Trojanci kao sredstvo ucene

Još od vremena pojave prvih malicioznih programa autori ovakvih virusa pokušavali su da naplate svoj "rad" kroz ucene naivnih korisnika. Jedan od prvih (ako ne i prvi) takav trojanski konj bio je trojanac AIDS, poznat još i pod imenima PC Cyborg Trojan ili Love virus. Trojanski konj AIDS nastao je davne 1989. godine, kada su se virusi i drugi zlonamerni programi prenosili starim dobrim disketama. Ovaj trojanski konj je svoje ime dobio po imenu diskete koja je poslata na listu na kojoj je bio i autor trojanca, "AIDS Information Introductory Diskette" (ovde pričamo o pravoj pošti, a ne elektronskoj). Prilikom pokretanja trojanski konj je modifikovao imena svih datoteka na hard disku, čineći da računar postane neupotrebljiv. Trojanski konj je zatim od korisnika tražio da pošalje "bednih" 378 US$ na adresu u Panami, posle čega bi nepažljivi korisnik dobio "licencu" za korišćenje AIDS programa (što je, naravno, bila prevara).
Zanimljivost povezana s baš tim trojanskim konjem je ta da je on otvorio praktično novo poglavlje u računarskoj sigurnosti vezano za viruse, a to je kriptovirologija (engl. cryptovirology). Jednostavno rečeno, prilikom ovih napada maliciozni programi enkriptuju datoteke ili podatke na inficiranom računaru. Korisnik se zatim ucenjuje, dok (obično) ne uplati novac na neki račun koji je dostupan autoru malicioznog programa, posle čega se podaci dekriptuju.
Tokom vremena nekoliko antivirusnih kompanija objavilo je podatke o novom zlonamernom programu koji enkriptuje datoteke korisnika, pa ih kasnije ucenjuje za njihovo vraćanje. Reč je novoj varijanti odranije poznate porodice trojanskih konja GPCode. Ovaj trojanski konj je u stvari veoma jednostavan i po ponašanju podseća na svog davnog pretka, AIDS-a. Prilikom inficiranja računara GPCode će pronaći veliki broj datoteka s podacima (tekstualne datoteke, Office-ovi dokumenti, datoteke sa slikama i slično) pa će ih enkriptovati. Naravno, izvorne datoteke biće obrisane, pa će korisniku ostati računar s brdom nečitljivih datoteka i simbolična poruka na radnoj površini o adresi elektronske pošte na koju se može javiti s povećim kodom i oko 100 US$, kako bi dobio program koji će vratiti njegove izvorne datoteke. Iako su i neke pređašnje varijante trojanskog konja GPCode upotrebljavale relativno jake kriptografske algoritme, ovo je prvi put da su autori ovog malicioznog programa počeli da koriste poznate snažne kriptografske algoritme koji se ne mogu probiti ni najjačim računarima današnjice. Drugim rečima, kada GPCode jednom enkriptuje datoteke na inficiranom računaru, dekripcija je zaista nemoguća bez poznavanja tajnog ključa autora.
Datoteke korisnika nije moguće dekriptovati, pošto su zaštićene snažnim i slučajnim simetričnim ključem. Ovaj ključ je sačuvan enkriptovan na lokalnom računaru, ali do njega je moguće doći samo korišćenjem tajnog ključa koji poseduje jedino, pogađate, napadač. Ukoliko korisnik odluči da plati napadaču, pored novca šalje mu i enkriptovan simetrični ključ (trojanski konj ga sačuva u datoteci na radnoj površini). Napadač zatim sa svojim tajnim ključem dekriptuje simetrični ključ, pa ga uključuje u specijalni program koji šalje nazad korisniku. Zbog ključa koji je praktično jedinstven ovaj program se ne može koristiti nigde, osim na navedenom računaru, što onemogućava kupovinu programa jednom i korišćenje bilo gde.
Navedeni trojanski konj distribuira se kao i svi drugi maliciozni programi. Obično je ovde reč o drive-by napadima koji iskorišćavaju sigurnosne probleme u internet browser-ima. Zato je jedan od neophodnih koraka redovno instaliranje sigurnosnih zakrpa na vaš računar, kako za Windows, tako i za ostale aplikacije instalirane na računaru (pogotovo ako te aplikacije koriste, recimo, ActiveX komponente). Antivirusni program je, naravno, obavezan, ali valja napomenuti da većina antivirusnih programa ipak kaska za malicioznim programima, kao što je to slučaj već duže vreme. Na kraju, treba pomenuti važnost pravilnog i redovnog bekapovanja vaših podataka, jer je u slučaju havarije kao što je, na primer, GPCode, to često jedini način za vraćanje vaših podataka.

Pratite Krstaricu na www.krstarica.com