I Trojan - Come proteggere il proprio network da questo pericolo - parte I

Questa white paper pone l'accento su cosa sono i Trojan e perché rappresentano un pericolo per le reti aziendali. Già nel 2001, un articolo di eWeek riportava che decine di migliaia di computer erano infettati da Trojan. Oggi le cose non sono migliorate - l'utilizzo di complicate tecnologie rende la situazione più allarmante: i Trojan possono essere utilizzati per rubare codici di carte di credito, password, ed altre informazioni personali. Inoltre, possono essere usati per lanciare attacchi contro determinate aziende. Per combattere tale pericolo, la white paper discute della necessità di introdurre per il server di posta, oltre che uno scanner per virus, anche uno scanner di Trojan e di eseguibili.

Cos'è un Trojan (cavallo di Troia)?

Nel mondo IT, un Trojan è usato per entrare di nascosto nel computer di una vittima, garantendo all'aggressore l'accesso totale ai dati immagazzinati in quel computer e provocando danni elevati per la vittima. Un Trojan può essere un programma non visibile che opera nel computer della vittima senza che essa se n'accorga, oppure, può essere incluso in un programma legittimo, ed eseguire operazioni nascoste senza che la vittima ne sia a conoscenza.

Cosa cercano gli aggressori

I Trojan possono essere usati per ricavare informazioni confidenziali o per creare dei danni. Nell'ambiente aziendale, un Trojan è spesso utilizzato per spiare e rubare informazioni private (Spionaggio industriale). Anche se non si limitano a questi, gli obiettivi di un invasore possono essere i seguenti:

• Ricavare informazioni sulle vostre carte di credito (spesso utilizzate per la registrazione a domini a pagamento o per fare acquisti illegali)
• Ricavare informazioni degli account di ogni genere (password di e-mail, password per connessioni, password per servizi Web, ecc.)
• Avere accesso ai vostri documenti confidenziali
• Conoscere gli indirizzi e-mail (per esempio, informazioni su clienti)
• Appropriarsi di foto o progetti confidenziali
• Acquisire informazioni riguardanti i vostri appuntamenti in agenda
• Utilizzare il vostro computer a scopi illegali.
  

Differenti tipi di Trojan

Vi sono differenti tipi di Trojan, e possono essere raggruppati in sette grandi categorie. Si noti che è normalmente difficile classificare un Trojan in una sola categoria, infatti, molti Trojan hanno caratteristiche tali da poter essere inseriti in più categorie. Le categorie sotto elencate evidenziano le principali funzioni che un Trojan può realizzare.

Trojan di accesso remoto
Questi sono forse i Trojan più noti. Infatti, forniscono all'aggressore il controllo totale del vostro computer. Esempi sono i Trojan: Back Orifice e Netbus. L'obiettivo che sta alla loro base è quello di fornire all'aggressore l'accesso COMPLETO al computer di qualcuno, e, conseguentemente, il pieno accesso ai file, alle conversazioni private, ai dati di account, ecc.

Il virus Bugbear che aveva attaccato Internet nel Settembre 2002, per esempio, aveva installato un Trojan nei computer delle vittime, fornendo all'aggressore l'accesso ai dati importanti.

Il Trojan di accesso remoto agisce come un server, e di solito è posto come spia su una porta che non è disponibile per gli attacchi Internet. Pertanto, per una rete di computer protetta da un firewall, è improbabile che un cracker remoto (off-site) possa essere in grado di collegarsi a tale Trojan (assumendo chiaramente, che si sia tenuto conto di bloccare tale porta). COMUNQUE, un cracker interno (situato alle spalle del firewall) può collegarsi a tale tipo di Trojan senza alcun problema.

Trojan di Data-sending (password, keystrokes, ecc...)
L'obiettivo di questo tipo di Trojan è inviare al cracker dati che contengono informazioni quali password (ICQ, IRC, FTP, HTTP) o informazioni confidenziali quali codici di carte di credito, chat logs, rubriche con indirizzi, ecc. Il Trojan può scoprire informazioni specifiche in locazioni particolari oppure installare un key-logger e semplicemente inviare tutte le keystroke registrate al cracker (che a turno può estrarre le password da tali dati).

Un esempio di questo è il virus e-mail BadtransB (realizzato allo stato naturale nel Dicembre 2001) e che può registrare le keystroke degli utenti.

I dati registrati possono essere inviati all'indirizzo e-mail dell'aggressore, che nella maggior parte dei casi utilizza il servizio e-mail gratuito di qualche provider. Alternativamente, i dati possono essere inviati al sito web del cracker, ed anche in questo caso si può trattare di una pagina web gratuita di qualche provider. In entrambi i casi, trattandosi di servizi gratuiti, i moduli di registrazione possono essere compilati via web da qualsiasi computer e senza verifiche, rendendo pertanto impossibile l'individuazione del cracker.

Sia gli cracker interni che esterni possono utilizzare i Trojan data-sending ed avere accesso alle informazioni confidenziali della vostra azienda.