web-dev-qa-db-fra.com

Quelle est la différence entre un porte-backdoor et un rootkit?

Je lisais le "Qu'est-ce qu'un rootkit?" Poste et je suis confus à propos de la différence entre un rootkit et une porte d'arrière-bouette. Comme je l'ai compris, les deux:

  • Sont un morceau de code écrit par l'attaquant et injecté dans un système

  • Autoriser l'accès au système uniquement à l'utilisateur qui a écrit le code ou au moins connaît le code du code

  • Sont difficiles à détecter et à patcher

Alors, ces termes sont-ils similaires et les deux peuvent être utilisés pour signifier la même chose? Est un plus générique que l'autre?

4
Shashimee

La réponse de Thomas Pornin à la question liée Commence avec une très bonne définition d'un rootkit, je pense:

Un rootkit est un ensemble d'outils que vous exécutez sur une machine cible lorsque vous y avez gagné un accès avec des privilèges au niveau des racines. Le point du rootkit est de transformer cet accès transitoire en une porte toujours ouverte.

Tout d'abord, voyons comment cela convient avec vos points:

Est un morceau de code écrit par l'attaquant et injecté dans un système.

"Injecté dans un système" est assez large, mais précis. Il n'a pas besoin d'avoir été écrit par Ceci attaquant, cependant; Ils auraient pu obtenir une étagère hors tension, surtout s'il utilise un outil commun (comme OpenSSH) pour conserver les privilèges élevés.

Autoriser l'accès au système uniquement à l'utilisateur qui a écrit le code ou au moins connaît le code du code

Un rootkit permet à un utilisateur non autorisé d'obtenir des privilèges root si elles connaissent "la poignée de main secrète" (quel que soit le déclencheur pour le rootkit). Les utilisateurs autorisés (par exemple, Sysadmins) sont toujours en mesure de faire ce qu'ils font normalement. Et un autre attaquant n'a pas besoin de connaître les spécificités de la mise en œuvre du rootkit, mais également des détails sur la manière de le faire fonctionner (l'interface utilisateur, dirons-nous).

Sont difficiles à détecter et à patcher

Généralement, oui, puisque l'attaquant a un accès root et tous les privilèges qui l'accompagnent.


Un backdoor est un terme beaucoup plus générique, faisant référence généralement à une certaine manière pour un utilisateur non autorisé à accéder à un système. Le nom vient du monde physique, où vous pourriez avoir la porte d'entrée à un bâtiment gardé, mais une porte arrière peu connue non gardée (ou plus libérée).

Je suppose qu'un rootkit est un sous-type de porte d'arrière-plan; L'accès spécifique qu'il donne est un accès root persistant sur un système de type UNIX.

Cependant, les flackfoors peuvent couvrir une superficie beaucoup plus large. L'une des associations les plus courantes avec les backdoors est des anciens employés mécontents. Imaginez que vous aviez un développeur travaillant chez votre entreprise sur une sorte d'application Web comportant un groupe d'administration. Normalement, le panneau nécessite un nom d'utilisateur et un mot de passe valides pour accéder. Cependant, ce développeur a ajouté secrètement du code qui leur permet de doubler de cliquer dans le coin supérieur gauche et de contourner l'écran de connexion. Ce serait une porte arrière (donnée à l'accès qu'ils ne devraient pas), mais ce n'est pas un rootkit (il n'y a pas de compte root ici).

un morceau de code écrit par l'attaquant et injecté dans un système

Pas nécessairement écrit par attaquant, mais pourrait être intentionnel par les développeurs. "Système" n'a pas à signifier "ordinateur", mais pourrait également être un logiciel, ce qui signifie que vous pouvez avoir des portefeuilles n'importe où, mais que seuls les rootkits sont sur des machines.

Permettez à l'accès au système uniquement à l'utilisateur qui a écrit le code ou au moins a connaissance du code

Les rootkits ne permettent pas toujours l'accès à distance.

Sont difficiles à détecter et à patcher

Je ne suis pas sûr que ce point soit pertinent dans une description ou une délimitation de l'un ou l'autre.

3
schroeder

Un porte-backdoor permet d'accéder à une personne qui sait comment appeler le Backdoor, par exemple. Un développeur crée un moyen de passer autour de la méthode d'authentification destinée à être utilisée ou ouvre un port "secret" que connu de lui.

Un kit racine est un logiciel installé sur la machine qui permet à un attaquant de faire un certain nombre de choses malveillantes, notamment l'ouverture d'un porte-backdoor. Un kit racine est installé illégalement sur la machine sans que le propriétaire sache.

Pensez au kit racine étant l'outil qui pourrait permettre d'ouvrir un porte-backdoor.

1
ISMSDEV