Backdoor

Ukryte tylne wejście do systemu pozwalające ominąć normalne mechanizmy uwierzytelniania. Może być pozostawione przez atakującego lub celowo wbudowane w oprogramowanie.

Backdoor (tylne drzwi) to ukryta metoda dostępu do systemu, aplikacji lub urządzenia, która celowo omija normalne mechanizmy uwierzytelniania i autoryzacji. Innymi słowy: ktoś dostaje się do środka bez podawania prawidłowego loginu i hasła, bo zna sekretne wejście, o którym reszta świata nie ma pojęcia. Backdoor może być złośliwy (zostawiony przez atakującego po włamaniu) albo zaszyty „od fabryki” przez nieuważnego lub nieuczciwego programistę.

Jak to działa i po co komu tylne drzwi

Backdoor to nie magia, tylko fragment kodu albo konfiguracji, który daje dostęp z pominięciem normalnej ścieżki logowania. Może mieć formę zaszytego na sztywno konta (admin/admin, którego nie da się usunąć), ukrytego endpointu w aplikacji webowej, zmodyfikowanej usługi SSH, dodatkowego klucza w ~/.ssh/authorized_keys albo złośliwego modułu doklejonego do legalnego oprogramowania.

Atakujący najczęściej instalują backdoora po pierwszym włamaniu — żeby wrócić później, nawet jeśli ofiara zmieni hasło albo załata pierwotną lukę. To tak zwana persystencja: jeden raz się dostałeś, ale chcesz mieć stały, wygodny dojazd. Stąd backdoory bywają sprytnie maskowane jako zwykłe procesy systemowe albo wpisy w harmonogramie zadań.

Przykład z praktyki

Klasyczny scenariusz: ktoś przejmuje serwer i odpala prostego reverse shella przez Metasploit (np. payload meterpreter), żeby maszyna sama „dzwoniła” na adres atakującego. Bardziej low-tech wariant to dodanie własnego klucza publicznego:

  • echo "ssh-ed25519 AAAA... atakujacy" >> ~/.ssh/authorized_keys — i już logujesz się bez hasła, kiedy chcesz.

Najgłośniejszy realny przypadek to XZ Utils (CVE-2024-3094) z 2024 roku — backdoor wstrzyknięty do popularnej biblioteki kompresji w Linuksie, który pozwalał na zdalne wykonanie kodu przez SSH. Wykryto go niemal przypadkiem, zanim trafił do stabilnych dystrybucji. Pokazuje to, że tylne drzwi potrafią siedzieć w zaufanym, otwartoźródłowym kodzie.

Mity i na co uważać

Mit pierwszy: „backdoor to zawsze wirus”. Niekoniecznie — bywa świadomą decyzją (np. zaszyte konto serwisowe), która i tak jest poważną luką. Mit drugi: „antywirus to wyłapie”. Dobrze ukryty backdoor wygląda jak legalny ruch i proces, więc skanowanie sygnatur często nic nie da.

Na co zwracać uwagę: nieznane konta i klucze SSH, dziwne nasłuchujące porty (ss -tlnp), nietypowe wpisy w cron, oraz zależności w projekcie z niepewnych źródeł. Zasada jest prosta — im mniej masz ukrytych „udogodnień”, tym mniej drzwi do pilnowania.

Pojęcia powiązane

Warto kojarzyć backdoora z takimi terminami jak rootkit, trojan, RAT (Remote Access Trojan), reverse shell, persystencja, privilege escalation oraz supply chain attack (atak na łańcuch dostaw).