Un trojan o trojan horse (in italiano Cavallo di Troia), nell'ambito della sicurezza informatica, indica un tipo di malware.
Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.
Storia
Il Corriere della Sera del 22 maggio 1987 documentò a pagina 15 con un articolo di Mark McKain del New York Times la progressiva diffusione negli Stati Uniti di codice maligno di tipo trojan nelle BBS (Bullettin Board System). In era pre-Internet il contagio si diffondeva attraverso il caricamento e lo scaricamento di programmi infetti dalle BBS alle quali ci si collegava tramite modem. Il codice maligno celato nei programmi scaricati in genere provocava la cancellazione dei dati locali dai dischi dell'utente, talvolta con una formattazione del disco a basso livello. L'azione di diffusione dei trojan è attribuita a individui denominati "hackers". È una delle prime volte, se non la prima, che tali argomenti sono documentati sulla stampa generalista italiana.
All'incirca negli anni successivi al 2001 o 2002 i trojan incominciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email. Famoso nel 2011 il caso del "Trojan di stato" della Germania, utilizzato a fini intercettivi fin dal 2009 dietro una specifica ordinanza del tribunale che ne permetta l'uso nei confronti del soggetto finale.
La definizione
L'attribuzione del termine "cavallo di Troia" ad un programma o, comunque, ad un file eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan.
In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o PCAnywhere, con funzionalità simili ai trojan, ma che non sono dei cavalli di Troia poiché l'utente è consapevole della situazione. Spesso il trojan viene installato dallo stesso attaccante, quando prende il controllo del sistema, acquisendone i privilegi amministrativi. In questo caso il trojan serve a "mantenere lo stato di hacking", cioè a mantenere il controllo della macchina, senza che l'amministratore legittimo si accorga che alcuni programmi nascondono delle altre funzioni.
Metodo di diffusione
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima.
A volte agiscono insieme: un worm viene iniettato in rete con l'intento di installare dei trojan sui sistemi. Spesso è la vittima stessa che, involontariamente, non prestando attenzione ai siti che sta visitando, ricerca e scarica, un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Sono in genere riconosciuti da un antivirus aggiornato come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica, come probabile malware.
Utilizzo
Oggi col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue.
Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
I programmi di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit. I Trojan sono sempre più diffusi e non tutti riconoscibili dagli attuali antivirus, per alcuni dei quali riescono anche a impedire l'aggiornamento. Per essere più efficaci possono nascondersi nemmeno l'antivirus può eliminarli agendo così nel danneggiare il computer. Se questo accade, il Trojan può essere individuato e rimosso solo tramite l'eliminazione totale dei dati ad opera di un informatico esperto.
