Jak Automatyczne Malware stało się problemem w systemie Windows i jak to było (głównie) naprawione
Dzięki złym decyzjom projektowym, AutoRun był kiedyś ogromnym problemem bezpieczeństwa w systemie Windows. AutoRun pozwoliło na uruchomienie złośliwego oprogramowania zaraz po włożeniu dysków i napędów USB do komputera.
Ta wada została wykorzystana nie tylko przez autorów szkodliwego oprogramowania. Został on słynnie wykorzystany przez Sony BMG do ukrywania rootkitów na muzycznych płytach CD. System Windows automatycznie uruchamia i instaluje rootkita po włożeniu do komputera złośliwej płyty audio Sony.
Pochodzenie AutoRun
AutoRun to funkcja wprowadzona w systemie Windows 95. Po włożeniu dysku z oprogramowaniem do komputera system Windows automatycznie odczyta dysk, a jeśli plik autorun.inf zostanie znaleziony w katalogu głównym dysku - automatycznie uruchomi program określone w pliku autorun.inf.
Dlatego po włożeniu do komputera płyty CD z oprogramowaniem lub płyty z grą komputer automatycznie uruchomił ekran instalacyjny lub ekran powitalny z opcjami. Ta funkcja została zaprojektowana w celu ułatwienia korzystania z takich dysków, co zmniejsza zamieszanie użytkownika. Jeśli AutoRun nie istnieje, użytkownicy będą musieli otworzyć okno przeglądarki plików, przejść do dysku i zamiast tego uruchomić plik setup.exe.
To działało całkiem dobrze przez jakiś czas i nie było dużych problemów. W końcu użytkownicy domowi nie mieli łatwego sposobu na tworzenie własnych płyt CD, zanim nagrywarki CD były rozpowszechnione. Na pewno spotkasz się tylko z komercyjnymi płytami i ogólnie są godne zaufania.
Ale nawet z powrotem w Windows 95, gdy wprowadzono AutoRun, nie był włączony dla dyskietek. W końcu każdy mógł umieścić dowolne pliki na dyskietce. AutoRun na dyskietkach pozwoli złośliwym programom rozprzestrzeniać się z dyskietki na komputer, aby złożyć dyskietkę na komputer.
Autoodtwarzanie w systemie Windows XP
System Windows XP udoskonalił tę funkcję za pomocą funkcji "AutoPlay". Po włożeniu dysku, dysku flash USB lub innego rodzaju wymiennego urządzenia multimedialnego system Windows sprawdzi jego zawartość i zaproponuje działania. Na przykład, jeśli włożysz kartę SD zawierającą zdjęcia z aparatu cyfrowego, zalecane będzie zrobienie czegoś odpowiedniego dla plików graficznych. Jeśli na dysku znajduje się plik autorun.inf, zobaczysz opcję pytającą, czy chcesz automatycznie uruchomić program również z dysku.
Jednak Microsoft nadal chciał, aby płyty CD działały tak samo. Tak więc w Windows XP płyty CD i DVD nadal automatycznie uruchamiałyby na nich programy, gdyby miały plik autorun.inf, lub automatycznie rozpoczynały odtwarzanie muzyki, gdyby były płytami audio CD. Ponadto ze względu na architekturę bezpieczeństwa systemu Windows XP programy te prawdopodobnie zostałyby uruchomione z dostępem administratora. Innymi słowy, mieliby pełny dostęp do twojego systemu.
W przypadku napędów USB zawierających pliki autorun.inf program nie uruchomi się automatycznie, ale wyświetli opcję w oknie autoodtwarzania.
Nadal można wyłączyć to zachowanie. Opcje były ukryte w samym systemie operacyjnym, rejestrze i edytorze zasad grupy. Możesz również przytrzymać klawisz Shift podczas wkładania dysku, a system Windows nie wykona polecenia AutoRun.
Niektóre napędy USB mogą emulować płyty CD, a nawet płyty CD nie są bezpieczne
Ta ochrona natychmiast się rozpadła. SanDisk i M-Systems zobaczyły zachowanie AutoRun CD i chciały go dla swoich własnych dysków flash USB, więc stworzyły dyski flash U3. Te dyski flash emulowały napęd CD po podłączeniu ich do komputera, więc system Windows XP automatycznie uruchomi na nich programy po ich podłączeniu.
Oczywiście nawet płyty CD nie są bezpieczne. Atakujący mogą łatwo wypalić napęd CD lub DVD lub użyć dysku wielokrotnego zapisu. Pomysł, że płyty CD są bezpieczniejsze niż dyski USB, jest błędny.
Katastrofa 1: Sony BMG Rootkit Fiasco
W 2005 r. Sony BMG zaczęło wysyłać rootkity Windows na miliony ich płyt audio CD. Po włożeniu płyty audio CD do komputera system Windows odczytał plik autorun.inf i automatycznie uruchomił instalator rootkita, który podstępnie zainfekował komputer w tle. Celem tego było uniemożliwienie skopiowania płyty z muzyką lub zgrania jej na komputer. Ponieważ są to zwykle obsługiwane funkcje, rootkit musiał obalić cały system operacyjny, aby je powstrzymać.
Wszystko to było możliwe dzięki AutoRun. Niektórzy ludzie zalecają trzymanie Shift za każdym razem, gdy wkładasz płytę audio CD do komputera, a inni otwarcie zastanawiają się, czy przytrzymanie Shifta w celu powstrzymania instalowania rootkita byłoby uznane za naruszenie zakazu obchodzenia DMCA w celu obejścia ochrony przed kopiowaniem.
Inni opisali długą, smutną historię jej. Powiedzmy, że rootkit był niestabilny, złośliwe oprogramowanie wykorzystało rootkita do łatwiejszego infekowania systemów Windows, a Sony dostało ogromne i zasłużone czarne oko na arenie publicznej.
Disaster 2: robak Conficker i inne złośliwe oprogramowanie
Conficker był wyjątkowo nieprzyjemnym robakiem po raz pierwszy wykrytym w 2008 roku. Między innymi infekował podłączone urządzenia USB i tworzył na nich pliki autorun.inf, które automatycznie uruchamiałyby złośliwe oprogramowanie po połączeniu z innym komputerem. Jako firma antywirusowa ESET napisała:
"Dyski USB i inne nośniki wymienne, do których dostęp ma funkcja Autorun / Autoplay za każdym razem (domyślnie), po podłączeniu ich do komputera, są obecnie najczęściej używanymi nośnikami wirusów."
Conficker był najbardziej znany, ale nie był jedynym szkodliwym oprogramowaniem, które nadużywało niebezpiecznych funkcji AutoRun. AutoRun jako funkcja jest praktycznie darem dla autorów złośliwego oprogramowania.
System Windows Vista wyłącza automatyczne uruchamianie, ale ...
Microsoft w końcu zalecił użytkownikom systemu Windows wyłączenie funkcji AutoRun. Windows Vista wprowadził dobre zmiany, które wszystkie Windows 7, 8 i 8,1 odziedziczyły.
Zamiast automatycznie uruchamiać programy z dysków CD, DVD i USB podszywających się pod dyski, Windows po prostu pokazuje okno dialogowe Autoodtwarzanie również dla tych dysków. Jeśli podłączony dysk lub napęd ma program, zobaczysz go jako opcję na liście. Windows Vista i nowsze wersje systemu Windows nie będą automatycznie uruchamiać programów bez pytania użytkownika - aby uruchomić program i zainfekować, należy kliknąć opcję "Uruchom [program] .exe" w oknie dialogowym Autoodtwarzanie.
Nadal będzie możliwe rozprzestrzenianie się szkodliwego oprogramowania za pomocą funkcji autoodtwarzania. Jeśli połączysz złośliwy dysk USB z komputerem, nadal będziesz mieć tylko jedno kliknięcie, aby uruchomić złośliwe oprogramowanie w oknie dialogowym Autoodtwarzanie - przynajmniej z domyślnymi ustawieniami. Inne funkcje bezpieczeństwa, takie jak UAC i program antywirusowy, mogą pomóc w ochronie, ale nadal należy być czujnym.
Niestety, mamy teraz jeszcze bardziej groźne zagrożenie bezpieczeństwa ze strony urządzeń USB.
Jeśli chcesz, możesz wyłączyć funkcję Autoodtwarzanie w całości - lub tylko dla niektórych typów napędów - dzięki czemu nie pojawi się wyskakujące okno Autoodtwarzanie po włożeniu wymiennego nośnika do komputera. Znajdziesz te opcje w Panelu sterowania. Wyszukaj "autoodtwarzanie" w polu wyszukiwania w Panelu sterowania, aby je znaleźć.
Image Credit: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickr