Trojan (datorprogram)

En trojan är ett datorprogram som utger sig för att vara till nytta eller nöje, men som gör något annat när det lurat en användare att installera eller köra det. Programmet kan till exempel spionera på användaren, göra betalningar i användarens namn, skicka skräppost eller attackera andra datorer.

Trojanen kan vara skriven enbart för ändamålet eller kod för den dolda funktionen kan ha lagts till ett annat program.

Uttrycket trojan kommer ur historien om den trojanska hästen i grekisk historia. Enligt legenden sägs grekerna ha givit en gigantisk trähäst i gåva till trojanerna, utanför murarna. När trojanerna drog in jättehästen i sin stad visade den sig vara full av grekiska soldater som kom ut ur hästen och erövrade staden.

Spridning

E-post, webbsidor och appar

För vanliga datoranvändare är bluffmejl innehållande trojanska hästar eller länkar till sådana det vanligaste hotet mot datasäkerheten. Följebrevet kan vara ett enkelt ”se här” eller så uppges bilagan vara en skärmsläckare eller annat lustigt program, en säkerhetsuppdatering, en rolig filmsnutt eller ett vanligt dokument. Avsändaren kan anges som någon i ens bekantskapskrets, till exempel då adresserna hittats på en gemensam bekants infekterade dator eller då den bekante inte upptäckt programmets eller dokumentets natur.

Om mottagaren kör det bifogade programmet har detta i allmänhet möjlighet att göra vad som helst som användaren själv har rätt att göra, till exempel att skicka sig vidare och installera en bakdörr på datorn.

Också i de fall bilagan inte verkar vara ett datorprogram kan den innehålla kod som kan komma att köras, exempelvis genom att ett bifogat dokument innehåller makrokod eller att filnamnet ger sken av att beskriva ett ofarligt dokument medan bilagan innehåller något helt annat. Bilagan kan också innehålla kod som utnyttjar en buffertöverskridning eller andra säkerhetshål i de program med vilka bilagan kan komma att behandlas.

Hur lätt det är att lura användaren att i misstag köra ett datorprogram beror delvis på operativsystem och använda program; till exempel döljer Windows ofta den del av filnamnet som visar filtypen och gör inte åtskillnad mellan att öppna ett dokument och att köra ett program.

Exekverbar programkod kan också laddas ner från nätet. En länk till en lämplig sida kan inkluderas i ett e-postmeddelande. Sidans adress kan väljas så att den verkar tillhöra ett hederligt bolag, bland annat genom att adressen innehåller en svårupptäckt felstavning eller en toppdomän annan än den firman registrerat sitt namn under (till exempel minbank.net eller minbamk.com istället för minbank.com). I vissa fall kan länken konstrueras så att innehållet hämtas automatiskt.

Trojaner kan också komma via appar som laddats ner via exempelvis inofficiella webbplatser.[1]

Modifierade program

Den som lyckas bryta sig in på en fildelningsserver kan ladda upp modifierade versioner av programfiler och sålunda plantera in trojanska hästar på en hederlig webbplats. Denna risk är uppenbar ifråga om fri programvara, varför många GNU/Linux-distributioner använder kryptografiska kontrollsummor och nycklar, med vilka man mer eller mindre automatiskt kan kontrollera att programmen inte modifierats.

Program kan omvandlas till trojanska hästar också av någon med legitim åtkomst till lämpliga datorsystem hos tillverkaren eller distributören, såsom en missnöjd anställd (jämför med att skapa bakdörrar). Ibland innehåller programmet ursprungligen en trojansk häst; mer eller mindre seriös programvara kan innehålla ett spionprogram.

CD:n, usb-minnen och liknande

CD:n och andra löstagbara medier kan användas som trojanska hästar, antingen då de förväntas innehålla programvara,[2] varvid situationen påminner om den med bruten datasäkerhet vid programdistribution över nätet med hjälp av autorun-funktion, eller genom att utnyttja ett säkerhetshål.

Funktion

Trojanen körs eller installeras frivilligt i god tro av användaren. Programmets oönskade funktion kan vara vad som helst, vanligen följande:

  • En bakdörr, som tillåter distributören att logga in på datorn eller ta kontroll över den (se också Botnet).
  • Spionprogram, som följer med och rapporterar om användarens aktiviteter eller samlar användarnamn och lösenord.
  • Skräppost- eller fildelningsprogram.
  • Spridning, exempelvis genom att den trojanska hästen skickas med e-post till adresser programmet hittar på datorn.
  • Selektiv förstörelse av filer på datorn, exempelvis genom att virusskyddet helt eller delvis slås ut eller att programmet förstör filer som anses olämpliga.
  • Logisk bomb som förstör innehållet på datorn eller stör nättrafik vid en förprogrammerad tidpunkt.
  • Förändring av webbläsarens funktion, så att bland annat förbindelser till din bank kapas och pengar betalas in på konton kontrollerade av dem som ligger bakom kapningen.

Skydd mot trojaner

Eftersom en trojan aktiveras genom att en datoranvändare eller datoradministratör installerar eller kör programmet (den skadliga koden kan finnas i installationsskript), kan man undvika trojaner genom att aldrig köra programkod som härstammar från eller kan ha manipulerats av en otillförlitlig källa. Man kan också välja operativsystem, e-postprogram och webbläsare som gör det lätt att skilja mellan att öppna en fil och att köra den och se till att programmen inte är inställda så att de kör kod utan uttrycklig tillåtelse – många trojanska hästar utger sig för att vara ofarliga dokument medan de i själva verket är datorprogram.

Vem man kan lita på som ursprung eller distributör till datorprogram är en avvägningsfråga. Också stora företag har distribuerat spionprogram och till och med direkt skadlig programkod[3] tillsammans med legitima produkter. Som tumregel kan man säga att åtminstone program man får via e-post eller vars ursprung är okänt alltid skall betraktas som suspekta. Om man kan lita på att ursprunget är vad det påstås vara är man någorlunda trygg, eftersom få vill distribuera skadlig kod i eget namn.

Program som laddats ner med fildelningsprogram är problematiska, då man sällan vet via vem man fått programmet. Om man känner till ursprunget eller någon som har en ursprunglig version av programmet kan man använda kryptografiska kontrollsummor (såsom MD5) för att försäkra sig om att programmet inte har modifierats. Programfiler kan också kontrolleras med antivirusprogram, som åtminstone avslöjar litet äldre allmänt spridd skadlig kod, förutsatt att virusprogrammet uppdaterats tillräckligt nyligen.

För att undvika att installera trojaner bör smarttelefonanvändare ladda ner appar endast från appens officiella webbplats (i de fall där man litar på tillverkaren) eller från en betrodd allmännare källa, såsom Microsoft store respektive Apple app store om man har en Windows- eller Apple-telefon.

Se även

Referenser