Mikä on (digitaalinen) troijanhevonen?
Antiikin kreikkalaisroomalaisten tarinoiden Troijan hevosen tavalla tämäntyyppinen haittaohjelma hyödyntää naamioitumista tai harhaan johtamista todellisen toimintansa piilottamiseksi. Kohdistetun laitteen saavutettuaan se hyödyntää usein erilaisia tekniikoita, joita voidaan käyttää käyttäjän tai haavoittuneen järjestelmän toisen ohjelman toimesta.
Troijalaiset ovat nykyään yleisin haittaohjelmakategoria, jota käytetään avaamaan takaovia, hallitsemaan hyökkäyksen kohteeksi joutunutta laitetta, suodattamaan käyttäjätietoja ja lähettämään ne hyökkääjälle, lataamaan tai käyttämään muita haittaohjelmia hyökkäyksen kohteena olevassa järjestelmässä sekä moniin muihin rikollisiin tarkoitusperiin.
Historiaa lyhyesti
Nimi “troijanhevonen” on peräisin antiikin tarinasta ja se viittaa kreikkalaisten tekemään onnistuneeseen Troija-kaupungin valloitukseen. Kaupungin puolustuksen läpi pääsemiseksi valloittajat rakensivat massiivisen puisen hevosen ja piilottivat sen sisään ryhmän eliittisotilaita. Huijattuaan troijalaisia vartijoita tuomaan “lahjan” linnoitettuun kaupunkiin hyökkääjät odottivat iltaa, tulivat ulos hevosesta ja kukistivat yllättyneet puolustajat.
Tällä termillä viitattiin ensimmäisen kerran haitalliseen koodiin vuoden 1974 Yhdysvaltain ilmavoimien raportissa, jossa keskityttiin tietokonejärjestelmien haavoittuvuuksien analysointiin. Termistä tuli kuitenkin suosittu vasta 1980-luvulla etenkin Ken Thompsonin luennon jälkeen ACM Turing Awards 1983 -tilaisuudessa.
Tunnettuja esimerkkejä
Yksi ensimmäisistä troijalaisista tuli yleiseen tietoisuuteen myös ensimmäisenä luonnossa nähtynä kiristysohjelmana – vuoden 1989 “AIDS-troijalainen ”. Tätä haitallista koodia levitettiin postitse disketeillä, joilla piti olla vuorovaikutteinen tietokanta AIDS:ista. Jos ohjelma asennettiin, salli tietokoneen käynnistämisen 90 kertaa ja salasi sitten useimmat laitteen juurikansion tiedostonimet. Ohjelman “lisensointisopimus” vaati, että uhrit lähettävät 189 tai 378 dollaria panamalaiseen postilokeroon saadakseen tietonsa takaisin.
Lue lisää
Pahamaineinen vakoilijaohjelma FinFisher (jota kutsutaan myös nimellä FinSpy) on toinen esimerkki troijalaisesta. Se tunnetaan laaja-alaisesta vakoilukyvyistään ja verkkokameroiden, mikrofonien, keyloggingin väärinkäytöstä sekä kyvystään vuotaa tiedostoja. Sen kehittäjät markkinoivat sitä lainvalvontavälineenä, mutta sen uskotaan olleen myös sortohallintojen käytössä. FinFisher naamioituu eri tavoin peittääkseen todellisen tarkoituksensa. Yhdessä ESETIN löytämistä kampanjoista se naamioitui suosittujen ja laillisten ohjelmien kuten selaimien ja mediasoittimien asennusohjelmaksi. Sitä on jaettu myös sähköposteilla väärennettynä liitetiedostona tai väärennettynä ohjelmistopäivityksenä.
Troijalaiset eivät kuitenkaan uhkaa yksinomaan pöytätietokoneita tai kannettavia tietokoneita. Myös suuri määrä nykyajan mobiililaitteiden (etenkin Android-pohjaiset) haittaohjelmista kuuluu tähän kategoriaan. DoubleLocker oli innovatiivinen kiristysohjelmaperhe, joka naamioitui Adobe Flash Player -päivitykseksi. Se tunkeutui mobiililaitteeseen saavutettavuuspalvelujen kautta, salasi sen tiedot ja lukitsi sen näytön käyttämällä satunnaista PIN-koodia. Tämän jälkeen hyökkääjä vaati bitcoin-maksua avatakseen laitteen ja tiedot.
Vinkkejä suojautumiseen
Termi “troijalainen” sisältää useita haitallisia ohjelmia ja siksi sitä voidaan välttää vain hyvän kyberhygienian ja luotettavan turvallisuusratkaisun yhdistelmällä.
Monet troijalaiset käyttävät hyväkseen haavoittuvuuksia uhrien järjestelmissä soluttautuakseen niihin. Näiden haavoittuvuuksien lieventämiseksi käyttäjiä ohjeistetaan tekemään päivityksiä ja korjauspäivityksiä säännöllisesti ei vain käyttöjärjestelmään vaan myös kaikkiin käyttämiinsä ohjelmiin.
Lue lisää
Troijalaiset pyrkivät myös huijaamaan käyttäjiä soveltamalla sosiaalista manipulointia. Nähdäkseen niiden läpi käyttäjien ja yritysten on oltava sekä valppaina että tietoisia uusimmista uhista. Säännöllinen verkkouhkakoulutus sekä luotettavien verkkoturvallisuusuutisten seuraaminen ovat hyviä lähteitä tarvittavia tietoja varten.
Luotettava ja monikerroksinen turvallisuusratkaisu on toinen tärkeä osa käyttäjän kyberpuolustusta. Troijalaiset voivat käyttää useita kanavia tunkeutuakseen laitteeseen tai verkkoon. Siksi useimmat nykyaikaiset turvallisuusohjelmat hyödyntävät erilaisia tekniikoita kuten sandboxingia, emulointia ja koneoppimista tunnistaakseen hyökkäysyritykset ja tarjotakseen parhaan mahdollisen turvallisuustason.