A Expressão cavalo de tróia surgiu da história da guerra entre gregos e troianos, onde os soldados gregos colocaram alguns soldados dentro de um gigantesco cavalo de madeira e o ofertaram aos seus rivais troianos que por acreditarem que o cavalo seria um presente como sinal de trégua levaram-no para dentro da cidade. Com o suposto presente dentro da cidade dos troianos os soldados gregos que se encontravam dentro do cavalo abriram os portões para que os outros soldados pudessem entrar e garantir a vitória grega.
O vírus Trojan (cavalo de tróia) é algo parecido com o cavalo de madeira do qual tomou o nome. É um programa que simula fazer algo de bom, quando de fato faz um monte de outras coisas. Assim, um trojan é um programa que oculta o seu objetivo sob uma camuflagem de outro programa útil ou inofensivo.
A história do "Trojan horse" (Cavalo de Tróia) é atribuído à Daniel Edwards da NSA (National Security Agency). Ele ajudou a identificar o ataque ocorrido em 1972, e reportou ao relatório "Computer Security Technology Planning Study". Este foi o primeiro relato de um ataque ocorrido por este malware, que mais tarde ficou conhecido por trojan horse, ou somente trojan.
Referencial teórico
Malware
Malware é uma categoria de código malicioso que inclui vírus, worms e Cavalos de Tróia. Os programas de malware destrutivos utilizam ferramentas de comunicação conhecidas para se espalharem. Por exemplo, worms enviados por e-mail e mensagens instantâneas, Cavalos de Tróia provenientes de websites e arquivos infectados com vírus obtidos por download de conexões ponto-a-ponto. O malware também tenta explorar as vulnerabilidades existentes nos sistemas, tornando sua entrada discreta e fácil.
Cavalos de Tróia
Muitos falam que o malware chamado de Cavalo de Tróia (Trojan Horse) é apenas um subconjunto de vírus (e vice-versa), mas há diferenças importantes que devem ser observadas cuidadosamente.
Um Cavalo de Tróia enquadra-se na definição de vírus que a maioria das pessoas usa, no sentido de que ele tenta invadir um computador sem o conhecimento e sem o consentimento do usuário. Um Cavalo de Tróia, semelhante a sua contraparte mitológica, apresenta-se freqüentemente de uma forma quando, na verdade, ele tem outra. Isto é, é apresentado aos futuros "usuários" como um utilitário, um crack, uma imagem pornográfica ou um jogo, mas na verdade ele irá executar operações completamente diferentes das esperadas, assim que for instalado por um usuário leigo ou desprevinido. Um exemplo recente de software mal-intencionado agindo com um Cavalo de Tróia é a versão de e-mail do vírus "Swen" que, de modo falso, passava-se como um aplicativo de atualização da Microsoft.
Os Cavalos de Tróia normalmente executam uma destas ações: eles destroem ou modificam dados, como apagar uma unidade de disco rígido, no momento em que são ativados ou tentam descobrir ou roubar senhas, números de cartão de crédito e outras informações confidenciais. Os Cavalos de Tróia podem representar um problema maior que outros tipos de vírus, pois são desenvolvidos para serem destrutivos, de modo oposto aos vírus e aos worms, em que o invasor pode não ter a intenção de causar nenhum dano, só mostrar que é um gênio incompreendido.
Entretanto em outros casos um Cavalo de Tróia é absolutamente um risco imenso, não para seus dados ou programas, mas para seu bolso. Isto acontece quando o trojan é do sub-tipo conhecido como BackDoor (um componente específico, que abre uma PORTA DOS FUNDOS no micro contaminado, e cujo objetivo maior é ficar coletando todas as teclas pressionadas pelo usuário (através de um componente "keylogger", cujo objetivo é transmitir as senhas bancárias e de cartões de crédito digitadas pelo usuário ao navegar por sites de compras, ou em Net-banking. Essencialmente, essas diferenças não são importantes na prática. Você pode considerar vírus, Cavalos de Tróia e Worms apenas como:"coisas que não quero - de jeito algum - no meu computador ou na minha rede".
Tipos de Cavalo de Tróia
Invasão por portas TCP e UDP
Esse é o trojan mais comum existente na internet hoje. Netbus, Back Orifice, SubSeven, Hack"a"tack, Girlfrend, Netsphere e muitos outros são facilmente encontrados pela rede. Possuem na sua maioria dos arquivos um servidor para ser instalado no computador da vítima e um cliente com interface gráfica para manipular o servidor remotamente. As portas de um sistema variam entre 0 e 65535 e servem para identificar serviços rodando no sistema (como o servidor web que utiliza a porta 80). O servidor se torna mais um serviço ao escolher alguma porta para "escuta" as chamadas do cliente.
O trojan que utiliza portas TCP, estabelece uma conexão com o servidor, atuando diretamente de dentro do sistema. Já que utiliza portas UDP, comunica-se via pacotes de dados enviando ao host alvo. Não tão confiável como TCP, não garante a entrega dos pacotes recebidos da resposta. Quase todos os trojans atuais são para a arquitetura Windows. Os poucos existentes em outros sistemas, tais como: Unix, Linux, Novell e Macintosh são chamados de backdoors. A diferença entre o trojan comum e o backdoor é que o último é muito mais difícil de se instalar. Em um sistema Unix por exemplo, para conseguir se instalar um backdoor é preciso possuir privilégios de super-usuário (root).
Trojans de informação
Não é tão usado quando o de portas, mas igualmente (ou até mais) perigoso. Enquanto a maioria das funções dos trojans comuns é apenas para aborrecer (sumir com a barra de tarefas, apagar o monitor, desligar o windows, etc...), o trojan de informação se concentra em ficar residente detectando todos os tipos de dados vitais ao sistema. Ele consegue toda senha digitada no servidor junto ao endereço de IP das máquinas e envia a informação para uma conta de e-mail configurada pelo invasor. Existem alguns programas mais sofisticados que além de enviar por e-mail, pode enviar a informação por MSN ou qualquer outro tipo de Messenger. Geralmente o programa envia a informação em prazo de cada 5 a 10 minutos. Ao contrário do trojan de portas, possui apenas o arquivo servidor e um tamanho bem menor. Exemplo: O servidor do trojan de portas Netbus possui cerca de 490kb de tamanho. Já o trojan de informações K2ps possui cerca de 17kb.
Trojans de ponte
É um tipo não muito conhecido, mas largamente usado por hackers e crackers do mundo inteiro. Consiste em instalar um servidor no seu computador que possibilite que através dele (e do seu endereço ip) o invasor possa realizar ataques de invasão e de recusa de serviço. Um programa comum é o WinProxy, que pode ser instalado facilmente e não levanta nenhum tipo de suspeitas.
Rootkits
Esse tipo especial de backdoor é utilizado no Unix e Linus. Ao ser executado pelo operador do sistema ele substitui arquivos executáveis importantes (como os PS, por exemplo) por versões "infectadas". Essas versões podem ser tanto trojans de portas quanto de informação. Vão fornecer acesso irrestrito ao invasor com poderes de super-usuário, e o mais importante: os acessos não ficam registrados nos logs.
Trojans comerciais
Programas como PcAnuwhere ou terminal remoto no windows XP dentre outros da mesma natureza, são programas que possibilitam o controle completo sobre a máquina de alguém, como se estivesse sentado ali, no próprio computador. A vantagem desse programas (já que são comerciais), é que o antivírus não pega.
Como evitar um ataque
Antes de mais nada, para evitar que máquina seja vítima de um ataque do cavalo de tróia, evite rodar qualquer arquivo executável encontrado na rede ou recebido por e-mail. Mesmo que você receba um executável de um conhecido ou amigo, procure saber antes a procedência do mesmo.
O controle deve começar pela identidade digital do usuário. Login e senha são identificações particulares que merecem o máximo cuidado e sigilo.
A troca periódica da senha é um bom começo para quem não quer dar chance ao azar. A maioria dos provedores de acesso oferece esse serviço online. Para maior segurança, o usuário deve utilizar senhas relativamente complexas. No mínimo, utilize uma senha alfanumérica com 6 caracteres. Mantenha o hábito de conferir o extrato detalhado da utilização da sua conta de acesso.
Ao notar qualquer alteração no número de horas utilizadas, entre em contato com administração do seu provedor. Isso evita alguns problemas, mas não funciona se o seu computador já tiver um cavalo de Tróia instalado. Isso porque alguns desses programas permitem ao hacker roubar a sua senha do seu próprio micro. Nesse caso, é necessário desinstalar o troiano de sua máquina, antes de mais nada. Para saber se há algum cavalo de Tróia instalado em sua máquina, você precisa de um programa detector.
Além da troca de senha, o usuário precisa manter seus softwares sempre atualizados. Tanto o navegador da Netscape quanto o da Microsoft (Internet Explorer) já apresentaram bugs de segurança em quase todas as suas versões. Tão logo estes bugs são descobertos, as respectivas fabricantes oferecem patches de correção para os problemas. Visitas regulares ao site da fabricante do seu navegador preferido o ajudarão na coleta de informações sobre os bugs e suas respectivas correções.
Os métodos para lidar com Cavalos de Tróia são geralmente os mesmos usados para lidar com vírus. A maioria dos programas anti-vírus combate alguns dos Cavalos de Tróia comuns, com vários graus de sucesso. Há também programas "anti-cavalos de Tróia" - software bastante específicos - disponíveis, mas a sua melhor arma ainda é o bom-senso e o "conhecimento".
Danos causados pelo Cavalo de Tróia
Esse tipo de malware geralmente é escrito para causar danos ao sistema, porém existem algum trojans que seu principal objetivo não é causar danos ao sistema do host, e sim executar alguma tarefa alternativa como: copiar dados, tirar screenshots, abrir e fechar a tampa do driver de CD/DVD-ROM.
Quando instalado no computador permite o total controle do terminal. O cavalo de tróia pode obter informações de arquivos, descobrir senhas, introduzir novos programas, formatar o disco rígido, ver a tela e até ouvir a voz, caso o computador tenha um microfone instalado. Como a boa parte dos micros é dotada de microfones ou câmeras de áudio e vídeo, o trojan permite fazer escuta clandestina, o que é bastante utilizado entre os criminosos que visam à captura de segredos industriais;
Exemplos
Abaixo dois exemplos reais de situações provocadas pela ação de hackers.
Hackers chineses invadem o Internet Explorer 7
Uma reportagem exibida pela rede globo em 17/12/08 mostra um exemplo de ataque por hacker chineses causando um sistema de falha na internet explores 7 para acessar códigos de jogos e vende-los ilegalmente com o vírus cavalo de tróia transferindo informações sem que o usuário percebesse e roubando senhas . O que obrigou a Microsoft criar uma atualização no sistema de segurança do Internet Explorer 7.Tem sido cada vez maior o número de infectados pelo cavalo de tróia através de falhas de segurança de sistemas e que tem levado perdas milionárias.
Ataque leva clientes do Virtua a site clonado de banco:
A G1 divulgou em 17/04/09 uma reportagem falando sobre ataques sofosticados ao provedor de internet Virtua, que permitiram redirecionamento do site do Bradesco e do AdSense, do Google, a endereços maliciosos com o objetivo de roubar dados e instalar um cavalo de tróia respectivamente
O site do Bradesco para o qual o ataque redirecionava tinha o intuito de roubar as senhas de acesso dos internautas. Além das informações normalmente solicitadas pelo banco, a página operada pelos criminosos tentava obter outros dados normalmente não solicitados, como o CPF do correntista.
Conclusão
O Cavalo de Tróia ou Trojan Horse constitui se de um programa que simula fazer algo de bom, quando de fato traz para o computador infectado danos irrecuperáveis como: obtenção das informações de arquivos, introdução de novos programas, e até ouvir a voz, caso o computador tenha um microfone instalado.
Existem vários tipos de cavalo de tróia como: Invasores por portas TCP e UDP, trojans de informação, trojans de ponte, rootkits e trojans comerciais todos, todos estes tipos visam o acesso às informações do computador hospedeiro, bem como trazer uma série de danos ao computador como, por exemplo: lentidão, desligamento sem solicitação por parte do usuário e etc.
Algumas medidas podem ser tomadas afim de que um computador não seja infectado como por exemplo: evitar rodar qualquer arquivo executável encontrado na rede ou recebido por e-mail, troca periódica da senha, hábito de conferir o extrato detalhado da utilização da sua conta de acesso, antivírus dentre outras.
As conseqüências do cavalo de tróia são grandes, por isso conhecimento, bom senso e qualquer outra forma de proteção são indispensáveis quando se trata de informações pessoais.
Referência
CGI. Centro de estudo, resposta e tratamento de incidentes. Cartilha de segurança para internet. Disponível em:
GLOBO. Altieres Rohr. Ataque leva clientes do Virtua a site clonado de banco. Disponível em: < http://g1.globo.com/Noticias/Tecnologia/0,,MUL1088103-6174,00.html>. Acesso em: 22 maio 2009.
RELYTEC. All In One Keylogger ™ para Windows. Keylogger para dowloand. Disponível em:
GLOBO. Lílian Teles. Hackers chineses invadem o Internet Explorer 7. Disponível em: < http://g1.globo.com/jornaldaglobo/0,,MUL927352-16021,00-HACKERS+CHINESES+INVADEM+O+INTERNET+EXPLORER.html>. Acesso em: 25 maio 2009.
(Artigonal SC #2146268)
Postagens
