Ejemplo de un Caballo de Troya para capturar nombres de cuentas y palabras clave

Básicamente un Caballo de Troya es un programa cuyo comportamiento sí es el esperado pero no así su funcionamiento.

Un ejemplo típico es el que captura identificadores de cuentas y palabras claves, basta con que un usuario abandone el terminal dejando en ejecución un programa como el siguiente:

  1. Escriba la carátula de presentación de la máquina
  2. Escriba "Login: " y pida/lea el login
  3. Escriba "Password: ", quite el eco de la pantalla y pida/lea la palabra clave
  4. Almacene el login y la clave leidos en algún lugar
  5. Imprima "Login incorrect" para hacer creer al usuario que se ha equivocado
  6. Por último haga que el programa se mate a sí mismo y al shell desde la que se estaba ejecutando para que aparezca el verdadero login

PRIMEROS AUXILIOS CONTRA LOS CABALLOS DE TROYA

  • Al encontrarnos con una pantalla de entrada al sistema, es recomendable NO darle información buena al programa que nos pide el login por ello, antes de introducir nuestro verdadero login y password, podemos tomar una o varias de estas medidas:
    • Teclear basura tanto en el Login y Password que se nos pide
    • Teclear ^D (final de entrada/fichero), ^C (abortar el programa)
    • Teclear (eliminar línea, kill): @, ^U
    • Usar las flechas: algunos Logins no permiten mover el cursor por el terminal
  • CON CARACTER MAS GENERAL
  • Al entrar en una máquina Unix desde un PCs reinicializar (CTR+ALT+DEL) el equipo con un disquete propio del cual estemos seguros que no tiene programas residentes que capturen las teclas
  • Nunca dejar la cuenta abierta: no basta con apagar el terminal puesto que la shell sigue activa. Hay que teclear el comando exit o logout.
  • Nunca dar permisos de escritura al resto sobre un directorio o fichero nuestro, en especial es importantísimo que el directorio de conexión o casa ($HOME) tenga permisos como máximo 755 (para asegurarnos, ejecutar chmod o-w $HOME). Repasar los permisos, dueño, fecha y contenido de los ficheros .login y .cshrc.
  • Al entrar en la cuenta comprobar la fecha de última conexión y lugar desde el que se ha hecho.