Dzięki złym decyzjom projektowym AutoRun stanowił niegdyś ogromny problem z bezpieczeństwem w systemie Windows. AutoRun pomogło uruchomić złośliwe oprogramowanie zaraz po włożeniu dysków i napędów USB do komputera.
Ta wada została wykorzystana nie tylko przez autorów złośliwego oprogramowania. Słynny był używany przez Sony BMG do ukrywania pliku rootkit na muzycznych płytach CD. System Windows automatycznie uruchomiłby i zainstalował rootkita po włożeniu do komputera złośliwej płyty audio firmy Sony.
Pochodzenie AutoRun
ZWIĄZANE Z: Nie wszystkie „wirusy” są wirusami: 10 wyjaśnień dotyczących złośliwego oprogramowania
AutoRun to funkcja wprowadzona w systemie Windows 95. Po włożeniu dysku z oprogramowaniem do komputera system Windows automatycznie odczytał dysk i - jeśli plik autorun.inf został znaleziony w katalogu głównym dysku - automatycznie uruchomił program określony w pliku autorun.inf.
Dlatego po włożeniu do komputera dysku CD z oprogramowaniem lub dysku z grą komputer automatycznie uruchamia instalator lub ekran powitalny z opcjami. Ta funkcja została zaprojektowana tak, aby ułatwić korzystanie z takich dysków i zmniejszyć dezorientację użytkowników. Gdyby funkcja AutoRun nie istniała, użytkownicy musieliby otworzyć okno przeglądarki plików, przejść do dysku i uruchomić stamtąd plik setup.exe.
Przez pewien czas działało to całkiem dobrze i nie było większych problemów. W końcu użytkownicy domowi nie mieli łatwego sposobu na produkcję własnych płyt CD, zanim nagrywarki CD stały się powszechne. Tak naprawdę można było spotkać tylko płyty komercyjne i ogólnie były one godne zaufania.
Ale nawet w Windows 95, kiedy wprowadzono AutoRun, nie było to włączone dyskietki . W końcu każdy mógł umieścić dowolne pliki na dyskietce. Automatyczne uruchamianie dyskietek pozwoliłoby złośliwemu oprogramowaniu na rozprzestrzenianie się z dyskietki na komputer, na dyskietkę na komputer.
Autoodtwarzanie w systemie Windows XP
W systemie Windows XP udoskonalono tę funkcję za pomocą funkcji „Autoodtwarzanie”. Po włożeniu dysku, napędu flash USB lub innego rodzaju wymiennego nośnika danych system Windows sprawdzi jego zawartość i zasugeruje działania. Na przykład, jeśli włożysz kartę SD zawierającą zdjęcia z aparatu cyfrowego, zaleci zrobienie czegoś odpowiedniego dla plików graficznych. Jeśli dysk ma plik autorun.inf, zobaczysz opcję z pytaniem, czy chcesz automatycznie uruchamiać program również z dysku.
Jednak Microsoft nadal chciał, aby dyski CD działały tak samo. Tak więc w systemie Windows XP dyski CD i DVD nadal automatycznie uruchamiałyby na nich programy, gdyby miały plik autorun.inf, lub automatycznie rozpoczynałyby odtwarzanie ich muzyki, gdyby były to płyty audio CD. I, ze względu na architekturę zabezpieczeń systemu Windows XP programy te prawdopodobnie uruchomiłyby się z dostępem administratora . Innymi słowy, mieliby pełny dostęp do Twojego systemu.
W przypadku dysków USB zawierających pliki autorun.inf program nie uruchamia się automatycznie, ale wyświetla opcję w oknie autoodtwarzania.
Nadal możesz wyłączyć to zachowanie. Opcje były ukryte w samym systemie operacyjnym, w rejestrze i edytorze zasad grupy. Możesz także przytrzymać klawisz Shift podczas wkładania dysku, a system Windows nie będzie wykonywał funkcji automatycznego uruchamiania.
Niektóre napędy USB mogą emulować płyty CD, a nawet płyty CD nie są bezpieczne
Ta ochrona zaczęła się natychmiast rozpadać. SanDisk i M-Systems zauważyły zachowanie CD AutoRun i chciały go dla swoich własnych dysków flash USB, więc stworzyły Dyski flash U3 . Te dyski flash emulują napęd CD po podłączeniu ich do komputera, więc system Windows XP automatycznie uruchamia na nich programy, gdy są podłączone.
Oczywiście nawet płyty CD nie są bezpieczne. Atakujący mogą z łatwością wypalić napęd CD lub DVD albo użyć napędu wielokrotnego zapisu. Pomysł, że płyty CD są w jakiś sposób bezpieczniejsze niż dyski USB, jest błędny.
Katastrofa 1: Fiasko Sony BMG Rootkit
W 2005 roku firma Sony BMG rozpoczęła wysyłanie rootkitów dla systemu Windows na milionach swoich płyt audio CD. Po włożeniu płyty audio CD do komputera system Windows odczytał plik autorun.inf i automatycznie uruchomił instalator rootkita, który podstępnie zainfekował komputer w tle. Miało to na celu zapobieżenie skopiowaniu dysku z muzyką lub zgraniu go na komputer. Ponieważ są to normalnie obsługiwane funkcje, rootkit musiał zniszczyć cały system operacyjny, aby je stłumić.
To wszystko było możliwe dzięki AutoRun. Niektórzy zalecali przytrzymanie klawisza Shift za każdym razem, gdy włożysz płytę audio CD do komputera, a inni otwarcie zastanawiali się, czy przytrzymanie klawisza Shift w celu powstrzymania instalacji rootkita byłoby rozważane naruszenie zakazów DMCA dotyczących obchodzenia przepisów przed obejściem ochrony przed kopiowaniem.
Inni opisywali długa, przykra historia jej. Powiedzmy, że rootkit był niestabilny, złośliwe oprogramowanie wykorzystywało rootkita do łatwiejszego infekowania systemów Windows, a Sony zyskało ogromne i zasłużone podbicie oka na arenie publicznej.
Katastrofa 2: robak Conficker i inne złośliwe oprogramowanie
Conficker był szczególnie paskudnym robakiem wykrytym po raz pierwszy w 2008 roku. Między innymi infekował podłączone urządzenia USB i tworzył na nich pliki autorun.inf, które automatycznie uruchamiały złośliwe oprogramowanie po podłączeniu ich do innego komputera. Jako firma antywirusowa WALIZKA napisał:
„Dyski USB i inne nośniki wymienne, do których uzyskuje się dostęp przez funkcje autouruchamiania / autoodtwarzania za każdym razem (domyślnie) po podłączeniu ich do komputera, są obecnie najczęściej używanymi nośnikami wirusów”.
Conficker był najbardziej znanym, ale nie jedynym złośliwym oprogramowaniem, które nadużywało niebezpiecznej funkcji AutoRun. Funkcja AutoRun jest praktycznie darem dla autorów złośliwego oprogramowania.
Domyślnie system Windows Vista wyłącza automatyczne uruchamianie, ale…
Firma Microsoft ostatecznie zaleciła użytkownikom systemu Windows wyłączenie funkcji AutoRun. Windows Vista wprowadził kilka dobrych zmian, które odziedziczyły wszystkie systemy Windows 7, 8 i 8,1.
Zamiast automatycznie uruchamiać programy z dysków CD, DVD i dysków USB podszywających się pod dyski, system Windows po prostu wyświetla okno dialogowe Autoodtwarzanie również dla tych dysków. Jeśli podłączony dysk lub napęd ma program, zobaczysz go jako opcję na liście. System Windows Vista i nowsze wersje systemu Windows nie będą automatycznie uruchamiać programów bez pytania - musisz kliknąć opcję „Uruchom [program].exe” w oknie dialogowym Autoodtwarzanie, aby uruchomić program i zarazić się.
ZWIĄZANE Z: Nie panikuj, ale wszystkie urządzenia USB mają ogromny problem z bezpieczeństwem
Jednak nadal byłoby możliwe rozprzestrzenianie się złośliwego oprogramowania poprzez autoodtwarzanie. Jeśli podłączysz złośliwy dysk USB do komputera, nadal dzieli Cię tylko jedno kliknięcie od uruchomienia go w oknie autoodtwarzania - przynajmniej z ustawieniami domyślnymi. Inne funkcje bezpieczeństwa, takie jak UAC a program antywirusowy może pomóc w ochronie, ale nadal należy zachować czujność.
I niestety teraz mamy jeszcze bardziej przerażające zagrożenie bezpieczeństwa ze strony urządzeń USB być świadomym.
Jeśli chcesz, możesz całkowicie wyłączyć autoodtwarzanie - lub tylko w przypadku niektórych typów dysków - dzięki czemu po włożeniu nośnika wymiennego do komputera nie pojawi się wyskakujące okienko autoodtwarzania. Znajdziesz te opcje w Panelu sterowania. Wyszukaj „autoodtwarzanie” w polu wyszukiwania Panelu sterowania, aby je znaleźć.
Źródło zdjęcia: aussiegal na Flickr , m01229 na Flickr , Lordcolus na Flickr
