Strona główna / Bezpieczeństwo / Trojany czyli przeciek niekontrolowany
czwartek 26 lipiec 2007 | Anna Pawłowska-Pojawa
Trojany czyli przeciek niekontrolowany
Trojany albo instalują się na komputerze, a następnie śledzą i rejestrują czynności użytkownika (trojany szpiegujące), albo wyszukują poufne informacje w komputerze i przesyłają je hakerowi. Są znacznie bardziej wyrafinowanymi sposobami na wydobycie informacji niż opisywany przez nas wcześniej phishing, gdzie cyberprzestępstwo zakłada jednak współpracę z maszyną lub jej oprogramowaniem przy jednoczesnym założeniu, że ofiara nie jest świadoma, iż pada ofiarą.

Phishing – prosty i prymitywny

Phishing to tylko jeden ze sposobów na wyciągnięcie danych z komputera. W gruncie rzeczy dość prymitywny, bo zakłada współpracę użytkownika komputera, który sam podaje poufne dane w odpowiedzi na prośbę hakera. Na phishing jedyną metodą jest ostrożność i rozwaga człowieka, a na to żaden program ani żaden producent nie daje gwarancji. Oczywiście, są programy, które blokują e-maile, które wg nich mogą pochodzić od cyberoszustów, ale mają one tę wadę, że blokują również część poczty interesującej dla użytkownika. Dopiero trojany stanowią istotnie duże wyzwanie.

Kto wpuścił tego (trojańskiego) konia?

Skąd się biorą trojany, a raczej – w jaki sposób mogą się dostać do naszego komputera i zacząć swoją podstępną działalność? Metod jest kilka - mogą zostać aktywowane po otwarciu przez użytkownika załącznika do wiadomości e-mail lub kliknięciu odnośnika wysłanego za pośrednictwem komunikatora internetowego. Mogą zostać uruchomione po otwarciu pliku z foldera w sieci P2P lub przez użycie na stronie internetowej skryptów, które wykorzystują błędy i luki w przeglądarkach internetowych. Programy takie mogą również być rozprzestrzeniane przez inne wcześniej zainstalowane szkodliwe programy, które potrafią pobierać i instalować je w systemie.

Jak koń wznieca pożar?

Trojany mają przede wszystkim wyciągnąć informacje o użytkowniku oraz hasła do programów i usług systemów operacyjnych. W tym celu skanują wszystkie obszary pamięci zawierające istotne dane: obszar chroniony systemu Windows, klucze rejestru oraz pliki niektórych programów, które mogą być interesujące dla hakerów (komunikatory internetowe, systemy pocztowe i przeglądarki internetowe).

Po zebraniu danych trojan szyfruje je i kompresuje do niewielkiego pliku binarnego. Plik ten może być wysłany za pośrednictwem poczty elektronicznej lub umieszczony na serwerze FTP szkodliwego użytkownika.

Jak się chronić przed pożarem – podejście tradycyjne

Prawie wszystkie dzisiejsze rozwiązania bezpieczeństwa (typu Security Suite) zawierają komponent, który chroni poufne dane i zwykle nosi nazwę Kontrola Prywatności. Kluczową funkcją tego składnika jest zabezpieczanie poufnych danych na komputerze użytkownika przed nieautoryzowanym dostępem i transmisją. Jednak tradycyjne rozwiązania antywirusowe opierają swoje podejście na założeniu, że użytkownik zdefiniuje dane, które uważa za poufne, a program będzie następnie analizował cały ruch wychodzący z komputera i albo "potnie" wszystkie wychodzące poufne dane, albo je zastąpi.

Problem polega jednak na tym, że 80 proc. trojanów nie wyciąga nam tajnych danych w czystej postaci ekstraktu . A jeżeli dane będą zaszyfrowane, system ochronny zwyczajnie ich nie rozpozna i ani nie zablokuje, ani nie potnie. Dodatkowo konieczność zdefiniowania przez użytkownika poufnych danych znakomicie ułatwia pracę trojanowi, który nie musi już przeszukiwać całego systemu w poszukiwaniu informacji.

Koń (trojański) musi być śledzony przed...wznieceniem ognia

Trojany można też blokować na wcześniejszych etapach, zanim dane zostaną przesłane i będzie za późno. Aby ukraść poufne informacje, taki szkodliwy program musi wykonać dwie czynności: znaleźć informacje i wydobyć je z miejsca, w którym są przechowywane, a następnie przesłać autorowi. Przed niekontrolowanym wysyłaniem danych w pewnym stopniu chronią zapory, które kontrolują aktywność sieciową aplikacji znajdujących się na komputerze. Z tego powodu wiele trojanów próbuje w rozmaity sposób je obejść.

Dlatego dobrym rozwiązaniem jest śledzenie aktywności aplikacji, której zachowanie wskazuje na potencjalną próbę kradzieży (np. uruchomienie przeglądarki i próba przesyłania za jej pośrednictwem). Wtedy szyfrowanie skradzionych danych nie stanowi problemu, ponieważ szkodliwa funkcja zostanie zablokowana zanim informacje będą mogły zostać przesłane.

Na kłopoty - KIS

Nowe rozwiązanie zostało zaimplementowane m.in. w oprogramowaniu Kaspersky Internet Security 7.0. Moduł ochrony poufnych danych analizuje zachowanie wszystkich procesów w systemie użytkownika i jeśli wykryje próby obejścia zapory oraz pobierania i wysyłania poufnych danych, albo ostrzeże użytkownika, albo automatycznie zablokuje te czynności.

Dzięki temu ryzyko, że informacje niepostrzeżenie wyciekną nam z komputera jest znacznie mniejsze niż jeżeli zdalibyśmy się na tradycyjny sposób ochrony.

I tak wzrasta bezpieczeństwo naszych danych o co przecież zabiegamy.

Podobne artykuły
Komentarze
comments powered by Disqus
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej