I Trojan - Come proteggere il proprio network da questo pericolo

INTRODUZIONE

Questa white paper pone l'accento su cosa sono i Trojan e perché rappresentano un pericolo per le reti aziendali. Già nel 2001, un articolo di eWeek riportava che decine di migliaia di computer erano infettati da Trojan. Oggi le cose non sono migliorate - l'utilizzo di complicate tecnologie rende la situazione più allarmante: i Trojan possono essere utilizzati per rubare codici di carte di credito, password, ed altre informazioni personali. Inoltre, possono essere usati per lanciare attacchi contro determinate aziende. Per combattere tale pericolo, la white paper discute della necessità di introdurre per il server di posta, oltre che uno scanner per virus, anche uno scanner di Trojan e di eseguibili.

COS'E' UN TROJAN (CAVALLO DI TROIA)?

Nel mondo IT, un Trojan è usato per entrare di nascosto nel computer di una vittima, garantendo all'aggressore l'accesso totale ai dati immagazzinati in quel computer e provocando danni elevati per la vittima. Un Trojan può essere un programma non visibile che opera nel computer della vittima senza che essa se n'accorga, oppure, può essere incluso in un programma legittimo, ed eseguire operazioni nascoste senza che la vittima ne sia a conoscenza. (Per avere un esempio di cosa può fare un Trojan, fare clic qui.)

COSA CERCANO GLI AGGRESSORI

I Trojan possono essere usati per ricavare informazioni confidenziali o per creare dei danni. Nell'ambiente aziendale, un Trojan è spesso utilizzato per spiare e rubare informazioni private (Spionaggio industriale). Anche se non si limitano a questi, gli obiettivi di un invasore possono essere i seguenti:

• Ricavare informazioni sulle vostre carte di credito (spesso utilizzate per la registrazione a domini a pagamento o per fare acquisti illegali)
  
• Ricavare informazioni degli account di ogni genere (password di e-mail, password per connessioni, password per servizi Web, ecc.)
  
• Avere accesso ai vostri documenti confidenziali
  
• Conoscere gli indirizzi e-mail (per esempio, informazioni su clienti)
  
• Appropriarsi di foto o progetti confidenziali
• Acquisire informazioni riguardanti i vostri appuntamenti in agenda
  
• Utilizzare il vostro computer a scopi illegali.
  

DIFFERENTI TIPI DI TROJAN

Vi sono differenti tipi di Trojan, e possono essere raggruppati in sette grandi categorie. Si noti che è normalmente difficile classificare un Trojan in una sola categoria, infatti, molti Trojan hanno caratteristiche tali da poter essere inseriti in più categorie. Le categorie sotto elencate evidenziano le principali funzioni che un Trojan può realizzare.

Trojan di accesso remoto
Questi sono forse i Trojan più noti. Infatti, forniscono all'aggressore il controllo totale del vostro computer. Esempi sono i Trojan: Back Orifice e Netbus. L'obiettivo che sta alla loro base è quello di fornire all'aggressore l'accesso COMPLETO al computer di qualcuno, e, conseguentemente, il pieno accesso ai file, alle conversazioni private, ai dati di account, ecc.

Il virus Bugbear che aveva attaccato Internet nel Settembre 2002, per esempio, aveva installato un Trojan nei computer delle vittime, fornendo all'aggressore l'accesso ai dati importanti.

Il Trojan di accesso remoto agisce come un server, e di solito è posto come spia su una porta che non è disponibile per gli attacchi Internet. Pertanto, per una rete di computer protetta da un firewall, è improbabile che un hacker remoto (off-site) possa essere in grado di collegarsi a tale Trojan (assumendo chiaramente, che si sia tenuto conto di bloccare tale porta). COMUNQUE, un hacker interno (situato alle spalle del firewall) può collegarsi a tale tipo di Trojan senza alcun problema.

Trojan di Data-sending (password, keystrokes, ecc...)
L'obiettivo di questo tipo di Trojan è inviare all'hacker dati che contengono informazioni quali password (ICQ, IRC, FTP, HTTP) o informazioni confidenziali quali codici di carte di credito, chat logs, rubriche con indirizzi, ecc. Il Trojan può scoprire informazioni specifiche in locazioni particolari oppure installare un key-logger e semplicemente inviare tutte le keystroke registrate all'hacker (che a turno può estrarre le password da tali dati).

Un esempio di questo è il virus e-mail BadtransB (realizzato allo stato naturale nel Dicembre 2001) e che può registrare le keystroke degli utenti.

I dati registrati possono essere inviati all'indirizzo e-mail dell'aggressore, che nella maggior parte dei casi utilizza il servizio e-mail gratuito di qualche provider. Alternativamente, i dati possono essere inviati al sito web dell'hacker, ed anche in questo caso si può trattare di una pagina web gratuita di qualche provider. In entrambi i casi, trattandosi di servizi gratuiti, i moduli di registrazione possono essere compilati via web da qualsiasi computer e senza verifiche, rendendo pertanto impossibile l'individuazione dell'hacker.

Sia gli hacker interni che esterni possono utilizzare i Trojan data-sending ed avere accesso alle informazioni confidenziali della vostra azienda.

Trojan distruttivi
La sola funzione di questi tipi di Trojan è quella di distruggere e cancellare file. Questo li rende molto facili da usare. Essi possono automaticamente cancellare tutti i file fondamentali del sistema operativo del vostro computer (ad esempio, i file con estensione, .dll, .ini, o .exe, e possibilmente altri). I Trojan possono essere sia attivati direttamente dall'hacker, che funzionare come bomba ad orologeria ed attivarsi in un giorno e in un'ora specifica.

Un Trojan distruttivo è pericoloso per qualsiasi rete di computer. Sotto molti aspetti esso è simile ad un virus, tale Trojan però, essendo stato creato con l'obiettivo specifico di attaccare la vostra azienda è difficilmente individuabile da un software anti-virus.

Trojan per attacchi Denial of service (DoS)
Questi Trojan, se vi sono sufficienti vittime, forniscono agli aggressori il potere di cominciare un attacco Denial of Service Distribuito (DDoS). L'idea base è che se un'azienda vittima ha 200 utenti ADSL infettati e l'azienda è attaccata simultaneamente da ciascuno di loro, questo genererà un traffico intenso (in molti casi superiore a quello che si può soddisfare con l'ampiezza di banda a disposizione), causando così l'interruzione dell'accesso ad Internet.

WinTrinoo è uno strumento DDoS che recentemente è diventato molto popolare, tramite esso, un hacker che riesce ad infettare molti utenti ADSL può provocare l'interruzione di un gran numero di siti Internet; esempi in tal senso risalgono al Febbraio 2000, quando un numero consistente d'importanti siti di e-commerce come Amazon, CNN, E*Trade, Yahoo ed eBay, sono stati attaccati.

Un'altra variante di Trojan DoS è il Trojan di tipo mail-bomb. L'obiettivo fondamentale in questo caso è di infettare quanti più computer possibili e simultaneamente attaccare specifici indirizzi e-mail con oggetti e contenuti casuali impossibili da filtrare.

Anche in questo caso il Trojan DoS è simile ad un virus. Può essere creato però, con l'obiettivo di attaccare una vittima specifica è quindi improbabile che sia individuato da un software anti-virus.

Trojan Proxy
Questo tipo di Trojan raggira il vostro computer nel server proxy, rendendolo disponibile per tutta la rete o al solo aggressore. Esso è utilizzato per operazioni anonime di Telnet, ICQ, IRC, ecc., per effettuare acquisti con carte di credito rubate e per altre attività criminali. Tale Trojan rende l'aggressore completamente anonimo offrendogli la possibilità di fare qualsiasi cosa dal vostro computer, inclusa la possibilità di lanciare attacchi dalla vostra stessa rete.

Se le attività dell'hacker sono scoperte e registrate, comunque, le informazioni scoperte condurranno al vostro computer e non all'hacker, il ché potrebbe mettere la vostra azienda in seri problemi legali. In stretta confidenza, legalmente ognuno è responsabile del proprio network e di tutti gli attacchi da esso lanciati.

Trojan FTP
Questi tipi di Trojan abilitano la porta 21 (porta per il trasferimento FTP) e consentono all'aggressore di collegarsi al vostro computer via FTP.

Sabotatori di software di sicurezza
Si tratta di Trojan speciali, realizzati con lo scopo di bloccare/eliminare programmi come software anti-virus, firewall, ecc. Una volta che tali programmi sono stati disabilitati, l'hacker è in grado di attaccare il vostro computer più facilmente.

Il virus Bugbear installò un Trojan su tutti i computer infettati e fu capace di disabilitare software anti-virus e firewall molto conosciuti. Il worm distruttivo, Goner (Dicembre 2001), è un altro virus che contiene un programma Trojan che cancella i file anti-virus.

I sabotatori di software di sicurezza sono normalmente mirati a particolari utenze software quali firewall personali e per questo sono poco utilizzabili nell'ambiente aziendale.

COME SI PUO' ESSERE INFETTATI

Per una rete che è protetta da un firewall e che ha le connessioni ICQ e IRC disabilitate, l'infezione può verificarsi nella maggior parte dei casi tramite allegati e-mail o attraverso software scaricato da siti web.

La maggior parte degli utenti sa di non aprire allegati o scaricare software da siti web sconosciuti, tuttavia intelligenti tecniche di carattere sociale sono usate dagli hacker per indurre le persone a mandare in esecuzione gli allegati infetti o scaricare software dannosi senza introdurre il minimo sospetto.

Un esempio di Trojan che usa tecniche di carattere sociale è stato Septer.troj, che fu trasmesso via e-mail nell'Ottobre 2001. Questo fu fatto apparire come una donazione per la Croce Rossa Americana in soccorso alle vittime di un disastro e richiedeva di compilare un modulo in cui inserire i dettagli della carta di credito. Il Trojan poi, decifrava tali dettagli inviandoli al sito web dell'hacker.

Infezione tramite allegati
È incredibile il numero di persone che sono infettate attraverso l'esecuzione di file allegati inviati alla propria casella di posta. S'immagini il seguente scenario: l'hacker ha deciso di attaccare il tuo computer ed è a conoscenza che tu hai un amico di nome Alex e di cui conosce l'indirizzo e-mail. L'aggressore può camuffare il Trojan come un file interessante, per esempio, un gioco divertente, e inviartelo sotto il nome del tuo amico. Per fare questo l'hacker utilizza qualche mail server di ritrasmissione per falsificare il mittente della e-mail e fare in modo che sembri inviata da Alex: cosi se l'indirizzo e-mail di Alex è alex@example.com il campo mittente dell'hacker è cambiato in alex@example.com. Quando leggerai la tua posta vedrai che Alex ti ha inviato un allegato contenente un gioco, così lo manderai in esecuzione senza pensare che possa trattarsi di qualcosa di dannoso, poiché Alex è un tuo amico e mai potrebbe farti qualcosa di dannoso.

Le informazioni sono potere: solo perché l'hacker sa che tu hai un amico di nome Alex, e sapendo che a te possano interessare dei giochi, è in grado di infettare il tuo computer.

Per le infezioni sono possibili diversi scenari. Il punto è che basta UN SOLO UTENTE infettato e l'intera rete sarà infettata. Inoltre, se non si utilizza un software per la sicurezza e-mail capace di individuare gli exploit, allora gli allegati possono entrare in esecuzione automaticamente, il ché significa che un hacker può infettare il tuo sistema semplicemente inviando un Trojan come allegato, senza che sia richiesto alcun intervento da parte tua.

Infezione tramite download di file da siti web
I Trojan possono anche essere diffusi tramite siti web. Un utente, per esempio, può ricevere un'e-mail contenente un link ad un sito interessante. L'utente visita il sito, scarica qualche file che pensa possa essergli utile, e senza accorgersene si installa sul proprio computer un Trojan pronto per essere usato da qualche hacker.

Un esempio recente è il Trojan ZeroPopUp, che è stato disseminato mediante spamming. Le vittime erano incentivate a scaricare il Trojan, il quale era descritto come prodotto specifico per l'interruzione del pop-up di annunci pubblicitari indesiderati. Una volta installato, il Trojan inviava un'e-mail a tutti gli indirizzi presenti nella rubrica dell'utente infetto, pubblicizzando il software ed il proprio URL. Infatti, se una tale e-mail è inviata da un amico o un collega ognuno si sente più sicuro nel visita dell'URL e scarica il software.

Inoltre, vi sono centinaia di archivi "hacking/security" negli spazi web gratuiti messi a disposizione di provider come Xoom, Tripod, Geocities, ecc. Tali archivi sono pieni di programmi hacker, scanner, mail-bomb, flooder e molto altro. La cosa che va sempre tenuta presente è che basta un solo utente infetto e l'intera rete sarà infettata.

Nel Gennaio 2003, TruSecure, azienda che studia i rischi aziendali con ICSA Labs e InfoSecuruty Magazine, hanno messo in guardia sul fatto che i creatori di programmi dannosi tendono sempre più a mascherare i vari Trojan di accesso remoto, per esempio camuffandoli come materiale di intrattenimento per 'adulti'. Tali programmi sono poi collocati nei siti pornografici o nei news group per adescare nuove vittime. Gli URL di tali siti e l'invito a visitarli, possono inoltre essere inviati dagli hacker alle vittime inconsapevoli.

COME PROTEGGERE IL PROPRIO NETWORK DAI TROJAN
Come è possibile proteggere il proprio network dai Trojan? Un errore comune è quello di pensare che un software anti-virus possa offrire tutta la protezione di cui si ha bisogno. La verità è che un anti-virus offre solo una protezione limitata.

Un software anti-virus riconosce solo una parte dei Trojan noti e non è in grado di riconoscere quelli ancora sconosciuti.

Sebbene molti scanner anti-virus scoprono molti dei Trojan pubblici/conosciuti, sono però impossibilitati per il controllo di Trojan SCONOSCIUTI. Questo perché il software anti-virus si basa prevalentemente sul riconoscimento delle "firme" di ciascun Trojan. Poiché il codice sorgente di molti Trojan è facilmente reperibile, un hacker più esperto può in ogni modo creare una nuova versione del Trojan, la cui firma sarà quindi sconosciuta ad ogni motore anti-virus.

Se la persona che sta pianificando di attaccarvi riesce a scoprire che tipo di anti-virus utilizzate, per esempio tramite il disclaimer automatico che è aggiunto ai messaggi in uscita dai motori anti-virus, creerà poi un Trojan specifico per bypassare il vostro motore anti-virus.

"Oltre che a non scoprire i Trojan sconosciuti, i motori per la scansione non scoprono tutti i Trojan conosciuti - molti produttori di anti-virus non cercano attivamente i nuovi Trojan, e le ricerche hanno dimostrato che ogni motore anti-virus scopre una particolare serie di Trojan."

Per scoprire una più ampia percentuale di Trojan conosciuti, è necessario utilizzare molteplici motori anti-virus; questo dovrebbe incrementare la percentuale di cattura di tali Trojan.

Per proteggere effettivamente il vostro network contro il pericolo dei Trojan, bisogna utilizzare una strategia di sicurezza multi livello:

1. È necessario implementare una protezione gateway nella zona perimetrale del vostro network per la scansione di virus e l'analisi del contenuto di e-mail, HTTP e FTP - non è utile avere una protezione anti-virus per e-mail, mentre un vostro utente può tranquillamente scaricare un Trojan da un sito web e infettare l'intero network.
   
2. È necessario implementare molteplici motori anti-virus a livello gateway - sebbene un buon motore anti-virus individua tutti i virus conosciuti, appare chiaro che più motori antivirus usati contemporaneamente possono riconoscere molti più Trojan che un singolo motore.
   
3. È necessario analizzare e porre in quarantena a livello gateway tutti i file eseguibili che entrano nel vostro network via e-mail e web/FTP. Bisogna conoscere ciò che può fare un file eseguibile!
   

Fortunatamente sono disponibili strumenti che possono realizzare automaticamente gran parte di tali procedure.

ANALISI DEGLI ESEGUIBILI DANNONI - SCANNER DI TROJAN E DI ESEGUIBILI

La scoperta dei Trojan sconosciuti può essere fatta manualmente controllando ogni eseguibile in arrivo, o utilizzando uno scanner di Trojan ed eseguibili.

Il processo di analisi manuale è un lavoro fastidioso e di lunga durata, e potrebbe essere soggetto all'errore umano. Per tale motivo è necessario realizzare tale procedimento in modo automatico ed intelligente. Questo è l'obiettivo che si propone un analizzatore di Trojan ed eseguibili.

Uno scanner di eseguibili analizza intelligentemente la funzione ed il livello di rischio di ciascun eseguibile. Scompone l'eseguibile e scopre in tempo reale cosa potrebbe fare. Compara queste azioni ad un database d'azioni dannose e valuta il livello di rischio. In questo modo, i Trojan potenzialmente pericolosi, sconosciuti o fatti su misura possono essere scoperti.

Lo scanner di Trojan e di eseguibili è mirato contro gli hacker esperti, che possono creare proprie versioni di Trojan, la cui firma non è sconosciuta ai software antivirus.

La protezione gateway, l'utilizzo di molteplici motori anti-virus e di uno scanner di Trojan ed eseguibili garantiranno alla vostra rete un controllo efficace dei pericoli connessi ai Trojan.

PROTEZIONE GATEWAY

Due prodotti che offrono completa protezione gateway che includono multipli motori anti-virus, controllo del contenuto e scanner per i Trojan ed eseguibili, ed anche alter caratteristiche di sicurezza sono:

GFI MailSecurity for Exchange/SMTP. Si tratta di una soluzione per il controllo del contenuto della posta, scoperta d'exploit, ricerca degli eseguibili e dei Trojan, analisi delle minacce ed anti-virus, che rimuove tutti i tipi di nuove minacce, prima che possano infettare gli utenti e-mail. Le caratteristiche principali di GFI MailSecurity includono multipli motori anti-virus per una sicurezza migliore; analisi degli allegati e del contenuto delle e-mail per porre in quarantena i contenuti e gli allegati pericolosi; uno scudo per gli exploit; un motore per disabilitare gli script HTML dannosi, ed uno Scanner per Trojan & Eseguibili, per la scoperta degli eseguibili dannosi. Ulteriori informazioni ed una versione di prova possono essere trovate a http://www.gfi-italia.com/italia/mailsecurity/.

GFI DownloadSecurity for ISA Server. Si tratta di un sistema che permette agli amministratori di controllare quali file sono scaricati dagli utenti dai siti HTTP e FTP. I file scaricati sono analizzati per scoprire eventuali contenuti dannosi, virus, e Trojan. Possono essere messi in quarantena in base al tipo di file e utente. GFI DownloadSecurity si occupa dei rischi per la sicurezza legati ai file scaricati senza dover ricorrere all'interruzione del download al livello del firewall. Ulteriori informazioni ed una versione di prova possono essere trovate a http://www.gfi-italia.com/italia/dsec/.