Programas troyanos.
.
Caballos de Troya
Un troyano es cualquier programa que, en secreto para el usuario, realiza algunas acciones no deseadas por él. Estas acciones pueden adoptar cualquier forma: desde identificar los números de registro del software instalado en una computadora hasta enumerar directorios en su disco duro. El troyano puede disfrazarse de editor de texto, utilidad de red o cualquiera de los programas que el usuario desea instalar en su computadora.
Lo que, en unas circunstancias, causa un daño irreparable, en otras puede resultar bastante útil. Por tanto, un programa que formatea un disco duro no puede denominarse troyano si tiene como objetivo formatearlo (comando formatear del sistema operativo Microsoft DOS). Pero si el usuario, mientras ejecuta un determinado programa, no espera nada. que formateará su disco duro, entonces esto significa que es un verdadero troyano.
¿De dónde vienen los programas troyanos?
La tarea principal de la mayoría de los programas troyanos es realizar acciones que permitan el acceso a datos que no son ampliamente publicitados (contraseñas de usuario, números de registro de programas, información de cuentas bancarias, etc.) .d.) Además, los troyanos pueden causar daños directos a un sistema informático al dejarlo inoperable.
Los autores de estos programas suelen ser adolescentes que, aunque están obsesionados con la pasión por la destrucción, no tienen conocimientos profundos de programación, por lo que los troyanos que crean no pueden causar daños importantes a los sistemas informáticos; Por ejemplo, el mismo AOLGOLD se borró del disco duro y se inició desde cualquier otra partición del disco excepto la partición denominada C.
Una amenaza mucho mayor la representan los troyanos que forman parte de aplicaciones informáticas, utilidades y sistemas operativos comunes. Estos programas se descubren por pura casualidad. El software del que forman parte, en la mayoría de los casos, lo utiliza no solo una empresa que compró este software, sino que también está instalado en grandes servidores de Internet gubernamentales y educativos, distribuidos a través de Internet y, por lo tanto, las consecuencias pueden ser muy nefastas. .
También sucede que algunas utilidades se ven comprometidas por programadores que no tienen nada que ver con su desarrollo. Por ejemplo, después de la creación del analizador de red SATAN, su paquete de distribución, destinado a ser instalado en computadoras con el sistema operativo Unux, de alguna manera encontró su camino en un programa troyano ubicado en la utilidad fping. La primera ejecución de la utilidad fping modificada dio como resultado que se agregara una entrada al archivo /etc/passwd para un usuario llamado suser, quien como resultado podría iniciar sesión en Unix y obtener secretamente derechos de administrador en él. Sin embargo, el creador del troyano no preveía la posibilidad de «sombrear» el contenido. contraseñas en sistemas de la familia UNIX (en este caso, en lugar de contraseñas de usuario cifradas, los caracteres de servicio (por ejemplo, asteriscos) se escriben en el archivo etcpasswd, y toda la información sobre las contraseñas de usuario se oculta en otro lugar y se vuelve ilegible en el modo normal. medio).
Como resultado, sólo dos ordenadores en los que esto «dañado» Distribución del analizador de red SATAN para Linux (en estos equipos no se utilizó el sombreado de contraseñas).
El troyano (Trojan, caballo de Troya) es:
• un programa que, siendo parte de otro programa con funciones conocidas por el usuario, es capaz de realizar algunas acciones adicionales en secreto para el usuario con el fin de causarle cierto daño;
• un programa con funciones conocidas por su usuario, en el que se han realizado cambios para que, además de estas funciones, pueda realizar en secreto algunas otras acciones con el objetivo de causarle cierto daño;
• un programa que, además de funciones útiles y necesarias, el usuario realiza en secreto otras acciones con el objetivo de causarle algún daño
Dónde viven los programas troyanos y con qué frecuencia se encuentran
Actualmente, los programas troyanos se escriben para todos los sistemas operativos sin excepción y para cualquier plataforma. El método de distribución es el mismo que el de los virus informáticos. Por tanto, los más sospechosos por la presencia de troyanos en ellos son, en primer lugar, los programas gratuitos y shareware descargados de Internet, así como el software distribuido en CD pirateados.
Actualmente, existen una serie de programas troyanos que se pueden descargar de forma totalmente gratuita conectándose a la red informática mundial Internet. Los más famosos son los troyanos Back Orifice, Net Bus y Subseven (Fig. 1-2). En el sitio web del grupo de desarrollo Back Orifice, que se autodenomina «Cult of Dead Cow», se pueden encontrar incluso una docena de carteles destinados a anunciar su último desarrollo — Trojan Back Orifice 2000
|
Fig.1. Vista general del programa troyano Back Orifice 2000 |
Fig.1. Vista general del programa troyano SubSeven |
>p> Así, los caballos de Troya son bastante comunes y, por tanto, suponen una grave amenaza para la seguridad de los sistemas informáticos. La mayoría de los troyanos son parte de otros programas que se almacenan en la computadora en forma compilada. El texto de estos programas no está destinado a la percepción humana y es una secuencia de comandos en lenguaje de máquina, que consta de ceros y unos. El usuario medio, por regla general, no tiene idea de la estructura interna de dichos programas. Simplemente los inicia para su ejecución especificando el nombre del programa correspondiente en la línea de comando o haciendo doble clic con el mouse y apuntando el puntero a este programa.
Cuando resulta que un troyano ha penetrado en algún programa compilado, inmediatamente comienzan a difundirse en Internet boletines con información sobre el troyano detectado. En la mayoría de los casos, estos boletines informan brevemente sobre el tema. qué daño puede causar este programa troyano y dónde se puede encontrar un reemplazo para el programa afectado por el troyano.
A veces, el daño que puede causar un troyano es bastante fácil de evaluar. Por ejemplo, si se pretende enviar por correo electrónico el contenido del archivo /etc/passwd, en el que los sistemas operativos UNIX almacenan información sobre las contraseñas de los usuarios, basta con instalar un programa «limpio» versión del programa para reemplazar aquella en la que este troyano construyó su nido. A continuación, los usuarios tendrán que actualizar sus contraseñas, y esto completará la lucha contra él con éxito.
Sin embargo, no siempre es tan fácil determinar el grado de compromiso del sistema informático en el que se ha instalado el programa troyano. Supongamos que el objetivo de introducir un troyano es crear un agujero en los mecanismos de seguridad de un sistema informático a través del cual un atacante pueda, por ejemplo, penetrarlo con derechos administrativos. Si el atacante resulta ser lo suficientemente astuto y astuto como para ocultar las huellas de su presencia en el sistema realizando los cambios apropiados en los archivos de registro, será casi imposible determinar la profundidad de su penetración.
<El troyano CYBORG para PC atrajo a los usuarios desprevenidos con la promesa de proporcionarles la información más reciente sobre la lucha contra el virus que causa el síndrome de inmunodeficiencia adquirida (SIDA). Habiendo penetrado en un sistema informático, PC CYBORG contó 90 reinicios de ese sistema y luego ocultó todos los directorios en su disco duro y cifró los archivos allí.
El programa AOLGOLD se envió por correo electrónico como un archivo comprimido. La carta de presentación decía que AOLGOLD tiene como objetivo mejorar la calidad de los servicios proporcionados a sus usuarios por el mayor proveedor de Internet estadounidense, America Online (A OL). El archivo constaba de dos archivos, uno de los cuales se llamaba INSTALL.BAT. Un usuario de computadora que ejecuta INSTALL.BAT corre el riesgo de borrar todos los archivos de los directorios C:, C:DOS, C:WINDOWSSu C:WINDOWSSYSTEMHO de su disco duro
También se debe tener en cuenta el El hecho de que el propio troyano sea descubierto sólo varios meses después de su implementación en el sistema informático. En este caso, es posible que necesites reinstalar completamente el sistema operativo y todas sus aplicaciones.
Cómo reconocer un programa troyano
La mayoría del software diseñado para proteger contra troyanos utiliza algo llamado coincidencia de objetos en un grado u otro. En este caso, los archivos y directorios aparecen como objetos, y la conciliación es una forma de responder a la pregunta: «¿Han cambiado los archivos y directorios desde la última comprobación?» Durante la coordinación, se comparan las características de los objetos con las características que tenían hace algún tiempo. Por ejemplo, se toma una copia archivada de un archivo del sistema y sus atributos se comparan con los atributos de este archivo, que se encuentra actualmente en el disco duro. Si los atributos son diferentes y no se han realizado cambios en el sistema operativo, lo más probable es que un troyano haya penetrado en el ordenador.
Uno de los atributos de cualquier archivo es la marca de tiempo de su última modificación: cada vez que el archivo se abre, modifica y guarda en el disco, esta marca se actualiza automáticamente en consecuencia. Sin embargo, la marca de tiempo no es un indicador fiable de la presencia de un troyano en el sistema. El caso es que es muy fácil de manipular. Puede restablecer el reloj del sistema, realizar cambios en el archivo, luego restablecer el reloj nuevamente y la marca de tiempo de modificación del archivo permanecerá sin cambios.
¿Quizás la situación sea diferente con el tamaño del archivo? De nada. No es raro que un archivo de texto que originalmente ocupaba, digamos, 8 kilobytes de espacio en disco tenga el mismo tamaño después de editarlo y guardarlo. Los archivos binarios resultantes de la compilación de programas se comportan de manera algo diferente. Insertar un fragmento de su propio código en el programa de otra persona para que no pierda funcionalidad y conserve su tamaño en forma compilada es bastante difícil. Por lo tanto, el tamaño de un archivo es un indicador más confiable que la marca de tiempo en la que se modificó por última vez.
Un atacante que decide ejecutar un troyano en una computadora normalmente intenta hacerlo parte de un archivo del sistema. Dichos archivos están incluidos en el paquete de distribución del sistema operativo y su presencia en cualquier computadora donde esté instalado este sistema operativo no genera ninguna sospecha al usuario. Sin embargo, cualquier archivo del sistema tiene una longitud muy específica. Si este atributo se cambia de alguna manera, alarmará al usuario.
Sabiendo esto, el atacante intentará obtener el código fuente del programa correspondiente y analizarlo cuidadosamente en busca de elementos redundantes que puedan eliminarse sin ningún daño apreciable. Luego, en lugar de los elementos redundantes encontrados, el atacante insertará su propio troyano en el programa y lo volverá a compilar. Si el archivo binario resultante es más pequeño o más grande que el archivo binario original, se repite el procedimiento. Y así sucesivamente hasta obtener un archivo cuyo tamaño sea el más cercano al original (si el archivo fuente es lo suficientemente grande, este proceso puede tardar varios días).
Por lo tanto, en la lucha contra los troyanos, no se puede confiar en la marca de tiempo de la última modificación de un archivo y en su tamaño, ya que un atacante puede falsificarlos con bastante facilidad. Más fiable a este respecto es la denominada suma de comprobación de archivos. Para calcularlo, los elementos del archivo se suman de alguna manera y el número resultante se declara como su suma de verificación. Por ejemplo, en el sistema operativo SunOS hay una utilidad especial llamada suma, que envía al dispositivo de salida estándar STDOUT la suma de verificación de los archivos enumerados en la línea de argumentos de esta utilidad.
Sin embargo, en el caso general, una suma de verificación no es tan difícil de falsificar. Por lo tanto, para verificar la integridad del sistema de archivos de una computadora, se utiliza un tipo especial de algoritmo de suma de verificación llamado hash unidireccional.
Una función hash se denomina unidireccional si el problema de encontrar dos argumentos cuyos valores sean iguales es difícil de resolver. De ello se deduce que la función de hash unidireccional se puede utilizar para rastrear los cambios realizados por un atacante en el sistema de archivos de una computadora, ya que un intento de un atacante de cambiar un archivo para que el valor obtenido mediante el hash unidireccional de este archivo permanezca sin cambios está condenado al fracaso
Históricamente, la mayoría de las utilidades que permiten combatir la penetración de programas troyanos en un sistema informático mediante hash unidireccional de archivos se crearon para sistemas operativos de la familia UNIX. Entre estas utilidades, una de las más fáciles de usar y efectiva es TripWire, que se puede encontrar en Internet en http://tripwiresecurity/. TripWire permite el hash unidireccional de archivos utilizando varios algoritmos, incluidos — MOD, MD5, Sherfu y SHA. Los valores hash calculados de los archivos se almacenan en una base de datos especial, que, en principio, es el enlace más vulnerable cuando se utiliza TripWire. Por lo tanto, se recomienda a los usuarios de TripWire que tomen medidas de seguridad adicionales para evitar el acceso de un atacante a esta base de datos (por ejemplo, colocarla en un medio extraíble destinado únicamente a leer información de ella).
¡Atención! Incluso después de que se detecta un troyano, sus efectos dañinos en un sistema informático pueden sentirse durante mucho tiempo. A menudo nadie puede decir con certeza en qué medida un sistema informático se ha visto comprometido por la presencia de un programa troyano en él.
| En cuanto a los sistemas operativos de la familia Windows (95/98/NT), sucede que las herramientas antitroyanos que contienen tradicionalmente forman parte del software antivirus. Por lo tanto, para detectar Back Orifice, NetBus, Subseven y otros programas troyanos similares, necesita obtener el antivirus más moderno (por ejemplo, Norton Antivirus 2000 de Symantec) y comprobar periódicamente su computadora en busca de virus (consulte la Fig. 3 &# 8212; El programa antivirus Norton Anthirus 2000 le permite detectar la presencia de los troyanos más comunes en un sistema informático y deshacerse de ellos). |
|
|
|
A aquellos que quieran tener a su disposición una utilidad diseñada específicamente para detectar troyanos en computadoras con sistemas operativos Windows se les puede recomendar que utilicen el programa The Cleaner de MooSoft Development (http://homestead.corn/moosoft/cleaner.html). Esta utilidad está especialmente «afinada» para combatir más de cuatro docenas de variedades de programas troyanos (ver Fig. 4 — La ventana de trabajo principal del programa Cleaner). |
El panorama de los programas antitroyanos quedaría muy incompleto si no tuviéramos en cuenta los paquetes de software aparecidos recientemente en el mercado, diseñados para ofrecer una protección integral contra las amenazas a las que se enfrentan los usuarios de ordenadores de sobremesa cuando trabajan en Internet. Uno de esos paquetes es eSafe Protect de Aladdin Knowledge Systems (puede encontrar una demostración de eSafe Protect en Internet en esafe.corn).
| Funcionalmente, eSafe Protect se divide en tres componentes: antivirus, firewall personal y módulo de protección de recursos informáticos (consulte la Fig. 5 — La ventana de trabajo del paquete de software eSafe Pro-tect, a través de la cual puede acceder a los ajustes de configuración de los componentes incluidos en eSafe Protect, iniciar el antivirus y establecer cuidadosamente el grado de los sistemas de seguridad informática). |
|
El antivirus elimina el malware de tu ordenador gracias al uso de Módulo antivirus VisuSafe, certificado por la Agencia Nacional de Seguridad Informática de Estados Unidos. Un firewall personal controla todo el tráfico TCP/IP entrante y saliente asignando ciertos derechos a las direcciones IP utilizadas (por ejemplo, limitando el acceso a Internet a ciertas horas o prohibiendo las visitas a ciertos sitios web).
Enero de 1999 La popular utilidad TCP Wrapper, diseñada para administrar sistemas UNIX y distribuida gratuitamente a través de Internet, fue reemplazada en muchos sitios ftp por un programa similar en apariencia: un caballo de Troya. Después de la instalación, el troyano envió un correo electrónico a determinadas direcciones externas, notificando a su propietario sobre la implementación exitosa. Luego esperó a que se estableciera una conexión remota en el puerto 421 de la computadora que infectó y le otorgó derechos de acceso privilegiados a través de ese puerto.
Otro troyano se distribuyó a los usuarios de AOL como un archivo adjunto de correo electrónico. Quienes abrieron este archivo adjunto infectaron su computadora con un troyano que intentó encontrar la contraseña para conectarse a AOL y, si lo lograba, la cifró y luego la envió por correo electrónico a algún lugar de China
Para proteger los recursos informáticos en una computadora en la que está instalado el paquete de software eSafe Protect, se crea un área aislada especial — el llamado «sandbox». Todos los subprogramas de Java y componentes ActiveX descargados automáticamente de Internet se colocan primero en un entorno de pruebas, donde eSafe Protect los supervisa de cerca. Y si te encuentras en una «caja de arena» Si el programa intenta realizar alguna acción ilegal, será bloqueado inmediatamente. Durante un período de tiempo específico (de 1 a 30 días), cada aplicación descargada a una computadora desde Internet se somete a una «cuarentena» pruebas en el «sandbox». La información obtenida durante dicha verificación se ingresa en un diario especial. Después de la «cuarentena» La aplicación se ejecutará fuera del entorno limitado, pero solo podrá realizar acciones determinadas en función de las entradas de registro disponibles.
Por lo tanto, eSafe Protect proporciona el medio más desarrollado y eficaz de protección integral contra programas troyanos. El antivirus incluido en eSafe Protect le ayuda a identificar rápidamente troyanos y combatirlos utilizando tecnologías que han demostrado su eficacia en la lucha contra los virus. Un firewall personal bloquea estrictamente cualquier intento de comunicación desde el exterior con programas troyanos que hayan penetrado en el sistema informático. Y, por último, utilizando el «sandbox» Se impide rápidamente la introducción de troyanos en los ordenadores bajo la apariencia de subprogramas Java y componentes ActiveX.