史上著名的12大安全后門植入案例
責編:admin |2014-07-11 16:44:35“棱鏡門”事件后, 人們關于軟件植入后門的日益關注, 其實, 植入后門這種手法黑客很早就在使用了。 最近,本文為大家總結了史上最著名的12個后門植入案例:
Back Orifice是史上第一個后門。 也是它使得人們開始意識到后門存在的可能性。 Back Orifice可以讓運行Windows的計算機能夠被遠程操控。 Back Orifice用了一個迷惑人的名字叫Microsoft BackOffice 服務器。
Back Orifice設計的目的是為了展示微軟Windows 98系統的一些深層的安全問題。 因而, 它展示了一些手段, 如把自身隱藏起來等等。 這些手段影響了后來的幾代黑客。 其中一些代碼現在還在被黑客們使用
產品的硬件有后門本身就夠糟的了, 而當后門被發現后號稱要修復, 實際上不修但是號稱修好了就更惡心了。 這就是2013年Sercomm在一些采用其硬件的DSL網關被發現有后門后采取的做法。 這個后門被發現是廠商自己加進去的,利用32764端口進行遠程訪問。 當2014年4月Sercomm放出關于這個后門的補丁后人們發現, 這個后門的所謂”修復“只是把這個端口的訪問對普通數據包進行了屏蔽, 而如果發送一個特別構造的數據包, 這個端口就能打
這是一個聲稱”不是后門, 是一個功能“的例子。 PGP全磁盤加密現在是賽門鐵克的一個產品。 可以在一個加密卷的啟動進程中利用一個靜態密碼進行訪問。 在這個后門在2007年被發現后, PGP回應說是應一個客戶的要求添加的, 而且其他競爭產品都有類似的功能。 然而, 這個功能卻沒有在任何產品文檔中加以說明。
WordPress可能是世界上最流行的博客工具及內容管理系統。 然而它的安全性問題一直也不少,
不少很隱蔽的漏洞來自于一些盜版的商業插件, 這些插件中被植入了后門。 有些后門即使WordPress專家級的用戶也很難發現。這也許是一個不要用盜版的理由。
WordPress不是唯一的一個被插件后門困擾的內容管理系統。 Joomla也存在插件后門的問題。 比如, 一些Joomla的免費插件中就存在后門。 這種后門通常是讓服務器去訪問一個已經被入侵的網站。 這樣的攻擊很隱蔽, 因為很少有人會去想到一個內容管理系統的插件會成為入侵的入口。
ProFTPD是一個廣泛使用的開源FTP服務器, 一般, 開源軟件很少會被植入后門, 然而, 2010年, 黑客們入侵了ProFTPD的代碼托管服務器, 添加了一些代碼使得黑客可以通過發送“Help ACIDBITCHEZ”命令取得root shell訪問權限。 具有諷刺意味的是, 黑客就是利用了ProFTPD的一個0day漏洞入侵了托管代碼的服務器從而修改代碼的。
這個后門聽上去夠可怕, 從1994年到2001年, Borland Interbase Version 4.0到Version 6.0都有硬編碼后門。 而這些后門都是Borland的工程師自己放進去的。 這些后門可以通過3050端口進行遠程訪問。 而如果用戶通過這個后門登陸, 就能夠取得Interbase數據庫的最高權限。 這個后門看起來就是程序員們自己加著玩兒的, 用戶名是“politically”, 密碼是”correct” (編者:連起來就是“政治正確”, 準確的反映了在這樣的大公司里工作的處事之道)
2003年, 有人試圖在Linux內涵的源代碼中提交一個隱蔽的后門。 這個后門一個進入代碼托管服務器的程序員提交的。 這個人僅僅改動了兩行代碼, 非常不起眼。 這兩行代碼能夠使得攻擊者給一個特定進程root權限。 幸運的是, 這個代碼改動被自動代碼審計工具發現后被Linus Torvalds去除了。 人們猜測, 添加代碼的人可能就是來自NSA, 因為NSA就曾經試圖讓Linus Torvalds在內核代碼中加入后門。
在2002年, 也就是有人試圖在Linux內核中添加后門的前一年, 還有人試圖通過一個常用的Linux和Unix工具tcpdump添加后門。 這個后門不像Linux內核那個那樣隱蔽。 這個代碼改動相當明顯, 它加入了一個命令與控制機制, 可以通過1963端口進行激活。 和Linux內核那次類似, 這個后門也是通過入侵源代碼托管服務器進行的。 這個后門很快被發現并且清除了。
在這些后門案例里自然不能少了NSA。 根據斯諾登提供的資料, NSA的“特定訪問操作”項目就是NSA一個試圖通過在硬件中植入后門的項目。 除了在網絡設備固件中加入后門, NSA還在不同的PC甚至PC附件如硬盤中加入了監控程序。 可能存在的Windows _NSAKEY后門
還是NSA, 早在1999年, 有安全研究人員就在Windows NT 4 Service Pack 5中發現一個名為_NSAKEY的變量, 這是一個1024位的公鑰。 人們懷疑微軟為NSA提供了一些形式的后門, 使得NSA能夠訪問Windows的一些加密數據甚至操作Windows本身。 從那時起, 關于微軟產品存在后門的懷疑就一直存在, 但是目前人們還無法證明。 雙橢圓曲線后門
又是NSA, 雙橢圓曲線后門可能是最隱蔽的后門了。 通過一個在密碼學中常用的隨機數發生算法植入后門, 理論上, Dual_EC_DRBG(雙橢圓確定性隨機數生成器)是NIST制定的一個標準, 這里面存在一個很隱蔽的缺陷使得攻擊者能夠解密數據。 在斯諾登揭密之后, 人們才知道這個后門的存在。 也知道了NSA通過干預標準的制定來達到在算法中植入后門的方式。 NIST隨后撤銷了這個標準。