Les Backdoors. Définition :

Transcription

1 Les Backdoors Définition : OU Porte d'entrée cachée dans un système. C est souvent une porte de service discrète mais délibérément laissée par ses concepteurs ou ses réalisateurs, qui servait lors du débuggage et a été oubliée. En général tout le monde ne l'oublie pas... C'est une fonction ou un programme permettant à un pirate de prendre le contrôle d'un ordinateur à distance. Il peut être placé dans un cheval de Troie ou un virus. sont des programmes qui en plus d'une fonction classique, ont une fonction cachée nuisible : récupérer vos mots de passe, détruire votre disque dur,... souvent de petite taille qui ont la particularité de se reproduire sur un ordinateur en se copiant dans différents fichiers ou structures de disques durs. Il en existe plusieurs types.

2 Historique des Backdoors Ken Thompson, l un des pères d Unix, décrit un mécanisme d accès caché qu il avait mis en place sur les systèmes Unix plusieurs années auparavant : Il avait modifié l application /bin/login pour y incorporer une portion de code offrant l accès direct au système sur saisie du mot de passe précompilé en dur (sans tenir compte de /etc/passwd). Ainsi, tout système fonctionnant avec cette version de login pouvait-il être visité par Thompson... Seulement, à cette époque, les sources des applications étaient disponibles (comme maintenant avec les logiciels libres). Aussi le code source de login.c était présent sur les systèmes Unix, et n importe qui aurait pu voir le code piégé. Thompson fournissait donc un source login.c propre, ne contenant pas la trappe d accès.

3 Le problème à ce niveau était que n importe quel administrateur pouvait recompiler login.c et effacer la version piégée. Aussi Thompson, modifiat-il le compilateur C standard pour qu il ajoute lui-même l accès caché lorsqu il s apercevait qu on lui demandait de compiler login.c Mais, à nouveau, le code source du compilateur cc.c était disponible, et n importe qui aurait pu voir les lignes suspectes ou recompiler le compilateur. Il fournissait donc une version innocente des sources du compilateur C, mais le fichier binaire, préalablement traité, était prévu pour reconnaître ses propres fichiers source, et insérait alors le code servant à insérer le code servant à infecter login.c Que faire? Simple : Se construire une machine don t on a créé tout le microcode, le système d exploitation, les compilateurs, les machines virtuelles, les utilitaires,.

4 Exemple de Backdoor Back Orifice : est a l'origine un outil d'administration créé par "The Cult of the Dead Cow". Cet outil donne des droits auxquels l'utilisateur lui-même n'a pas accès. Complètement paramétrable et absolument transparent. 1. Ping et requêtes sur la version du serveur 2. Rebooter, bloquer le système, lister les passwords, les infos système 3. Logger les activités clavier, gérer les opérations avec les fichiers log file: voir, effacer 4. Ouvrir une boite de dialogue avec texte et titre spécifiques. 5. Mapping des ports TCP sur une autre IP, console d'application, serveur de fichiers HTTP, nom de fichier, listing des ports mappes et du fichier TCP 6. Ajouter/supprimer un partage réseau, lister les partages (y compris les partages LAN), mapper les périphériques partages,lister les connexions actives. 7. Contrôle des Processus (marche aussi sous NT): lister, killer, démarrer 8. Accès total a la base de registres, (dommage qu'il faille taper tout manuellement). 9. Jouer des fichiers WAV (possible en boucle), capture d'écran, avi et flux video. 10. Accès total au disque : dossiers et fichiers, rechercher, afficher, effacer, déplacer, copier. 11. Compression / décompression a distance (pour les gros fichiers) 12. Résolution des hosts et des adresses IP 13. Contrôle des plugins a distance, ajout de commandes selon les plugins, gestionnaire de commande socket.

5 Différentes Backdoors Password Cracking Backdoor Library backdoors Kernel backdoors Login Backdoor Checksum and Timestamp Backdoors File system backdoors Telnetd Backdoor Bootblock backdoors Services Backdoor Process hiding backdoors Network traffic backdoors ICMP Shell Backdoors Encrypted Link ICMP Shell Backdoors UDP Shell Backdoors TCP Shell Backdoors