Trojan horse [trojan hoos] (Cavallo di Troia). Un Trojan horse è un software malware (malicious software ovvero software nocivo) che permette a chi lo ha installato con l’inganno (un hacker o pirata informatico) il controllo del tuo PC e il rubare dati senza il tuo consenso. Il trojan nasconde il suo funzionamento all’interno di un altro programma o documento apparentemente utile e innocuo, in modo da non essere individuato dagli antivirus o dall’utente. L’utente, eseguendo o installando questo programma, in effetti attiva anche il codice malevolo del trojan nascosto. I trojan sono programmati per assumere il controllo di un computer, sottrarre dati, spiare gli utenti o scaricare altri malware sul computer della vittima. L’etimologia della parola deriva da Cavallo di Troia ed indica il modo in cui il programma penetra nel sistema: presentandosi come un software utile e apparentemente sicuro, l’utente lo esegue di sua spontanea volontà, avviando al contempo anche il virus. Come i troiani fecero entrare in città gli achei nascosti nel mitico cavallo di legno progettato da Ulisse, così la vittima è indotta a far entrare il programma nel proprio computer. Oggi i Trojan horse sono anche chiamati R.A.T ovvero Remote Administration Tool (Strumento di amministrazione remota), proprio per indicare la loro capacità di prendere il totale controllo del computer su cui sono installati. Sono composti da due file: Il file server, che viene installato nella macchina vittima, ed un file client, usato dall’attaccante per inviare istruzioni che il server esegue. I rischi che si corrono quando si è infettati da un trojan sono legati alla privacy. Il proprietario del trojan horse potrà infatti avere accesso tramite riga di comando al vostro computer in qualsiasi momento, se questo è acceso e connesso alla rete, non solo a tutti i file e le password, informazioni sul sistema operativo ma anche alla webcam, al microfono, allo schermo ed alla tastiera. Un trojan solitamente ha una funzione keylogger e questo significa che quando è in funzione il software cattura tutti i tasti premuti dall’utente sulla tastiera e li invia all’attaccante. Attraverso questa funzione possono essere rubate le credenziali d’accesso (nome, indirizzo e-mail, password) ai siti web ma anche i dettagli della carta di credito se si fanno acquisti online. Le informazioni possono a loro volta essere usate o vendute sul mercato nero. I keylogger riescono a leggere anche le password nascoste sotto i pallini neri poiché leggono il contenuto direttamente dalla tastiera. Con un trojan è possibile ottenere degli Screenshot di cosa l’utente sta vedendo. Avviando un flusso continuo di foto è possibile vedere, come in un video, cosa l’utente vede e fa. Uno dei punti di forza di questo malware è che avendo un accesso completo al PC ci sia la possibilità, una volta che ci si è collegati ad un computer infettato, di scrivere sul computer stesso nuovi script e funzioni per il trojan, ampliando le possibili caratteristiche. Un’altra pericolosa funzione è l’upload ed il download di file tra la macchina attaccata e quella dell’attaccante. Con questa funzione l’attaccante non solo potrà rubare qualsiasi file dal computer vittima, ma potrà anche caricare nuovi malware. I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC che permettono di formare una Botnet (rete + robot) ovvero una rete condivisa di PC zombie sotto il controllo di un hacker e spesso utilizzata per eseguire attacchi DDoS pensati per compromettere una rete inondandola di traffico. Possiedono inoltre migliori funzioni e opzioni per nascondersi nel computer ospite, utilizzando tecniche di Rootkit. I trojan non si riproducono ma possono essere usati per aprire porte (backdoor) di comunicazione, per far entrare virus o worm, in sistemi o server che normalmente dovrebbero essere chiuse, causando così una vulnerabilità. I trojan sono sempre più diffusi e non tutti sono riconoscibili prontamente dagli antivirus. Per aumentare la loro efficacia possono nascondersi in modo tale che nemmeno l’antivirus sia in grado di eliminarli. Se questo accade, il trojan può essere rimosso solo tramite la formattazione e reinstallazione del sistema operativo. I trojan non si diffondono autonomamente come i virus o i worm e non sono in grado di replicare se stessi. Quindi richiedono un’azione diretta dell’aggressore per far giungere il software malevolo alla vittima. A volte però agiscono insieme: un worm viene iniettato in rete con l’intento di installare dei trojan sui sistemi. Ci sono trojan che vengono diffusi in un archivio ZIP allegato ad una e-mail oppure in una chat per la messaggistica o quando si fa clic su un link con nomi simili a pagine famose. L’archivio contiene uno script che viene eseguito una volta che viene aperto l’archivio cosicché il trojan si installa da solo. Ci sono anche trojan che vengono diffusi tramite chiavette USB e non lasciano tracce sul PC perché la sua esecuzione avviene solo all’interno della chiavetta. Un altro modo per trasmettere un trojan è quello di usare le macro in un documento come Word, Excel, ecc. Anche gli add-on di estensione browser possono agire come dei trojan. Il Metasploit Framework è uno strumento che genera automaticamente i trojan. E’ utile modificare le impostazioni predefinite di Windows in modo che le reali estensioni delle applicazioni siano sempre visibili. Ad esempio documento.txt.exe non è un file di testo. In Windows i file eseguibili hanno estensione .exe .vbs . bat .js Il miglior modo per proteggersi dai Trojan è lo stesso per gli altri tipi di virus: antivirus e sistema operativo sempre aggiornato, firewall con regole ferree e mai scaricare ed aprire/eseguire file sospetti da siti web non sicuri.