Datorită deciziilor de proiectare proaste, AutoRun a fost odată o mare problemă de securitate pe Windows. AutoRun a permis cu ușurință să se lanseze software rău intenționat de îndată ce ați introdus discuri și unități USB în computer.
Acest defect nu a fost exploatat doar de autorii malware. A fost folosită de Sony BMG pentru a ascunde un rootkit pe CD-uri de muzică. Windows ar rula și instala automat rootkit-ul atunci când ați introdus un computer audio rău intenționat Sony în computer.
AutoRun a fost o caracteristică introdusă în Windows 95. Când ați introdus un disc software în computer, Windows va citi în mod automat discul și - dacă ar fi găsit un fișier autorun.inf în directorul rădăcină al discului - va lansa automat programul specificate în fișierul autorun.inf.
De aceea, când ați introdus un CD cu software sau un disc de jocuri pe computer, acesta a lansat automat un program de instalare sau un ecran cu opțiuni. Caracteristica a fost concepută pentru a face astfel de discuri ușor de utilizat, reducând confuzia utilizatorului. Dacă nu există AutoRun, utilizatorii ar trebui să deschidă fereastra browserului de fișiere, să navigheze pe disc și să lanseze un fișier setup.exe de acolo.
Acest lucru a funcționat destul de bine pentru o vreme și nu au existat probleme mari. La urma urmei, utilizatorii de acasă nu au avut o modalitate ușoară de a-și produce propriile CD-uri înainte ca arzătoarele CD-uri să fie foarte răspândite. Ați întâlnit cu adevărat numai discuri comerciale și au fost, în general, de încredere.
Dar chiar și înapoi în Windows 95 atunci când a fost introdus AutoRun, nu a fost activat pentru dischete. La urma urmei, oricine ar putea plasa fișierele pe care le doreau pe o dischetă. AutoRun pentru dischete ar permite malware-ului să se răspândească de la dischetă la computer la dischetă la calculator.
Windows XP a îmbunătățit această funcție printr-o funcție "AutoPlay". Când ați introdus un disc, o unitate flash USB sau un alt tip de dispozitiv media amovibil, Windows va examina conținutul său și vă va sugera acțiuni. De exemplu, dacă introduceți o cartelă SD care conține fotografii de la camera digitală, vă recomandăm să faceți ceva potrivit pentru fișierele imagine. Dacă o unitate are un fișier autorun.inf, veți vedea o opțiune care vă întreabă dacă doriți să rulați automat un program de pe unitate.
Cu toate acestea, Microsoft dorea CD-urile să funcționeze la fel. Deci, în Windows XP, CD-urile și DVD-urile vor rula în continuare în mod automat programe pe ele dacă ar avea un fișier autorun.inf sau ar începe să-și redea automat muzica dacă ar fi CD-uri audio. Și, din cauza arhitecturii de securitate a Windows XP, acele programe ar fi lansate probabil cu accesul Administrator. Cu alte cuvinte, ei ar avea acces deplin la sistemul tău.
Cu unități USB care conțin fișiere autorun.inf, programul nu se va difuza automat, dar vă va prezenta opțiunea într-o fereastră AutoPlay.
Încă puteai dezactiva acest comportament. Au existat opțiuni îngropate în sistemul de operare însuși, în registru, și editorul de politică de grup. De asemenea, puteți țineți apăsată tasta Shift când ați introdus un disc, iar Windows nu va efectua comportamentul AutoRun.
Această protecție a început să se descompună imediat. SanDisk și M-Systems au văzut comportamentul CD-ului AutoRun și l-au dorit pentru propriile unități flash USB, astfel încât au creat unități flash U3. Aceste unități flash emulate o unitate CD atunci când le conectați la un computer, astfel încât un sistem Windows XP va lansa automat programe pe ele atunci când sunt conectate.
Desigur, chiar CD-urile nu sunt sigure. Atacatorii ar putea să ardă cu ușurință o unitate CD sau DVD sau să utilizeze o unitate reinscriptibilă. Ideea că CD-urile sunt oarecum mai sigure decât dispozitivele USB este greșită.
În 2005, Sony BMG a început să livreze rootkituri Windows pe milioane de CD-uri audio. Când ați introdus CD-ul audio în computerul dvs., Windows va citi fișierul autorun.inf și va rula automat instalatorul de rootkit, care a infectat computerul în fundal. Scopul acestui lucru a fost să vă împiedicați să copiați discul muzical sau să-l rupeți pe computer. Deoarece aceste funcții sunt în mod normal acceptate, rootkit-ul a trebuit să submineze întregul sistem de operare pentru a le suprima.
Acest lucru a fost posibil datorită AutoRun. Unii oameni au recomandat să dețină Shift ori de câte ori ați introdus un CD audio în computer și alții s-au întrebat dacă păstrarea Shift pentru a suprima instalarea rootkit-ului ar fi considerată o încălcare a interdicțiilor anti-eludare ale DMCA împotriva ocolării protecției împotriva copierii.
Alții au redactat istoria ei lungă și răutăcioasă. Să spunem că rootkit-ul a fost instabil, malware-ul a profitat de rootkit pentru a infecta mai ușor sistemele Windows, iar Sony a obținut un ochi negru imens și bine meritat pe arena publică.
Conficker a fost un vierme deosebit de urât detectat pentru prima dată în 2008. Printre altele, acesta a infectat dispozitive USB conectate și a creat fișiere autorun.inf pe ele, care ar rula automat malware atunci când au fost conectate la alt computer. Ca companie antivirus ESET a scris:
"Dispozitivele USB și alte suporturi amovibile, accesate de funcțiile Autorun / Autoplay de fiecare dată (în mod implicit) le conectezi la computer, sunt cei mai frecvent utilizați transportatori de virusi în aceste zile".
Conficker a fost cel mai cunoscut, dar nu a fost singurul program malware care abuza de funcționalitatea periculoasă a sistemului AutoRun. AutoRun ca o caracteristică este practic un cadou pentru autorii malware.
În cele din urmă, Microsoft a recomandat utilizatorilor Windows să dezactiveze funcționalitatea AutoRun. Windows Vista a făcut câteva schimbări bune pe care le-au moștenit toate sistemele Windows 7, 8 și 8,1.
În loc să ruleze automat programe de pe CD-uri, DVD-uri și unități USB masquerading ca discuri, Windows arată pur și simplu dialogul AutoPlay pentru aceste unități. Dacă un disc sau unitate conectat are un program, îl veți vedea ca o opțiune în listă. Windows Vista și versiunile ulterioare de Windows nu vor rula automat programe fără a vă întreba - va trebui să faceți clic pe opțiunea "Executați [program] .exe" din dialogul AutoPlay pentru a rula programul și a vă infecta.
Însă ar fi posibil ca malware-ul să se răspândească prin AutoPlay. Dacă conectați o unitate USB dăunătoare la computer, sunteți încă la un clic de la difuzarea malware-ului prin dialogul AutoPlay - cel puțin cu setările implicite. Alte funcții de securitate precum UAC și programul antivirus vă pot ajuta să vă protejați, dar ar trebui să fiți în continuare atenți.
Și, din nefericire, acum avem o amenințare de securitate chiar mai înspăimântătoare de la dispozitivele USB care trebuie să fie conștiente.
Dacă doriți, puteți dezactiva în întregime funcția AutoPlay - sau doar pentru anumite tipuri de unități - astfel încât să nu primiți o fereastră de tip pop-up AutoPlay atunci când inserați suporturi amovibile în computer. Veți găsi aceste opțiuni în Panoul de control. Efectuați o căutare pentru "autoplay" în caseta de căutare a panoului de control pentru a le găsi.
Credit de imagine: aussiegal pe Flickr, m01229 pe Flickr, Lordcolus pe Flickr
