Come il malware AutoRun è diventato un problema su Windows, e come è stato (per lo più) risolto
Grazie a cattive decisioni di progettazione, AutoRun era una volta un enorme problema di sicurezza su Windows. AutoRun ha consentito di avviare il software dannoso non appena i dischi e le unità USB sono stati inseriti nel computer.
Questo difetto non è stato sfruttato solo dagli autori di malware. È stato notoriamente utilizzato da Sony BMG per nascondere un rootkit su CD musicali. Windows eseguirà e installerà automaticamente il rootkit quando si inserisce un CD audio Sony dannoso nel computer.
L'origine di AutoRun
AutoRun era una funzionalità introdotta in Windows 95. Quando hai inserito un disco software nel computer, Windows leggeva automaticamente il disco e, se un file autorun.inf è stato trovato nella directory principale del disco, avvia automaticamente il programma specificato nel file autorun.inf.
Questo è il motivo per cui, quando hai inserito un CD software o un disco di giochi per PC nel computer, è stato avviato automaticamente un programma di installazione o una schermata iniziale con le opzioni. La funzione è stata progettata per rendere questi dischi facili da usare, riducendo la confusione dell'utente. Se AutoRun non esistesse, gli utenti dovrebbero aprire la finestra del browser dei file, navigare sul disco e lanciare un file setup.exe da lì invece.
Questo ha funzionato abbastanza bene per un po 'e non ci sono stati grossi problemi. Dopo tutto, gli utenti domestici non avevano un modo semplice per produrre i propri CD prima che i masterizzatori CD fossero diffusi. Verrebbero davvero solo dischi commerciali ed erano generalmente affidabili.
Ma anche in Windows 95 quando è stato introdotto AutoRun, non era abilitato per i dischetti. Dopo tutto, chiunque poteva inserire qualsiasi file volesse su un dischetto. AutoRun per floppy disk permetterebbe al malware di diffondersi da floppy a computer su floppy sul computer.
AutoPlay in Windows XP
Windows XP ha perfezionato questa funzione con una funzione "AutoPlay". Quando hai inserito un disco, un'unità flash USB o un altro tipo di dispositivo rimovibile, Windows esaminerà il suo contenuto e ti suggerirà le azioni. Ad esempio, se si inserisce una scheda SD contenente foto dalla fotocamera digitale, si consiglia di fare qualcosa di appropriato per i file di immagini. Se un'unità ha un file autorun.inf, verrà visualizzata un'opzione che chiede se si desidera eseguire automaticamente un programma anche dall'unità.
Tuttavia, Microsoft voleva ancora che i CD funzionassero allo stesso modo. Pertanto, in Windows XP, i CD e i DVD continuerebbero a eseguire automaticamente i programmi su di essi se disponevano di un file autorun.inf o se avessero automaticamente iniziato a riprodurre la loro musica se fossero CD audio. E, a causa dell'architettura di sicurezza di Windows XP, tali programmi verrebbero probabilmente avviati con l'accesso come amministratore. In altre parole, avrebbero pieno accesso al tuo sistema.
Con le unità USB contenenti i file autorun.inf, il programma non funzionerebbe automaticamente, ma presenterebbe l'opzione in una finestra AutoPlay.
Puoi ancora disabilitare questo comportamento. C'erano opzioni sepolte nel sistema operativo stesso, nel registro e nell'editor di criteri di gruppo. Puoi anche tenere premuto il tasto Maiusc mentre inserisci un disco e Windows non eseguirà il comportamento AutoRun.
Alcune unità USB possono emulare CD e anche i CD non sono sicuri
Questa protezione cominciò a rompersi immediatamente. SanDisk e M-Systems hanno visto il comportamento AutoRun del CD e lo hanno voluto per le proprie unità flash USB, quindi hanno creato unità flash U3. Queste unità flash emulavano un'unità CD quando le si collega a un computer, quindi un sistema Windows XP avvia automaticamente i programmi su di essi quando sono connessi.
Ovviamente, anche i CD non sono sicuri. Gli aggressori potrebbero facilmente masterizzare un'unità CD o DVD o utilizzare un'unità riscrivibile. L'idea che i CD siano in qualche modo più sicuri delle chiavette USB è sbagliata.
Disastro 1: il Sony BMG Rootkit Fiasco
Nel 2005, Sony BMG ha iniziato a distribuire i rootkit di Windows su milioni di loro CD audio. Quando hai inserito il CD audio nel tuo computer, Windows leggeva il file autorun.inf ed eseguiva automaticamente il programma di installazione di rootkit, che infettava il tuo computer in background. Lo scopo di questo era quello di impedirti di copiare il disco musicale o di estrarlo sul tuo computer. Poiché queste sono normalmente funzioni supportate, il rootkit ha dovuto sovvertire l'intero sistema operativo per sopprimerle.
Tutto ciò è stato possibile grazie ad AutoRun. Alcune persone consigliano di tenere premuto Shift ogni volta che inserisci un CD audio nel tuo computer, e altri si chiedono apertamente se tenere Shift per sopprimere il rootkit dall'installazione sia considerato una violazione dei divieti antielusione del DMCA contro l'esclusione della protezione dalla copia.
Altri hanno raccontato la storia lunga e dispiaciuta di lei. Diciamo solo che il rootkit era instabile, il malware ha sfruttato il rootkit per infettare più facilmente i sistemi Windows e Sony ha avuto un enorme e meritato occhio nero nell'arena pubblica.
Disaster 2: The Conficker Worm e altri malware
Conficker era un worm particolarmente brutto individuato per la prima volta nel 2008. Tra le altre cose, infettava i dispositivi USB collegati e creava su di essi file autorun.inf che eseguivano automaticamente il malware quando erano connessi a un altro computer. Come ha scritto la società antivirus ESET:
"Le unità USB e altri supporti rimovibili, a cui si accede ogni volta dalle funzionalità Autorun / Autoplay (per impostazione predefinita) li collegano al computer, sono i vettori antivirus più utilizzati al giorno d'oggi."
Conficker era il più noto, ma non era l'unico malware ad abusare della pericolosa funzionalità AutoRun. AutoRun come caratteristica è praticamente un regalo per gli autori di malware.
Windows Vista Disabilitato AutoRun per impostazione predefinita, ma ...
Alla fine Microsoft ha raccomandato agli utenti di Windows di disattivare la funzionalità AutoRun. Windows Vista ha apportato alcune buone modifiche che Windows 7, 8 e 8,1 hanno ereditato.
Invece di eseguire automaticamente programmi da CD, DVD e unità USB mascherati da dischi, Windows mostra semplicemente la finestra di dialogo AutoPlay anche per queste unità. Se un disco o un'unità collegata ha un programma, lo vedrai come un'opzione nell'elenco. Windows Vista e le versioni successive di Windows non eseguiranno automaticamente i programmi senza chiederti: dovrai fare clic sull'opzione "Esegui [programma] .exe" nella finestra di dialogo AutoPlay per eseguire il programma e ottenere l'infezione.
Tuttavia, è possibile che il malware si diffonda tramite AutoPlay. Se connetti un'unità USB dannosa al tuo computer, sei ancora a un solo clic dall'esecuzione del malware tramite la finestra di dialogo AutoPlay, almeno con le impostazioni predefinite. Altre funzioni di sicurezza come UAC e il tuo programma antivirus possono aiutarti a proteggerti, ma dovresti comunque essere vigile.
E, sfortunatamente, ora abbiamo una minaccia alla sicurezza ancora più spaventosa da parte dei dispositivi USB.
Se lo desideri, puoi disattivare completamente AutoPlay, o solo alcuni tipi di unità, in modo da non visualizzare automaticamente un popup AutoPlay quando inserisci dei supporti rimovibili nel computer. Troverai queste opzioni nel Pannello di controllo. Eseguire una ricerca per "autoplay" nella casella di ricerca del Pannello di controllo per trovarli.
Immagine di credito: aussiegal su Flickr, m01229 su Flickr, Lordcolus su Flickr