Introduzione
Questa white paper pone l'accento
su cosa sono i Trojan e perché rappresentano un pericolo per
le reti aziendali. Già nel 2001, un articolo di eWeek riportava
che decine di migliaia di computer erano infettati da Trojan.
Oggi le cose non sono migliorate - l'utilizzo di complicate
tecnologie rende la situazione più allarmante: i Trojan possono
essere utilizzati per rubare codici di carte di credito, password,
ed altre informazioni personali. Inoltre, possono essere usati
per lanciare attacchi contro determinate aziende. Per combattere
tale pericolo, la white paper discute della necessità di introdurre
per il server di posta, oltre che uno scanner per virus, anche
uno scanner di Trojan e di eseguibili.
Cos'è un Trojan (cavallo di Troia)?
Nel mondo IT, un Trojan è usato per entrare di nascosto nel
computer di una vittima, garantendo all'aggressore l'accesso
totale ai dati immagazzinati in quel computer e provocando
danni elevati per la vittima. Un Trojan può essere un programma
non visibile che opera nel computer della vittima senza che
essa se n'accorga, oppure, può essere incluso in un programma
legittimo, ed eseguire operazioni nascoste senza che la vittima
ne sia a conoscenza. (Per avere un esempio di cosa può fare
un Trojan, fare clic
qui.)
Cosa cercano gli aggressori
I Trojan possono essere usati per ricavare informazioni
confidenziali o per creare dei danni. Nell'ambiente aziendale,
un Trojan è spesso utilizzato per spiare e rubare informazioni
private (Spionaggio industriale). Anche se non si limitano
a questi, gli obiettivi di un invasore possono essere i seguenti:
- Ricavare informazioni sulle vostre carte di credito (spesso
utilizzate per la registrazione a domini a pagamento o per
fare acquisti illegali)
- Ricavare informazioni degli account di ogni genere (password
di e-mail, password per connessioni, password per servizi
Web, ecc.)
- Avere accesso ai vostri documenti confidenziali Conoscere
gli indirizzi e-mail (per esempio, informazioni su clienti)
Appropriarsi di foto o progetti confidenziali Acquisire
informazioni riguardanti i vostri appuntamenti in agenda
- Utilizzare il vostro computer a scopi illegali.
Differenti tipi di Trojan
Vi sono differenti tipi di Trojan, e possono essere raggruppati
in sette grandi categorie. Si noti che è normalmente difficile
classificare un Trojan in una sola categoria, infatti, molti
Trojan hanno caratteristiche tali da poter essere inseriti
in più categorie. Le categorie sotto elencate evidenziano
le principali funzioni che un Trojan può realizzare.
Trojan di accesso remoto
Questi sono forse i Trojan più noti. Infatti, forniscono
all'aggressore il controllo totale del vostro computer. Esempi
sono i Trojan: Back Orifice e Netbus. L'obiettivo che sta
alla loro base è quello di fornire all'aggressore l'accesso
COMPLETO al computer di qualcuno, e, conseguentemente, il
pieno accesso ai file, alle conversazioni private, ai dati
di account, ecc. Il virus Bugbear che aveva attaccato Internet
nel Settembre 2002, per esempio, aveva installato un Trojan
nei computer delle vittime, fornendo all'aggressore l'accesso
ai dati importanti. Il Trojan di accesso remoto agisce come
un server, e di solito è posto come spia su una porta che
non è disponibile per gli attacchi Internet. Pertanto, per
una rete di computer protetta da un firewall, è improbabile
che un hacker remoto (off-site) possa essere in grado di collegarsi
a tale Trojan (assumendo chiaramente, che si sia tenuto conto
di bloccare tale porta). COMUNQUE, un hacker interno (situato
alle spalle del firewall) può collegarsi a tale tipo di Trojan
senza alcun problema.
Trojan di Data-sending (password,
keystrokes, ecc...)
L'obiettivo di questo tipo di Trojan è inviare all'hacker
dati che contengono informazioni quali password (ICQ, IRC,
FTP, HTTP) o informazioni confidenziali quali codici di carte
di credito, chat logs, rubriche con indirizzi, ecc. Il Trojan
può scoprire informazioni specifiche in locazioni particolari
oppure installare un key-logger e semplicemente inviare tutte
le keystroke registrate all'hacker (che a turno può estrarre
le password da tali dati). Un esempio di questo è il virus
e-mail BadtransB (realizzato allo stato naturale nel Dicembre
2001) e che può registrare le keystroke degli utenti. I dati
registrati possono essere inviati all'indirizzo e-mail dell'aggressore,
che nella maggior parte dei casi utilizza il servizio e-mail
gratuito di qualche provider. Alternativamente, i dati possono
essere inviati al sito web dell'hacker, ed anche in questo
caso si può trattare di una pagina web gratuita di qualche
provider. In entrambi i casi, trattandosi di servizi gratuiti,
i moduli di registrazione possono essere compilati via web
da qualsiasi computer e senza verifiche, rendendo pertanto
impossibile l'individuazione dell'hacker. Sia gli hacker interni
che esterni possono utilizzare i Trojan data-sending ed avere
accesso alle informazioni confidenziali della vostra azienda.
Trojan distruttivi
La sola funzione di questi tipi di Trojan è quella di distruggere
e cancellare file. Questo li rende molto facili da usare.
Essi possono automaticamente cancellare tutti i file fondamentali
del sistema operativo del vostro computer (ad esempio, i file
con estensione, .dll, .ini, o .exe, e possibilmente altri).
I Trojan possono essere sia attivati direttamente dall'hacker,
che funzionare come bomba ad orologeria ed attivarsi in un
giorno e in un'ora specifica. Un Trojan distruttivo è pericoloso
per qualsiasi rete di computer. Sotto molti aspetti esso è
simile ad un virus, tale Trojan però, essendo stato creato
con l'obiettivo specifico di attaccare la vostra azienda è
difficilmente individuabile da un software anti-virus.
Trojan per attacchi Denial of service
(DoS)
Questi Trojan, se vi sono sufficienti vittime, forniscono
agli aggressori il potere di cominciare un attacco Denial
of Service Distribuito (DDoS). L'idea base è che se un'azienda
vittima ha 200 utenti ADSL infettati e l'azienda è attaccata
simultaneamente da ciascuno di loro, questo genererà un traffico
intenso (in molti casi superiore a quello che si può soddisfare
con l'ampiezza di banda a disposizione), causando così l'interruzione
dell'accesso ad Internet. WinTrinoo è uno strumento DDoS che
recentemente è diventato molto popolare, tramite esso, un
hacker che riesce ad infettare molti utenti ADSL può provocare
l'interruzione di un gran numero di siti Internet; esempi
in tal senso risalgono al Febbraio 2000, quando un numero
consistente d'importanti siti di e-commerce come Amazon, CNN,
E*Trade, Yahoo ed eBay, sono stati attaccati. Un'altra variante
di Trojan DoS è il Trojan di tipo mail-bomb. L'obiettivo fondamentale
in questo caso è di infettare quanti più computer possibili
e simultaneamente attaccare specifici indirizzi e-mail con
oggetti e contenuti casuali impossibili da filtrare. Anche
in questo caso il Trojan DoS è simile ad un virus. Può essere
creato però, con l'obiettivo di attaccare una vittima specifica
è quindi improbabile che sia individuato da un software anti-virus.
Trojan Proxy
Questo tipo di Trojan raggira il vostro computer nel server
proxy, rendendolo disponibile per tutta la rete o al solo
aggressore. Esso è utilizzato per operazioni anonime di Telnet,
ICQ, IRC, ecc., per effettuare acquisti con carte di credito
rubate e per altre attività criminali. Tale Trojan rende l'aggressore
completamente anonimo offrendogli la possibilità di fare qualsiasi
cosa dal vostro computer, inclusa la possibilità di lanciare
attacchi dalla vostra stessa rete. Se le attività dell'hacker
sono scoperte e registrate, comunque, le informazioni scoperte
condurranno al vostro computer e non all'hacker, il ché potrebbe
mettere la vostra azienda in seri problemi legali. In stretta
confidenza, legalmente ognuno è responsabile del proprio network
e di tutti gli attacchi da esso lanciati.
Trojan FTP
Questi tipi di Trojan abilitano la porta 21 (porta per il
trasferimento FTP) e consentono all'aggressore di collegarsi
al vostro computer via FTP.
Sabotatori di software di sicurezza
Si tratta di Trojan speciali, realizzati con lo scopo di
bloccare/eliminare programmi come software anti-virus, firewall,
ecc. Una volta che tali programmi sono stati disabilitati,
l'hacker è in grado di attaccare il vostro computer più facilmente.
Il virus Bugbear installò un Trojan su tutti i computer infettati
e fu capace di disabilitare software anti-virus e firewall
molto conosciuti. Il worm distruttivo, Goner (Dicembre 2001),
è un altro virus che contiene un programma Trojan che cancella
i file anti-virus. I sabotatori di software di sicurezza sono
normalmente mirati a particolari utenze software quali firewall
personali e per questo sono poco utilizzabili nell'ambiente
aziendale.
Come si può essere infettati?
Per una rete che è protetta da un firewall e che ha le connessioni
ICQ e IRC disabilitate, l'infezione può verificarsi nella
maggior parte dei casi tramite allegati e-mail o attraverso
software scaricato da siti web. La maggior parte degli utenti
sa di non aprire allegati o scaricare software da siti web
sconosciuti, tuttavia intelligenti tecniche di carattere sociale
sono usate dagli hacker per indurre le persone a mandare in
esecuzione gli allegati infetti o scaricare software dannosi
senza introdurre il minimo sospetto. Un esempio di Trojan
che usa tecniche di carattere sociale è stato Septer.troj,
che fu trasmesso via e-mail nell'Ottobre 2001. Questo fu fatto
apparire come una donazione per la Croce Rossa Americana in
soccorso alle vittime di un disastro e richiedeva di compilare
un modulo in cui inserire i dettagli della carta di credito.
Il Trojan poi, decifrava tali dettagli inviandoli al sito
web dell'hacker.
Infezione tramite allegati
È incredibile il numero di persone che sono infettate attraverso
l'esecuzione di file allegati inviati alla propria casella
di posta. S'immagini il seguente scenario: l'hacker ha deciso
di attaccare il tuo computer ed è a conoscenza che tu hai
un amico di nome Alex e di cui conosce l'indirizzo e-mail.
L'aggressore può camuffare il Trojan come un file interessante,
per esempio, un gioco divertente, e inviartelo sotto il nome
del tuo amico. Per fare questo l'hacker utilizza qualche mail
server di ritrasmissione per falsificare il mittente della
e-mail e fare in modo che sembri inviata da Alex: cosi se
l'indirizzo e-mail di Alex è alex@example.com il campo mittente
dell'hacker è cambiato in alex@example.com. Quando leggerai
la tua posta vedrai che Alex ti ha inviato un allegato contenente
un gioco, così lo manderai in esecuzione senza pensare che
possa trattarsi di qualcosa di dannoso, poiché Alex è un tuo
amico e mai potrebbe farti qualcosa di dannoso. Le informazioni
sono potere: solo perché l'hacker sa che tu hai un amico di
nome Alex, e sapendo che a te possano interessare dei giochi,
è in grado di infettare il tuo computer. Per le infezioni
sono possibili diversi scenari. Il punto è che basta UN SOLO
UTENTE infettato e l'intera rete sarà infettata. Inoltre,
se non si utilizza un software per la sicurezza e-mail capace
di individuare gli exploit, allora gli allegati possono entrare
in esecuzione automaticamente, il ché significa che un hacker
può infettare il tuo sistema semplicemente inviando un Trojan
come allegato, senza che sia richiesto alcun intervento da
parte tua.
Infezione tramite download di
file da siti web
I Trojan possono anche essere diffusi tramite siti web. Un
utente, per esempio, può ricevere un'e-mail contenente un
link ad un sito interessante. L'utente visita il sito, scarica
qualche file che pensa possa essergli utile, e senza accorgersene
si installa sul proprio computer un Trojan pronto per essere
usato da qualche hacker. Un esempio recente è il Trojan ZeroPopUp,
che è stato disseminato mediante spamming. Le vittime erano
incentivate a scaricare il Trojan, il quale era descritto
come prodotto specifico per l'interruzione del pop-up di annunci
pubblicitari indesiderati. Una volta installato, il Trojan
inviava un'e-mail a tutti gli indirizzi presenti nella rubrica
dell'utente infetto, pubblicizzando il software ed il proprio
URL. Infatti, se una tale e-mail è inviata da un amico o un
collega ognuno si sente più sicuro nel visita dell'URL e scarica
il software. Inoltre, vi sono centinaia di archivi "hacking/security"
negli spazi web gratuiti messi a disposizione di provider
come Xoom, Tripod, Geocities, ecc. Tali archivi sono pieni
di programmi hacker, scanner, mail-bomb, flooder e molto altro.
La cosa che va sempre tenuta presente è che basta un solo
utente infetto e l'intera rete sarà infettata. Nel Gennaio
2003, TruSecure, azienda che studia i rischi aziendali con
ICSA Labs e InfoSecuruty Magazine, hanno messo in guardia
sul fatto che i creatori di programmi dannosi tendono sempre
più a mascherare i vari Trojan di accesso remoto, per esempio
camuffandoli come materiale di intrattenimento per 'adulti'.
Tali programmi sono poi collocati nei siti pornografici o
nei news group per adescare nuove vittime. Gli URL di tali
siti e l'invito a visitarli, possono inoltre essere inviati
dagli hacker alle vittime inconsapevoli.
Come proteggere il proprio network
dai Trojan
Come è possibile proteggere il proprio network dai Trojan?
Un errore comune è quello di pensare che un software anti-virus
possa offrire tutta la protezione di cui si ha bisogno. La
verità è che un anti-virus offre solo una protezione limitata.
Un software anti-virus riconosce solo una parte dei Trojan
noti e non è in grado di riconoscere quelli ancora sconosciuti.
Sebbene molti scanner anti-virus scoprono molti dei Trojan
pubblici/conosciuti, sono però impossibilitati per il controllo
di Trojan SCONOSCIUTI. Questo perché il software anti-virus
si basa prevalentemente sul riconoscimento delle "firme" di
ciascun Trojan. Poiché il codice sorgente di molti Trojan
è facilmente reperibile, un hacker più esperto può in ogni
modo creare una nuova versione del Trojan, la cui firma sarà
quindi sconosciuta ad ogni motore anti-virus. Se la persona
che sta pianificando di attaccarvi riesce a scoprire che tipo
di anti-virus utilizzate, per esempio tramite il disclaimer
automatico che è aggiunto ai messaggi in uscita dai motori
anti-virus, creerà poi un Trojan specifico per bypassare il
vostro motore anti-virus. "Oltre che a non scoprire i Trojan
sconosciuti, i motori per la scansione non scoprono tutti
i Trojan conosciuti - molti produttori di anti-virus non cercano
attivamente i nuovi Trojan, e le ricerche hanno dimostrato
che ogni motore anti-virus scopre una particolare serie di
Trojan." Per scoprire una più ampia percentuale di Trojan
conosciuti, è necessario utilizzare molteplici motori anti-virus;
questo dovrebbe incrementare la percentuale di cattura di
tali Trojan. Per proteggere effettivamente il vostro network
contro il pericolo dei Trojan, bisogna utilizzare una strategia
di sicurezza multi livello: È necessario implementare una
protezione gateway nella zona perimetrale del vostro network
per la scansione di virus e l'analisi del contenuto di e-mail,
HTTP e FTP - non è utile avere una protezione anti-virus per
e-mail, mentre un vostro utente può tranquillamente scaricare
un Trojan da un sito web e infettare l'intero network. È necessario
implementare molteplici motori anti-virus a livello gateway
- sebbene un buon motore anti-virus individua tutti i virus
conosciuti, appare chiaro che più motori antivirus usati contemporaneamente
possono riconoscere molti più Trojan che un singolo motore.
È necessario analizzare e porre in quarantena a livello gateway
tutti i file eseguibili che entrano nel vostro network via
e-mail e web/FTP. Bisogna conoscere ciò che può fare un file
eseguibile! Fortunatamente sono disponibili strumenti che
possono realizzare automaticamente gran parte di tali procedure.
Analisi degli eseguibili dannosi
- Scanner di Trojan e di eseguibili
La scoperta dei Trojan sconosciuti può essere fatta manualmente
controllando ogni eseguibile in arrivo, o utilizzando uno
scanner di Trojan ed eseguibili. Il processo di analisi manuale
è un lavoro fastidioso e di lunga durata, e potrebbe essere
soggetto all'errore umano. Per tale motivo è necessario realizzare
tale procedimento in modo automatico ed intelligente. Questo
è l'obiettivo che si propone un analizzatore di Trojan ed
eseguibili. Uno scanner di eseguibili analizza intelligentemente
la funzione ed il livello di rischio di ciascun eseguibile.
Scompone l'eseguibile e scopre in tempo reale cosa potrebbe
fare. Compara queste azioni ad un database d'azioni dannose
e valuta il livello di rischio. In questo modo, i Trojan potenzialmente
pericolosi, sconosciuti o fatti su misura possono essere scoperti.
Lo scanner di Trojan e di eseguibili è mirato contro gli hacker
esperti, che possono creare proprie versioni di Trojan, la
cui firma non è sconosciuta ai software antivirus. La protezione
gateway, l'utilizzo di molteplici motori anti-virus e di uno
scanner di Trojan ed eseguibili garantiranno alla vostra rete
un controllo efficace dei pericoli connessi ai Trojan.
Protezione gateway
Due prodotti che offrono completa protezione gateway che
includono multipli motori anti-virus, controllo del contenuto
e scanner per i Trojan ed eseguibili, ed anche alter caratteristiche
di sicurezza sono:
GFI MailSecurity for Exchange/SMTP. Si tratta di una soluzione
per il controllo del contenuto della posta, scoperta d'exploit,
ricerca degli eseguibili e dei Trojan, analisi delle minacce
ed anti-virus, che rimuove tutti i tipi di nuove minacce,
prima che possano infettare gli utenti e-mail. Le caratteristiche
principali di GFI MailSecurity includono multipli motori anti-virus
per una sicurezza migliore; analisi degli allegati e del contenuto
delle e-mail per porre in quarantena i contenuti e gli allegati
pericolosi; uno scudo per gli exploit; un motore per disabilitare
gli script HTML dannosi, ed uno Scanner per Trojan & Eseguibili,
per la scoperta degli eseguibili dannosi. Ulteriori informazioni
ed una versione di prova possono essere trovate a http://www.gfi-italia.com/italia/mailsecurity/.
GFI DownloadSecurity for ISA Server. Si tratta di un sistema
che permette agli amministratori di controllare quali file
sono scaricati dagli utenti dai siti HTTP e FTP. I file scaricati
sono analizzati per scoprire eventuali contenuti dannosi,
virus, e Trojan. Possono essere messi in quarantena in base
al tipo di file e utente. GFI DownloadSecurity si occupa dei
rischi per la sicurezza legati ai file scaricati senza dover
ricorrere all'interruzione del download al livello del firewall.
Ulteriori informazioni ed una versione di prova possono essere
trovate a http://www.gfi-italia.com/italia/dsec/. Informazioni
sulla GFI La GFI (http://www.gfi-italia.com/) è uno dei principali
fornitori di software per la comunicazione e la sicurezza
dei network basati su Windows. I prodotti chiave includono
GFI FAXmaker che è un connettore fax per Exchange ed un server
fax per network; GFI MailSecurity, un software anti-virus
e per il controllo del contenuto della posta aziendale; GFI
MailSecurity, un software per il controllo del contenuto/exploit
di posta; GFI MailEssentials un software anti-spam basato
sul server; GFI LANguard Security Event Log Monitor (S.E.L.M.)
che fornisce la scoperta d'intrusione basata sui log degli
eventi e gestione dei log di tutto il network; e GFI LANguard
Network Security Scanner (N.S.S.) che verifica la sicurezza
del network e permette agli amministratori di installare remotamente
hotfix e service pack. I clienti della GFI includono Microsoft,
Telstra, Time Warner Cable, Shell Oil Lubricants, NASA, DHL,
Caterpillar, BMW, US IRS, e USAF. La GFI ha sei uffici, negli
USA, UK, Germania, Francia, Australia e Malta, ed ha una rete
mondiale di distribuzione. La GFI è Microsoft Gold Certified
Partner ed ha vinto il premio Microsoft Fusion (GEM) Packaged
Application Partner of the Year award. --------------------------------------------------------------------------------
© 2003 GFI Software Ltd. All rights reserved. The information
contained in this document represents the current view of
GFI on the issues discussed as of the date of publication.
Because GFI must respond to changing market conditions, it
should not be interpreted to be a commitment on the part of
GFI, and GFI cannot guarantee the accuracy of any information
presented after the date of publication. This White Paper
is for informational purposes only. GFI MAKES NO WARRANTIES,
EXPRESS OR IMPLIED, IN THIS DOCUMENT. GFI FAXmaker, GFI MailEssentials,
GFI MailSecurity, GFI LANguard and GFI DownloadSecurity and
the GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI
LANguard and GFI DownloadSecurity logos and the GFI logo are
either registered trademarks or trademarks of GFI Software
Ltd. in the United States and/or other countries. Microsoft,
Exchange Server, ISA Server, VS API, Word, Excel, SUS, and
Windows NT/2000/XP are either registered trademarks or trademarks
of Microsoft Corporation in the United States and/or other
countries. All product or company names mentioned herein may
be the trademarks of their respective owners. GFI. http://www.gfi.com
info@gfi.com 1-888-2GFIFAX / +44 (0) 870 770 5370
|