz firmy IHS wynika, że do 2020 r. na rynek trafi blisko 31 miliardów urządzeń funkcjonujących w ramach Internetu Rzeczy, zaś do 2025 r. ich liczba sięgnie zawrotnych 75,4 miliarda. Znaczna część z nich trafi do firm, potężnie nadwerężając stan ich bezpieczeństwa – m.in. dlatego, że w aplikacjach i urządzeniach z tej kategorii tylne furtki wcale nie są rzadkością.

Zobacz również:

David Geer z magazynu CSO postanowił się bliżej przyjrzeć temu specyficznemu zjawisku –backdoorom zostawianym w produktach IT przez ich twórców, zastanowić się, skąd się tam właściwie biorą, jak je znajdować, minimalizować skutki ich występowania oraz jak zabezpieczyć firmową infrastrukturę w nowych realiach informatycznego świata.

Oczywiście, nie wszystkie backdoory są takie same – obecność niektórych z nich w oprogramowaniu jest wynikiem błędu programistów, inne powstają jako standardowy „punkt wejścia” pozostawiony w celach administracyjnych i dopiero później okazuje się, że mogą być potencjalnie niebezpieczne. „Wielu producentów celowo umieszcza w swoich aplikacjach funkcję zdalnego dostępu – choćby po to, by ułatwić aktualizowanie, łatanie, administrację, monitoring itp. Kluczowym pytaniem jest, czy o takiej funkcji wie użytkownik i czy wyraża on zgodę na jej istnienie/działanie – jeśli tak, trudno uznać ją za typowego backdoora” – wyjaśnia Andrew Howard, chief technology officer w firmie Kudelski Security.

„Rząd nam kazał…”, czyli skąd się biorą backdoory

Od chwili gdy wybuchły afery Edwarda Snowdena i WikiLeaks incidents, producenci – szczególnie amerykańscy – coraz śmielej zaczęli wspominać, że w niektórych ich „dziełach” znajdują się tylne furtki. „Oczywiście, podkreślali przy tym zdecydowanie, że ich umieszczenie było efektem przepisów obowiązujących w USA i że dostęp do tych narzędzi mają wyłącznie tamtejsze władze” – przypomina Michela Menting, research director w ABI Research.

Pokazuje to jednak, że firmy mają trudności w samodzielnym identyfikowaniu backdoorów – liczba aplikacji, systemów, urządzeń, narzędzi itp., które funkcjonują w typowej średniej czy dużej firmie jest tak ogromna, że większość przedsiębiorstw nie jest w stanie samodzielnie sprawdzać ich pod kątem istnienia niedokumentowanych tylnych furtek. „Większość firm korzysta w celu identyfikowania potencjalnie niebezpiecznych programów z zewnętrznych baz danych, takich jak np. prowadzona przez amerykański rząd National Vulnerability Database (NVD)” – mówi Howard. NVD zawiera zarówno dane o backdoorach celowo pozostawionych przez producenta, jak i funkcjach, które mogą zostać wykorzystane do uzyskania nieautoryzowanego dostępu wbrew jego intencjom.

Ten model nie jest jednak doskonały, choćby dlatego, że zostawia cyberprzestępcom spory margines na działanie – od momentu wprowadzenia na rynek nowego produktu do wykrycia i umieszczenia w NVD informacji o ewentualnych backdoorach mija niekiedy całkiem długi czas. „Dlatego właśnie w bardziej świadomych i zaawansowanych organizacjach urządzenia i oprogramowanie są regularnie sprawdzane pod kątem potencjalnie niebezpiecznych, nieudokumentowanych funkcji. Ogólnie jednak faktem jest, że identyfikowanie tylnych furtek jest trudne i większość organizacji nie dysponuje narzędziami pozwalającymi na ich znajdowanie i neutralizowanie” – podsumowuje Andrew Howard z Kudelski Security.

Problem dodatkowo jest potęgowany przez fakt, iż staranne sprawdzenie aplikacji czy produktu jest po prostu drogie. „Koszty gruntowanego testu pod kątem bezpieczeństwa mogą wynosić od 30,000 do nawet 150 000 USD, w zależności od tego, jak zaawansowane mają być testy oraz jakie są wymagania klienta. I mówimy tu o testowanie pojedynczego produktu. Na dodatek musimy pamiętać, że nawet przeprowadzenie takiego testu nie daje 100% pewności, że dany produkt jest bezpieczny” – wyjaśnia Lawrence Munro, senior director SpiderLabs EMEA at Trustwave.

Jak sobie z nimi radzić?

Zdaniem Munro, firmy chcące zabezpieczyć się przed następstwami istnienia backdoorów, powinny podjąć następujące cztery kroki:

  • po pierwsze, zastanowić się, czy dana aplikacja/urządzenie, faktycznie jest niezbędną w organizacji (jeśli nie jest, warto rozważyć jej wyeliminowanie),
  • po drugie, starannie przeanalizować, czy można zaufać danemu producentowi – sprawdzić, jak owa firma podchodzi do kwestii aktualizowania produktów i usuwania błędów, jaka jest jej pozycja na rynku (czy nie istnieje np. ryzyko, że wkrótce z niego zniknie), czy prowadzi ona zorganizowany program wykrywania błędów i jak radziła sobie w przeszłości z lukami w swoich produktach,
  • po trzecie, przeszkolić swój zespół ds. bezpieczeństwa pod kątem wykrywania ukrytej komunikacji w sieciach korporacyjnych, nauczyć ich analizowania alertów i identyfikowania potencjalnie szkodliwego ruchu,
  • po czwarte, używać odpowiednich narzędzi do wykrywania komunikacji przez tylne furtki – firewalli, UTM-ów, narzędzi SIEM (Security Information and Event Management) i innych aplikacji monitorujących.

Mam backdoora – co dalej?

Gdy w organizacji wykryty zostanie product zawierający nieudokumentowaną tylną furtkę, pierwszym działaniem powinna być próba wyłączenia owego produktu lub odcięcia go od zewnętrznej sieci – przynajmniej do czasu, gdy producent nie rozwiąże problemu. „Izolowanie jest kluczowe – oczywiście, może to utrudnić korzystanie z produktu, jednak jednocześnie zminimalizowane zostanie ryzyko, że ktoś nieautoryzowany uzyska dostęp do firmowych zasobów” – wyjaśnia Howard.

Jeśli dojdzie do sytuacji, w której autor aplikacji czy producent sprzętu nie dostarczy odpowiedniej poprawki, można rozważać samodzielnie zmodyfikowanie aplikacji/firmware’u – aczkolwiek musimy pamiętać, że w tej sytuacji musimy liczyć się z utratą gwarancji. „Nie jest to coś, co mógłbym szczerze rekomendować – chyba, że firma dysponuje zespołem świetnych specjalistów” – wyjaśnia Munro.

IoT – problem szczególny

W przypadku wspomnianych na początku urządzeń mieszczących się w szeroko rozumianej kategorii Internetu Rzeczy, problem z backdoorami jest szczególnie dotkliwy – głównie dlatego, że, jak pokazuje praktyka, bezpieczeństwo nie jest dla ich twórców priorytetem.

Aby móc używać takiego sprzętu w organizacji bez narażania na szwank jej bezpieczeństwa informatycznego, niezbędne jest więc wprowadzenie kilku podstawowych zasad postępowania. Kluczowe jest wyznaczenie osób odpowiedzialnych za zarządzanie każdym takim urządzeniem/typem urządzeń – dzięki temu, gdy wykryty zostanie jakiś problem z ich bezpieczeństwem (np. backdoor), możliwe będzie szybkie jego rozwiązanie (bez ryzyka przerzucania się odpowiedzialnością i konfliktów – np. pomiędzy personelem korzystającym z danego sprzętu, a zespołem odpowiedzialnym za bezpieczeństwo organizacji). Niezbędne oczywiście będzie wypracowanie odpowiednich kompromisów – dla jednej ze stron ważne będzie podtrzymanie działania danego sprzętu, szczególnie jeśli jest on niezbędny dla funkcjonowania jakichś ważnych funkcji czy procesów, dla drugiej – szybkie jego wyizolowanie z firmowej sieci, zidentyfikowanie i usunięcie problemu.

„Istnieją konkretne rozwiązania, które można zastosować w przypadku wykrycia backdoora w sprzęcie IoT – można go szybko usunąć, a jeśli to nie jest takie proste, również monitorować stale jego aktywność lub umieścić go w izolowanej sieci. Dopóki bezpieczeństwo nie stanie się dla twórców sprzętu IoT priorytetem – co może nastąpić np. gdy wymusi to odpowiedni urząd regulujący – bezpieczniej będzie założyć, że każde takie urządzenie może zawierać tylną furtkę. Takie podejście pozwoli na skuteczne zarządzanie ryzykiem i zminimalizuje zagrożenie dla organizacji” – radzi Howard.


TOP 200