Troià (informàtica)

Un troià informàtic o cavall de Troia (traducció més fidel de l'anglès Trojan horse encara que no tan utilitzada) és un programa nociu amb aparença de programari legítim que permet l'accés a usuaris externs, a través d'una xarxa d'àrea local o d'Internet, amb la finalitat de recaptar informació o controlar remotament a la màquina amfitriona, però sense afectar-ne el funcionament.[1] Els troians no són capaços de replicar-se per si mateixos i poden ser adjuntats amb qualsevol tipus de programari per un programador o pot contaminar els equips per mitjà de l'engany. Els troians poden introduir programes espia dins l'ordinador d'una persona o crear una porta posterior (en anglès backdoor) que permet l'administració remota a un usuari no autoritzat.[2]

Un troià és un tipus de malware. Perquè un malware sigui un troià, només ha d'accedir i controlar la màquina anfitriona sense ser advertit, sota una aparença inofensiva.

El nom prové del mitològic cavall de fusta troià, que va ser construït pels grecs com a ofrena a Minerva, suposadament per propiciar-se un bon retorn a Grècia. En realitat era un parany per atacar la ciutat, ja que el cavall estava ple de guerrers grecs. Aquests durant la nit van sortir de dins del cavall i van arrasar Troia.

Història modifica

Els troians es van concebir com una eina per causar el major dany possible en l'equip infectat. En els últims anys i gràcies al major ús d'Internet, aquesta tendència ha canviat cap al robatori de dades bancàries o informació personal.[3]

Des dels seus orígens, els troians han sigut utilitzats com una arma de sabotatge pels serveis d'intel·ligència com l'CIA, el cas més emblemàtic del qual fou el Sabotatge del Gasoducte Siberià l'any 1982. La CIA va instal·lar un troià en el software, que s'ocuparia de controlar el funcionament del gasoducte, abans que la URSS comprés aquest software en Canadà.[4]

D'acord amb un estudi de l'empresa responsable del software de seguretat BitDefender des de gener fins a juny de 2009, «El nombre de troians està creixent, representen el 83% del malware detectat».[5]

Propòsits dels troians modifica

Els troians estan dissenyats per permetre a un individu l'accés remot a un sistema. Un cop en execució, l'atacant pot accedir al sistema de forma remota i realitzar diferents accions sense necessitar permís.[6] Les accions que l'atacant pot realitzar en l'equip depenen dels privilegis que tingui l'usuari atacat en ell i de les característiques del troià.

Algunes de les operacions més comunes són:

  • Utilització de la màquina com a part d'una botnet (per exemple, per realitzar atacs de denegació de servei o enviament d'spam)
  • Instal·lació d'altres programes (incloent aplicacions malicioses).
  • Robatori d'informació personal: informació bancària, contrasenya, codis de seguretat, etc.
  • Eliminació, modificació o transferència d'arxius (descàrrega o pujada).
  • Esborrament complet del disc.
  • Execució o finalització de processos.
  • Apagament o reiniciament de l'equip.
  • Captura de les pulsacions del teclat.
  • Captures de pantalla.
  • Emplenament del disc dur amb arxius inútils.
  • Monitorització del sistema i seguiment de les accions de l'usuari.

Característiques dels troians modifica

Generalment, els troians són utilitzats per robar informació, en casos extrems, obtenir el control remot de l'ordinador, de forma que l'atacant aconsegueixi accés de lectura i escriptura als arxius i dades privades emmagatzemades, visualització de les pantalles obertes, activació i desactivació de processos, control de dispositius...

Els troians estan composts principalment per dos programes: un programa d'administració, que envia ordres per ser executades en l'ordinador afectat, i el programa resident situat en l'ordinador afectat, que rep les ordres de l'administrador, les executa i retorna un resultat.

Generalment també es compta amb un editor del programa resident, que serveix per modificar-lo, protegir-lo mitjançant contrasenyes, unir-lo a altres programes per difressar-lo, configurar en quin port desitgem instal·lar el servidor, etc.

Atenent a la forma en la qual es realitza la connexió entre el programa d'administració i el resident, es poden classificar en:

  • Connexió directa: L'atacant es connecta directament al PC infectat mitjançant la seva adreça IP. En aquest cas, l'equip atacant és el client i la víctima el servidor.
  • Connexió indirecta (o inversa): L'equip host o víctima es connecta a l'atacant mitjançant un procés automàtic en el malware instal·lat en el seu equip, i per això no és necessari per a l'atacant disposar de l'adreça IP de la víctima. Perquè la connexió estigui assegurada, l'atacant pot utilitzar una adreça IP fixa o un nom de domini.

Els troians i altres tipus de malware, així com moltes utilitzats sotftware, han evolucionat cap al model de connexió inversa a causa de l'extensió de routers que apliquen en la seva majoria per defecte una capa de seguretat en la red inicial, actuant com un firewall que impedeix connexions entrants cap a clients de la xarxa, tret que es deshabiliti o configuri el mecanisme.

La connexió inversa presenta clares avantatges respecte la directa: permet traspassar alguns firewalls, poden ser utilitzats en xarxes sense problemes i no requereixen el coneixement de la adreça IP del servidor.

Cal destacar que existeixen altres tipus de connexions, que no són d'equip víctima a equip atacant, sinó que utilitzen un servidor intermedi, normalment aliè a ambdós, per realitzar el procés de control. Se solen utilitzar els protocol IRC i FTP, HTTP, entre d'altres.

Formes d'infectar-se amb troians modifica

La majoria d'infeccions amb troians ocorren quan s'executa un programa infectat amb aquest. Aquests programes poden ser de qualsevol tipus, des d'instal·ladors fins a presentacions de fotos. En executar el programa, aquest es mostra i realitza les tasques de forma normal, però en un segon pla, i al mateix temps s'instal·la el troià. El procés d'infecció no és visible per l'usuari, ja que no es mostren finestres ni alertes de cap tipus, pel que evitar la infecció d'un troià esdevé difícil. Algunes de les formes més comunes d'infecció són:

  • Descàrrega de programes de xarxes P2P.
  • Pàgines web que contenen contingut executable (per exemple controls ActiveX o aplicacions Java).
  • Exploits per aplicacions no actualitzades (navegadors, reproductors multimèdia, clients de missatgeria instantània).
  • Enginyeria docial (per exemple, un pirata informàtic que envia directament el troià a la víctima a través de la missatgeria instantània).
  • Arxius adjunts en correus electrònics.
  • Connexió de l'equip a un dispositiu extern infectat.
  • Actualització del software de l'equip.
  • Abscència de software de protecció.

S'ha de tenir cura a l'hora d'executar qualsevol programa, ja que qualsevol pot realitzar accions malicioses en un ordinador. Alguns consells per evitar infeccons són:

  • Disposar d'un programa antivirus actualitzat regularment.
  • Disposar d'un firewall correctament configurat.
  • Descarregar programes sempre des de pàgines web oficials o de confiança.
  • Obrir només fitxers adjunts de correus coneguts.

Eliminació de troians modifica

Una de les principals característiques dels troians és que no són visibles per a l'usuari. Un troià pot estar executant-se en un ordinador durant mesos sense que l'usuari ho percebi. Això fa molt difícil la seva detecció i eliminació de forma manual. Alguns patrons per identificar-són: un programa desconegut s'executa en iniciar l'ordinador, es creen o s'esborren arxius de forma automàtica, l'ordinador funciona més lent del normal, errors en el sistema operatiu, etc.

Per altra banda, els programes antivirus estan dissenyats per eliminar tot tipus de programari maliciós, a més d'eliminar-los també prevenen de noves infeccions actuant abans que el sistema resulti infectat. És molt recomanable tenir sempre un antivirus instal·lat a l'equip i si pot ser també un tallafocs.

Vegeu també modifica

Referències modifica

  1. Kaspersky Lab. «¿Qué es un TROYANO y de dónde proviene este nombre?». Consultat el 26/05 de 2010.
  2. Masadelante.com. «Qué es un troyano informático - Definición de troyano». Consultat el 26/05 de 2010.
  3. Panda Security. «¿Qué son los "Troyanos"?[Enllaç no actiu]». Consultat el 26/05 de 2010.
  4. Fidel Castro (18 de setembre de 2007). «Mentiras deliberadas, muertes extrañas y agresión a la economía mundial». Diario Granma.
  5. BitDefender. «BitDefender Malware and Spam Survey» (en anglès). Archivado desde el original el 8 d'agost de 2009. Consultat el 26/05 de 2010.
  6. Jamie Crapanzano (2003), SANS Institute. «Deconstructing SubSeven, the Trojan Horse of Choice» (PDF) (en anglès). Consultat el 26/05 de 2010.

Enllaços externs modifica