Trojos arklys (programa)

Apie miestą Bulgarijoje žr. Trojanas (Bulgarija).

Trojos arklys, trojanasprograma, atliekanti nepageidautinus veiksmus kompiuteryje be savininko žinios. Pavadinimas kilo iš Trojos arklio.

Istorija

redaguoti

Programos, darančios ne tai, ko tikisi jų naudotojas, atsirado dar XX a. 6-ajame dešimtmetyje, tačiau ilgą laiką jos nebuvo vertinamos kaip rimta grėsmė – tai, greičiau, būdavo programuotojų „pokštai“. Rimtesnė tokių programų analizė prasidėjo 7-ajame – 8-ajame dešimtmečiuose, ypač – atsiradus Multics, o vėliau – UNIX sistemoms, kur kompiuterių naudotojai galėdavo keistis ir programomis, ir duomenimis. Tuo metu ir buvo sukurtos pirmosios programos, padedančios įsilaužti į sistemas, pasinaudojant žmonių neapdairumu.

Pirmą programą, pavadintą Trojos arkliu ('cc hack'), sukūrė Ken Thompson, kaip UNIX sistemai skirtą C kompiliatorių, kuris kompiliavimo metu modifikuoja „login“ programą, įvesdamas į ją galimybę įeiti į sistemą pašaliniams asmenims. Šis kompiliatorius turėjo ir kai kurių virusams būdingų savybių: kompiliuojant kompiliatorių, jis modifikuodavo ir kompiliatoriaus kodą, įvesdamas į jį tas pačias Trojos arklio savybes. Tokiu būdu nei kompiliatoriaus, nei login programos tekste nebūdavo jokių užuominų apie nekorektišką kodą. Šios programos tikslas buvo demonstracija, kad niekas negali būti užtikrintas vykdomųjų programų saugumu, jei kuriant programas, dalyvauja kitų asmenų sukurtos programos.

Ėmus plisti asmeniniams kompiuteriams, atsirado ir paprastesnių programų, tiesiog trinančių failus, ar pan., bet plintant internetui, ėmė rastis sudėtingesnių programų, skirtų nuotoliniam kompiuterio valdymui, asmeninių duomenų grobimui ir t. t.

Pirmas smarkiai išplitęs Trojos arklys buvo programa „AIDS Information“, kurią jos autorius Joe Popp 1989 išsiuntė 20 tūkstančių žmonių diskeliais, paštu kaip duomenų bazę, supažindinančią su AIDS liga bei padedančia nuo jos apsisaugoti. Po tam tikro laiko tarpo programa pareikalaudavo užmokėti už jos naudojimą ir užkoduodavo visus kompiuteryje esančius failus. Programos autorius nuo teisinio persekiojimo bandė apsisaugoti naudodamas įspėjimą (angl. disclaimer) programos diegimo metu, tačiau 1991 buvo nuteistas.

Apžvalga

redaguoti

Šiuolaikiniai Trojos arkliai dažniausiai būna trijų rūšių:

  • kirminams (angl. worms) artimos programos, kurias paleidus, šios ima platinti savo kopijas kompiuterių tinkluose. Daugumą tokio tipo programų galima panaikinti naudojant antivirusines programas. Apsisaugoti nuo jų gali padėti IP filtrai ir tos pačios antivirusinės programos;
  • nuotolinio valdymo programos, tokios kaip Back Orifice ar NetBus. Pastarosios menkai tesiskiria nuo „legalių“ programų, kurias naudoja kompiuterių specialistai nuotoliniam sistemų administravimui. Apsisaugoti nuo šių programų galima naudojant IP filtrus, antivirusai aptinka tik dalį šių programų;
  • ko gero, pavojingiausi iš Trojos arklių – programos, skirtos informacijos grobimui: pastarosios persiunčia svarbią informaciją (pvz., banko sąskaitų duomenis, prisijungimo duomenis, slaptažodžius ir pan.) pašaliniams asmenims, neretai – naudodamos paprastą el. paštą ar žiniatinklio svetaines; apsisaugoti nuo jų keblu, antivirusai jas aptinka retai, IP filtrai būna menkai efektyvūs.

Kai kada pasitaiko paprastų kenkėjiškų programų, kurios paleistos tiesiog ištrina failus ar pan. Apsisaugojimo būdai nuo pastarųjų – rezervinės duomenų kopijos, saugios, naudotojų ir programų kontrolę vykdančios OS (UNIX, Linux, specialiai perkonfigūruotos Windows versijos). Nors šios programos turi būdingiausią Trojos arklių bruožą – vykdo nepageidautinus veiksmus be leidimo, daugelis kompiuterių naudotojų jų Trojos arkliais nelaiko. Kai kuriais atvejais tokių programų priskyrimas Trojos arkliams gali būti labai sąlyginis: tai gali būti, pvz., disko inicializacijos programa (Fdisk), sukonfigūruota automatiniam darbui, tačiau naudotojui pateikta kaip žaidimas. Tokiu atveju programa laikytina Trojos arkliu tik dėl jos pateikimo (dėl to, kad apgautas jos naudotojas).

Labai artimos Trojos arkliams yra įvairios šnipinėjimo ir pan. programos (Spyware), platinamos kaip priemonės darbdaviui sekti darbuotoją. Šių programų gamintojai neigia, kad tai yra Trojos arkliai, nors šios programos turi tipiškus Trojos arklių bruožus (atlieka vienus ar kitus veiksmus be tiesioginio kompiuterio naudotojo žinios ir leidimo). Paplitęs įsitikinimas, kad darbdavys turi teisę kontroliuoti darbuotojo susirašinėjimą el. paštu ir pan., tačiau šis klausimas yra abejotinas teisiškai. Lietuvos Respublikos įstatymai draudžia darbuotojų sekimą, tel. pokalbių pasiklausymą ir t. t., todėl labai tikėtina, kad teisminis šio klausimo nagrinėjimas baigtųsi darbdavio nenaudai, ypač, jei darbdavys tokiu atveju sužinotų su darbuotojo asmeniniu gyvenimu susijusią informaciją.

Pavojingiausias pastaruoju metu plintantis Trojos arklys yra žinomas kaip Trojan.Cryptolocker.AF. Šio trojano tikslas yra patekti į kompiuterį nepastebėtam ir, pasitaikius progai, užkrėsti jį Locky virusu. Locky viruso pasekmės yra itin skaudžios, kadangi jis gali užšifruoti visus kompiuteryje esančius failus. Tam yra naudojamas AES-128 algoritmas, kuris neleidžia viruso aukai atidaryti užblokuotų failų. Bandant tai padaryti, kompiuterio ekrane pasirodo Locky pranešimas, kuris informuoja, kad vienintelis būdas, galintis padėti aukai atgauti failus, yra 400 dolerių dydžio išpirka. Trojan.Cryptolocker.AF galima išvengti ignoruojant nežinomų asmenų siųstus el. laiškus. Šiuo metu virusas ypač aktyviai plinta kaip sąskaita (angl. invoice) arba priminimas apie reikalingą mokestį.