Come proteggersi dai virus informatici e dal traffico malevolo bloccando le backdoor dei computer linux secondo Symantec

In campo informatico i backdoor o trojan sono sempre stati una minaccia per tutti gli utenti che utilizzano il web.

Symantec, la security enterprise americana è venuta a conoscenza di una nuova backdoor per Linux, un agente patogeno molto furbo nel camuffare il traffico malevolo all’interno della rete internet.

E’ stato creato un progetto molto ben congegnato per non destare eccessivi allarmi e sospetti prendendo delle precauzioni difficili da intercettare.

La backdoor è stata classificata con il nome di Fokirtor da ignoti criminali informatici. In realtà una backdoor non è altro che una porta di servizio (porta secondaria) che permette l’accesso in un sistema informatico eludendo tutte le procedure di sicurezza previste.

Questo tipo di porte possono anche essere create intenzionalmente dai gestori di un sistema per poter effettuare operazioni di manutenzione, ma spesso invece vengono strutturate fraudolentemente da cracker informatici per intrufolarsi illegalmente nella rete.

Ci sono vari tipi di backdoor che permettono accessi malevoli, ma quella ideata per Linux è stata eseguita in modo talmente perfetto da non destare sospetti agli amministratori del sistema informatico e prendere il controllo esterno della macchina in maniera totale.

Di solito con una backdoor non si fa altro che crakkare le password in modo da ottenere un numero maggiore disponibile di account e poter accedere a piacimento su quella specifica macchina. Nel caso di questo agente patogeno si è abilmente camuffato il traffico malevolo tra il client e i centri di comando e di controllo.

Una delle migliori sicurezze che si possono adottare contro questo tipo di malware, è quella di tener aggiornate le applicazioni web e scrivere un codice sicuro che dia una maggiore protezione in caso fi iniezioni di file remoti.

L’utente che opera questo tipo di manovre informatiche, per evitare rilevamenti che potrebbero allarmare gli amministratori del sistema, cerca di rendere normali le richieste di connessione tramite SSH o di altri protocolli per poter incorporare una sequenza segreta all’interno del traffico. Questa porta posteriore (così viene definita) riesce ad agganciare una serie di funzioni e di conseguenza crittografare i dati catturati.

Per poter individuare la presenza di questa porta, bisogna individuare nel traffico la stringa “:;!.” ovviamene escludendo le virgolette.

Un altro metodo molto utile per l’identificazione è eseguire il dump del processo SSHD e quindi cercare le stringhe

key = [VALUE]
DHost = [VALUE]
HBT = 3600
SP = [VALUE]
sk = [VALUE]
dip = [VALUE]

Sarebbe inutile sottolineare che queste operazioni vanno eseguite da operatori informatici qualificati e specializzati in grado di modificare i processi del sistema infettato.