Dzięki złym decyzjom projektowym, AutoRun był kiedyś ogromnym problemem bezpieczeństwa w systemie Windows. AutoRun pozwoliło na uruchomienie złośliwego oprogramowania zaraz po włożeniu dysków i napędów USB do komputera.
Ta wada została wykorzystana nie tylko przez autorów szkodliwego oprogramowania. Został on słynnie wykorzystany przez Sony BMG do ukrywania rootkitów na muzycznych płytach CD. System Windows automatycznie uruchamia i instaluje rootkita po włożeniu do komputera złośliwej płyty audio Sony.
AutoRun to funkcja wprowadzona w systemie Windows 95. Po włożeniu dysku z oprogramowaniem do komputera system Windows automatycznie odtworzy dysk, a jeśli plik autorun.inf zostanie znaleziony w katalogu głównym dysku - automatycznie uruchomi program określone w pliku autorun.inf.
Dlatego po włożeniu do komputera płyty CD z oprogramowaniem lub płyty z grą komputer automatycznie uruchomił ekran instalacyjny lub ekran powitalny z opcjami. Ta funkcja została zaprojektowana w taki sposób, aby ułatwić korzystanie z takich dysków, zmniejszając stopień dezorientacji użytkownika. Jeśli AutoRun nie istnieje, użytkownicy musieliby otworzyć okno przeglądarki plików, przejść do dysku i zamiast tego uruchomić plik setup.exe.
To działało całkiem dobrze przez jakiś czas i nie było dużych problemów. W końcu użytkownicy domowi nie mieli łatwego sposobu na tworzenie własnych płyt CD, zanim nagrywarki CD były rozpowszechnione. Na pewno spotkasz się tylko z komercyjnymi płytami i ogólnie są godne zaufania.
Ale nawet w Windows 95, gdy wprowadzono AutoRun, nie było włączone dyskietek. W końcu każdy mógł umieścić dowolne pliki na dyskietce. AutoRun na dyskietkach pozwoliłoby złośliwym programom rozprzestrzeniać się z dyskietki na komputer na dyskietkę na komputer.
System Windows XP udoskonalił tę funkcję za pomocą funkcji "AutoPlay". Po włożeniu dysku, dysku flash USB lub innego rodzaju wymiennego urządzenia multimedialnego system Windows sprawdzi jego zawartość i zaproponuje odpowiednie działania. Na przykład, jeśli włożysz kartę SD zawierającą zdjęcia z aparatu cyfrowego, zalecane będzie zrobienie czegoś odpowiedniego dla plików graficznych. Jeśli na dysku znajduje się plik autorun.inf, zobaczysz opcję z pytaniem, czy chcesz automatycznie uruchomić program również z dysku.
Jednak Microsoft nadal chciał, aby płyty CD działały tak samo. Tak więc w Windows XP płyty CD i DVD nadal automatycznie uruchamiałyby na nich programy, gdyby miały plik autorun.inf, lub automatycznie rozpoczynały odtwarzanie muzyki, gdyby były płytami audio CD. Ponadto ze względu na architekturę bezpieczeństwa systemu Windows XP programy te prawdopodobnie zostałyby uruchomione z dostępem administratora. Innymi słowy, mieliby pełny dostęp do twojego systemu.
W przypadku napędów USB zawierających pliki autorun.inf program nie uruchomi się automatycznie, ale wyświetli opcję z okna AutoPlay.
Nadal można wyłączyć to zachowanie. Opcje były ukryte w samym systemie operacyjnym, w rejestrze i edytorze polityki grupowej. Możesz również przytrzymać klawisz Shift podczas wkładania dysku, a system Windows nie wykona polecenia AutoRun.
Ta ochrona natychmiast się rozpadła. SanDisk i M-Systems zobaczyły zachowanie AutoRun CD i chciały go dla swoich własnych dysków flash USB, więc stworzyły dyski flash U3. Te dyski flash emulowały napęd CD po podłączeniu ich do komputera, więc system Windows XP automatycznie uruchomi na nich programy po ich podłączeniu.
Oczywiście nawet płyty CD nie są bezpieczne. Napastnicy mogą łatwo wypalić napęd CD lub DVD lub użyć dysku wielokrotnego zapisu. Pomysł, że płyty CD są bezpieczniejsze niż dyski USB, jest błędny.
W 2005 r. Sony BMG zaczęło wysyłać rootkity Windows na miliony ich płyt audio CD. Po włożeniu płyty audio CD do komputera system Windows odczytał plik autorun.inf i automatycznie uruchomił instalator rootkita, który podstępnie zainfekował komputer w tle. Celem tego było uniemożliwienie skopiowania płyty z muzyką lub zgrania jej na komputer. Ponieważ są to zwykle obsługiwane funkcje, rootkit musiał obalić cały system operacyjny, aby je powstrzymać.
Wszystko to było możliwe dzięki AutoRun. Niektórzy zalecali trzymanie Shift za każdym razem, gdy włożyłeś płytę audio CD do komputera, a inni otwarcie zastanawiali się, czy przytrzymanie Shifta w celu powstrzymania instalowania rootkita byłoby uznawane za naruszenie zakazu obchodzenia DMCA przeciwko omijaniu ochrony przed kopiowaniem.
Inni opisali długą, smutną historię jej. Powiedzmy, że rootkit był niestabilny, złośliwe oprogramowanie wykorzystało rootkita do łatwiejszego infekowania systemów Windows, a Sony uzyskało ogromne i zasłużone podbite oko na arenie publicznej.
Conficker był wyjątkowo paskudnym robakiem po raz pierwszy wykrytym w 2008 roku. Między innymi infekował podłączone urządzenia USB i tworzył na nich pliki autorun.inf, które automatycznie uruchamiałyby złośliwe oprogramowanie po połączeniu z innym komputerem. Jako firma antywirusowa ESET napisała:
"Dyski USB i inne nośniki wymienne, do których dostęp ma funkcja Autorun / Autoplay za każdym razem (domyślnie), po podłączeniu ich do komputera, są obecnie najczęściej używanymi nośnikami wirusów."
Conficker był najbardziej znany, ale nie był jedynym szkodliwym oprogramowaniem, które nadużywało niebezpiecznych funkcji AutoRun. AutoRun jako funkcja jest praktycznie darem dla autorów złośliwego oprogramowania.
Microsoft w końcu zalecił użytkownikom systemu Windows wyłączenie funkcji AutoRun. Windows Vista wprowadził kilka dobrych zmian, które wszystkie Windows 7, 8 i 8,1 odziedziczyły.
Zamiast automatycznie uruchamiać programy z dysków CD, DVD i USB podszywających się pod dyski, Windows po prostu pokazuje okno dialogowe Autoodtwarzanie również dla tych dysków. Jeśli podłączony dysk lub napęd ma program, zobaczysz go jako opcję na liście. System Windows Vista i nowsze wersje systemu Windows nie będą automatycznie uruchamiać programów bez pytania użytkownika - aby uruchomić program i zainfekować, należy kliknąć opcję "Uruchom [program] .exe" w oknie dialogowym Autoodtwarzanie.
Nadal będzie możliwe rozprzestrzenianie się szkodliwego oprogramowania za pomocą funkcji autoodtwarzania. Jeśli połączysz złośliwy dysk USB z komputerem, nadal będziesz mieć tylko jedno kliknięcie, aby uruchomić złośliwe oprogramowanie w oknie dialogowym Autoodtwarzanie - przynajmniej z domyślnymi ustawieniami. Inne funkcje bezpieczeństwa, takie jak UAC i program antywirusowy, mogą pomóc w ochronie, ale nadal należy być czujnym.
Niestety, mamy teraz jeszcze bardziej groźne zagrożenie bezpieczeństwa ze strony urządzeń USB.
Jeśli chcesz, możesz całkowicie wyłączyć autoodtwarzanie - lub tylko dla niektórych typów napędów - dzięki czemu nie pojawi się wyskakujące okno autoodtwarzania po włożeniu wymiennego nośnika do komputera. Znajdziesz te opcje w Panelu sterowania. Wyszukaj "autoodtwarzanie" w polu wyszukiwania w Panelu sterowania, aby je znaleźć.
Image Credit: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickr
