Trojansk häst
Från Rilpedia
För legenden om trähästen i Troja, se Trojanska hästen
En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta eller nöje, men som orsakar skada när det lurat en användare att installera eller köra det. Det kan vara frågan om ett program skrivet för ändamålet eller en modifierad version av ett annat program.
Innehåll |
Spridning
E-post och www-sidor
För vanliga datoranvändare är e-post innehållande trojanska hästar eller länkar till sådana det vanligaste hotet mot datasäkerheten. Följebrevet kan vara ett enkelt "se här", eller så uppges bilagan vara en skärmsläckare eller annat lustigt program, en säkerhetsuppdatering, en rolig filmsnutt eller ett vanligt dokument. Avsändaren kan anges som någon i ens bekantskapskrets, t.ex. då adresserna hittats på en gemensam bekants infekterade dator – eller då bekantingen inte upptäckt programmets eller dokumentets natur.
Om mottagaren kör det bifogade programmet har detta i allmänhet möjlighet att göra vad som helst som användaren själv har rätt att göra, t.ex. att skicka sig vidare och installera en bakdörr på datorn.
Också i de fall bilagan inte verkar vara ett datorprogram kan den innehålla kod som kan komma att köras, antingen t.ex. så att ett bifogat dokument innehåller makrokod eller så att filnamnet ger sken av att beskriva ett ofarligt dokument medan bilagan innehåller något helt annat. Bilagan kan också innehålla kod som utnyttjar en buffertöverskridning eller andra säkerhetshål i de program med vilka bilagan kan komma att behandlas.
Hur lätt det är att lura användaren att i misstag köra ett datorprogram beror delvis på operativsystem och använda program: t.ex. döljer Windows ofta den del av filnamnet som visar filtypen och gör inte skillnad mellan att öppna ett dokument och att köra ett program.
Exekverbar programkod kan också laddas ner från nätet. En länk till en lämplig sida kan inkluderas i ett e-postmeddelande. Sidans adress kan väljas så att den verkar tillhöra ett respektabelt bolag, t.ex. så att adressen innehåller en svårupptäckt felstavning eller en toppdomän annan än den firman registrerat sitt namn under (t.ex minbank.net eller minbamk.com istället för minbank.com). I vissa fall kan länken konstrueras så att innehållet hämtas automatiskt.
Modifierade program
Den som lyckas bryta sig in på en fildelningsserver kan ladda upp modifierade versioner av programfiler och sålunda plantera in trojanska hästar på en respektabel webbplats.
Denna risk är uppenbar ifråga om fri programvara, varför t.ex. många GNU/Linux-distributioner använder kryptografiska kontrollsummor och nycklar, med vilka man mer eller mindre automatiskt kan kontrollera att programmen inte modifierats.
Program kan omvandlas till trojanska hästar också av någon med legitim åtkomst till lämpliga datorsystem hos tillverkaren eller distributören, t.ex. en missnöjd anställd (jfr Att installera bakdörrar). Ibland innehåller programmet ursprungligen en trojansk häst, t.ex så att mer eller mindre seriös programvara också innehåller ett spionprogram.
CD-skivor, usb-minnen och liknande
CD-skivor och andra löstagbara medier kan användas som trojanska hästar, antingen då de förväntas innehålla programvara, varvid situationen påminner om den med bruten datasäkerhet vid programdistribution över nätet, med hjälp av autorun-funktionalitet eller utnyttjande något säkerhetshål.
Funktion
Termen trojank häst syftar på myten om den trojanska hästen och alltså på det att programmet körs eller installeras frivilligt i god tro. Programmets oönskade funktion kan vara vad som helst, men vanliga funktioner är
- en bakdörr, som tillåter distributören att logga in på datorn eller ta kontroll över den (se också botnet)
- spionprogram, som följer med och rapporterar om användarens aktiviteter eller samlar användarnamn och lösenord
- skräppost- eller fildelningsprogram
- spridning, t.ex. så att den trojanska hästen skickas med e-post till adresser programmet hittar på datorn
- selektiv förstörelse av filer på datorn, t.ex. så att virusskyddet helt eller delvis slås ut eller så att programmet förstör filer som anses olämpliga
- logisk bomb som förstör innehållet på datorn eller stör nättrafik vid en förprogrammerad tidpunkt
- förändring av webbläsarens funktion, så att till exempel förbindelser till din bank kapas och pengar betalas in på konton kontrollerade av dem som står bakom
Skydd mot trojanska hästar
Eftersom en trojansk häst aktiveras genom att en datoranvändare eller -administrator installerar eller kör programmet kan man undvika trojanska hästar genom att aldrig köra programkod som härstammar från eller kan ha kommit via en icke-betrodd källa. Man kan också välja operativsystem, e-postprogram och webbläsare som gör det lätt att skilja mellan att öppna en fil och att köra den och se till att programmen inte är inställda så att de kör kod utan explicit tillåtelse; många trojanska hästar utger sig för att vara ofarliga dokument medan de i själva verket är datorprogram.
Vem man skall lita på som ursprung eller disributör till datorprogram är en avvägningsfråga. Också stora företag har distribuerat spionprogram och t.o.m. direkt skadlig programkod (se t.ex. Sonys rootkit) tillsammans med legitima produkter. Som tumregel kan man säga att åtminstone program man får via e-post eller vars ursprung är okänt alltid skall betraktas som suspekta. Om man kan lita på att ursprunget är det det utger sig vara är man någorlunda trygg, då få vill distribuera skadlig kod i eget namn.
Program som laddats ner med fildelningsprogram är problematiska, då man sällan vet via vem man fått programmet. Om man känner till ursprunget eller någon som har en ursprunglig version av programmet kan man använda kryptografiska kontrollsummor (t.ex. MD5) för att försäkra sig om att programmet inte har modifierats. Programfiler kan också kontrolleras med antivirusprogram, som åtminstone avslöjar litet äldre allmänt spridd skadlig kod, förutsatt att virusprogrammet uppdaterats tillräckligt nyligen.
Eftersom ens e-postprogram kan lura en att köra skadlig kod i tron att det är frågan om vanliga textdokument kan det vara nyttigt att kontrollera e-posten med något antivirusprogram. Uppdatering av e-postprogram och webbläsare hjälper i de fall luckor i dessa hjälper den trojanska hästen att dölja sin rätta natur (och mot maskar som utnyttjar luckor för att sprida sig automatiskt).