Druhý dech trojských koní

1. 2. 2008

Sdílet

Jedním z nejčastějších nebezpečí, se kterým se lze dnes setkat, jsou trojští koně. Kdysi dávno byly velmi ro...


Jedním z nejčastějších nebezpečí, se kterým se lze dnes setkat, jsou trojští koně. Kdysi dávno byly velmi rozšířené, pak téměř „vymřely“ – aby se po letech vrátily v plné slávě a síle na scénu.Co to je vlastně onen „trojský kůň“ (často označovaný familiérně jako „trojan“; setkat se lze i s anglickou verzí „trojan horse“)? Pro snadnější pochopení jeho významu se můžeme podívat do starověkých bájí a pověstí, kdy se obléhatelé Tróje dostali do vzdorujícího města tak, že obráncům darovali velkého dřevěného koně. Uvnitř ale byli schovaní válečníci, kteří poté, co se v útrobách dřevěného monumentu dostali dovnitř nedobytné pevnosti, dokončili svoji záškodnickou činnost.
V podstatě nachlup stejně fungují i naši trojští koně. V zásadě jde o počítačové programy naplňující staré dobré pořekadlo „navrch huj, vespod fuj“. Instalujete si je do počítače v dobré víře, že konáte nějakou zajímavou a/nebo užitečnou činnost – ovšem zároveň s propagovanou aktivitou si do svého stroje vpustíte i nějakou činnost/funkci, o které nevíte. Nebo byste s ní nejspíše nesouhlasili, pokud byste o ní měli ponětí.
Malá poznámka pod čarou: v podstatě každý počítačový program by se na základě této definice dal označit za trojského koně, protože kromě viditelných a žádaných projevů dělá i mnoho dalších věcí, s nimiž uživatele neseznamuje transparentním způsobem (i když jsou třeba v konečném důsledku užitečné nebo žádoucí). Toto ale jen ukazuje, jak ošemetné mohou být pokusy něco napasovat do svěrací kazajky definic.
Zkrátka a dobře: trojský kůň je počítačový program, který vykonává kromě toho, co od něj uživatel očekává, i věci, které nejsou (stále z hlediska pohledu uživatele) žádoucí.
Jeden příklad ze života
Jedním z prvních – a velmi ilustrativních – případů činnosti trojského koně se stala kauza známá pod názvem AIDS Information. V druhé polovině osmdesátých let hýbala světem právě tato smrtelná, rozšířená a do značné míry tajemná (alespoň při pohledu tehdejšíma očima) nemoc.
Toho obratně zneužil nikdy neodhalený škůdce (či spíše skupina škůdců, protože rozsah akce byl za finančními i organizačními hranicemi jednotlivce) k tomu, aby na dvacet tisíc poštovních kontaktů zveřejněných v adresáři časopisu PC Business World rozeslal (rozeslali…) dopis s disketou.
Dopisem se odesílatelé prezentovali jako nadace věnující se pomoci postiženým nemocí AIDS – a žádali příjemce o finanční příspěvek na svoji činnost. Jako nepatrnou protihodnotu nabízeli přiloženou disketu s nejnovějšími a nejúplnějšími informacemi o nemoci AIDS. Málokdo tomuto „dárku zdarma“ odolal (což mimochodem funguje dodnes), vložil disketu do počítače a příslušnou aplikaci nainstaloval. Kromě toho, že se mu zobrazily avizované informace o nemoci AIDS, se do počítače instaloval škodlivý kód (skrytý právě pod rouchem užitečných informací – tedy trojský kůň).
Ten se po devadesáti restartech počítače pokusil zašifrovat data uložená na pevném disku stroje, přičemž zde zanechal textový soubor vyzývající k zaplacení „výpalného“ ve výši 189 dolarů na adresu jistého P.O. Boxu v Panamě. Na oplátku měla být poškozenému zaslána další disketa – tentokrát s dešifrovacím klíčem k zašifrovaným datům.
Pachatele se nikdy nepodařilo ani vypátrat, ani dopadnout. Použité šifrování bylo naštěstí velmi slabé, takže drtivou většinou takto „ošetřených“ dat se podařilo zachránit. Velkoryse se zachovala i redakce časopisu PC Business World, ač byla v celém případu zcela bez viny – do nejbližšího čísla připravila podrobný návod k dešifrování dat a disketu s příslušným programem.
Tento příklad je přímo čítankový. Program vykonal činnost, která byla očekávaná. A zároveň provedl něco dalšího, co mu se zlým úmyslem vložil do vínku jeho tvůrce. Ten navíc měl mít ze zašifrování dat finanční prospěch.

Časy se ale mění…

Význam slovního spojení „trojský kůň“ se časem trochu posunul. Zatímco dříve šlo o „program dvou tváří“, dnes je takto označovaný prakticky jakýkoliv škodlivý kód, který se nereplikuje.
Je to svým způsobem logické: málokterý škodlivý kód se prezentuje hlášením „když mě spustíte, zavirujete si počítač“ (i když některé průzkumy ukázaly, že i takové programy jsou lidé ochotni spouštět). Snaží se spíše nějakým způsobem skrýt své skutečné poslání. Třeba tím, že se vydává za kodek potřebný pro spuštění nějakého multimediálního souboru. Nebo tím, že se v e-mailu tváří jako zajímavý a atraktivní dokument.
Tím jsme naznačili i vektory šíření trojských koní: mohou přijít prakticky odkudkoliv. Nejčastěji ale z webových stránek. Tento vývoj má svoji logiku. Zapomeňme na prehistorické šíření pomocí infikovaných disket. Ale i hit přelomu tisíciletí, e-
-mailoví červi (škodlivé kódy šířené automaticky prostřednictvím elektronické pošty), už téměř vymřel. Není se čemu divit: elektronická pošta se relativně snadno filtruje (pokusy umístit kód do nekontrolovatelného zašifrovaného archívu lze řadit spíše do oblasti experimentů než mezi reálná a dlouhodobá nebezpečí), stejně jako je jednoduché nasadit ochranné prvky přímo do poštovních klientů (např. blokování přístupu k adresářům nebo omezování možností spuštění souborů z e-mailů).
A tak i agresoři změnili taktiku. Mnohem jednodušší a praktičtější je přimět vyhlédnutou oběť, aby si škodlivý kód do počítače instalovala jiným způsobem. Obvykle přes webové stránky. Zkuste se totiž na situaci podívat očima útočníka: pokud se virus šíří (právě automatická replikace je hlavním rozdílem mezi virem a trojským koněm), nemá nad ním kontrolu. Kód víceméně náhodně putuje světem od počítače k počítači. Naopak: když někdo vloží škodlivý kód do webové stránky, může jej průběžně podle potřeby modifikovat. Stejně tak s ním může seznamovat pouze omezený okruh potenciálních obětí (a bezpečnostní firmy vyvíjející antivirový software mezi nimi pochopitelně nemusí být). Masově se šířící viry jsou na „pitevních stolech“ virových specialistů do několika minut od začátku epidemie. (A do několika desítek minut jsou vydané aktualizace programů, takže globální útoky zacházejí na úbytě – vzpomenete si ještě na nějaký nebezpečný a skutečně globální útok škodlivého kódu v posledním řekněme roce?)
Toto může tedy vést k cíleným útokům (pokud mám zájem o průnik do sítě chráněné bezpečnostním systémem X, budu vytvářet škodlivý kód a upravovat jej tak dlouho, až bude schopný proklouznout filtrační sítí systému X – ostatní systémy mi mohou být ukradené).
Čili vlastnost „nešířit se automaticky“ je z hlediska dnešních počítačových útočníků naopak významným plusem.

Projevy trojských koní

V kybernetickém prostoru se můžeme setkat s různými typy trojských koní. Než se je pokusíme „rozškatulkovat“, nejprve dvě poznámky. Jednak málokterý kód lze zařadit právě a jen do jedné kategorie (často vykonává několik různých činností), jednak trojský kůň může být vlastnost nějakého programu. Z toho plyne, že nemusí jít o jediný projev nebo funkci programu, ale pouze o jednu z nich (a ty ostatní mohou být koneckonců i užitečné).
První z těchto kategorií jsou trojské koně umožňující vzdálený přístup. Ty jsou asi nejznámější, protože jsou nejčastěji publikované – ostatně asi jen málokdo nezná kódy jako Back Orifice nebo Netbus. Díky vzdálenému přístupu získává útočník absolutní kontrolu nad napadeným počítačem – může manipulovat se soubory, účty, elektronickou poštou apod.
Dále jsou to trojští koně odesílající data (tady už se dostáváme na tenkou a špatně definovatelnou hranici mezi trojskými koni a spywarem). Pomocí ICQ, IRC, FTP nebo HTTP dochází k odeslání buď konkrétní informace vyhledané na základě stanoveného zadání, nebo jsou odesílány informace obecnější, získané pomocí instalovaného key loggeru (snímače stisknutých kláves), které si útočník následně sám analyzuje. Data jsou zpravidla odesílána na freemail nebo prostřednictvím formulářů umístěných na webových stránkách. Tím dochází k obcházení firewallů a dalších bezpečnostních prvků, protože odesílání e-mailů nebo webové spojení zpravidla není omezeno.
Nepříjemnou (leč v poslední době nepříliš rozšířenou) kategorií jsou destruktivní trojani. Jejich cílem je smazat a zničit soubory. Buď je mohou likvidovat masově (třeba DLL, INI nebo EXE soubory v operačním systému) nebo podle specifického zadání. Také mohou sloužit coby logická bomba, kdy jsou aktivovány na dálku útočníkem.
Trojští koně také mohou být použity pro útoky typu DoS. Pokud útočník získá dostatek obětí (tedy pokud dokáže infikovat významný počet stanic), může zahájit i distribuovaný DoS útok (DDoS). Stovka infikovaných ADSL uživatelů už dokáže vytvořit velmi nepříjemný provoz. Stejně tak může být trojský kůň použitý jako mail-bomba: z infikovaných počítačů je odesláno obrovské množství e-mailů s náhodnými předměty, obsahem i odesílateli (aby je nebylo možné filtrovat) do konkrétní schránky.
Další kategorií je využití trojského koně coby proxy. V takovém případě škodlivý kód mění počítač oběti na proxy server. Počítače jsou pak následně zneužívané ke zprostředkování nákupů pomocí zcizených čísel kreditních karet a k dalším nelegálním aktivitám. Útočník tak získává anonymitu. Pokud zanechá při svých nekalých rejdech stopu, ta vede jen k infikovanému počítači. Tím mohou v případě nelegálních aktivit vznikat právní problémy a dokazování je často velmi nepříjemné.
Trojští koně pak mohou fungovat také jako FTP servery. V takovém případě otevírají port 21 vyhrazený pro FTP přenosy a umožňují útočníkovi používat infikovaný počítač právě pro FTP přenosy (zpravidla větších objemů nelegálních dat).
Poslední kategorií jsou trojští koně, kteří jsou schopni vypínat bezpečnostní prvky. Jejich úkolem je po vstupu do počítače zastavit nebo ukončit běh antivirových programů, firewallů apod. Pokud se to podaří, útočník může ve druhém sledu dotyčnou stanici bez problémů napadnout.

Quo vadis, trojane?

Zkrátka a dobře: trojani dnes zažívají skutečnou renesanci. Umožňují vyhnout se bezpečnostním systémům, umožňují vyhnout se masovému (zbytečně nápadnému) šíření, umožňují provádět cílené útoky, dovolují, aby je měl tvůrce stále pod kontrolou. (Aby je tedy třeba podstrčil jen tomu, o koho má skutečný zájem.)
Pokud chceme hovořit o obrození trojských koní, pak si musíme uvědomit ještě jeden podstatný fakt: v oblasti počítačových útoků dochází ke nebývalému rozmachu útoků pomocí sociálního inženýrství.
Než se pokoušet překonat všechny bezpečnostní systémy hrubou silou (a navíc tak na sebe upozorňovat), není jednodušší požádat pod lživou záminkou o pomoc člověka, který sedí u klávesnice? Má dotyčná osoba zájem o videa s nahotinkami? Prosím, dostane je. Cože, video nejde spustit? Tak to si musíte nainstalovat náš úžasný kodek, najdete ho na té a té stránce (odjinud to opravdu nejde, náš kodek je prostě unikátní). Tak, hotovo. Děkujeme za spolupráci, člověče, právě jsi nám pomohl překonat ochranný val postavený kolem tvého informačního systému. A že ta nahotinka stále nejde spustit? Svatá prostoto, kdy už konečně přestaneš být tak naivní?
8 0018/ZAJ ?

Autor článku