Miten AutoRun-haittaohjelma tuli ongelmaksi Windowsissa ja miten se oli (useimmiten) korjattu
Huonon suunnittelupäätöksen ansiosta AutoRun oli kerran suuri turvallisuusongelma Windowsissa. AutoRun auttoi haittaohjelmia käynnistämään heti, kun asetit levyjä ja USB-asemia tietokoneeseen.
Tätä haittaa ei vain hyödyntänyt haittaohjelmien tekijät. Sony BMG käytti sitä kätevästi piilottamaan musiikkilevyjen rootkit-ohjelmiston. Windows käynnistää ja asentaa automaattisesti rootkitin, kun asetat tietokoneeseen haitallisen Sony-äänilevyn.
AutoRunin alkuperä
AutoRun oli Windows 95: ssä käyttöön otettu ominaisuus. Kun asetit ohjelmistolevyn tietokoneeseen, Windows lukee levyn automaattisesti ja - jos levyn juurihakemistossa on autorun.inf-tiedosto, se käynnistää ohjelman automaattisesti määritetty autorun.inf-tiedostossa.
Siksi, kun asetit ohjelmisto-CD- tai PC-pelilevyn tietokoneeseen, se käynnisti automaattisesti asennusohjelman tai splash-näytön, jossa on vaihtoehtoja. Ominaisuus on suunniteltu tekemään tällaiset levyt helppokäyttöisiksi, mikä vähentää käyttäjän sekaannusta. Jos AutoRun-toimintoa ei ole, käyttäjien olisi avattava tiedoston selainikkuna, navigoit levylle ja käynnistettävä sen sijaan setup.exe-tiedosto.
Tämä toimi jonkin aikaa hyvin, eikä suuria ongelmia ollut. Loppujen lopuksi kotikäyttäjillä ei ollut helppoa valmistaa omia CD-levyjään ennen kuin CD-polttimet olivat yleisiä. Olet todella tavannut vain kaupallisia levyjä, ja ne olivat yleensä luotettavia.
Mutta edes Windows 95: ssä, kun AutoRun otettiin käyttöön, se ei ollut käytössä levykkeillä. Loppujen lopuksi kukaan voisi sijoittaa mitä tiedostoja he halusivat levykkeelle. Levykkeiden automaattinen käynnistys mahdollistaisi haittaohjelmien leviämisen levykkeeltä tietokoneelle levykkeelle tietokoneeseen.
Automaattinen toisto Windows XP: ssä
Windows XP kehitti tätä ominaisuutta automaattisen toiston avulla. Kun asetit levyn, USB-muistitikun tai muun tyyppisen siirrettävän median laitteen, Windows tutkii sen sisällön ja ehdottaa sinulle toimia. Jos esimerkiksi asetat SD-kortin, joka sisältää valokuvia digitaalikamerasta, se suosittelee, että teet jotain sopivaa kuvatiedostoille. Jos asemassa on autorun.inf-tiedosto, näet vaihtoehdon, jossa kysytään, haluatko käynnistää ohjelman automaattisesti myös asemasta.
Microsoft kuitenkin halusi kuitenkin, että CD-levyt toimivat samoin. Joten Windows XP: ssä CD-levyt ja DVD-levyt suorittavat edelleen ohjelmia automaattisesti, jos heillä olisi autorun.inf-tiedosto, tai se alkaa automaattisesti toistaa musiikkiaan, jos ne olisivat äänilevyjä. Ja Windows XP: n tietoturva-arkkitehtuurin vuoksi nämä ohjelmat käynnistyvät todennäköisesti järjestelmänvalvojan käyttöoikeudella. Toisin sanoen heillä on täysi pääsy järjestelmään.
Kun USB-asemat sisältävät autorun.inf-tiedostoja, ohjelma ei käynnisty automaattisesti, mutta esiteltäisi sinulle automaattisen toiston ikkunassa olevan vaihtoehdon.
Voit silti poistaa tämän toiminnon käytöstä. Ominaisuuksia haudattiin itse käyttöjärjestelmään, rekisteriin ja ryhmäkäytäntöeditoriin. Voit myös pitää Shift-näppäintä painettuna, kun asetit levyn ja Windows ei suorita AutoRun-käyttäytymistä.
Jotkut USB-asemat voivat emuloida CD-levyjä, ja jopa CD-levyt eivät ole turvallisia
Tämä suoja alkoi hajota välittömästi. SanDisk ja M-Systems näkivät CD AutoRun -käyttäytymisen ja halusivat sen omalle USB-muistitikulleen, joten ne loivat U3-muistitikut. Nämä flash-asemat emuloivat CD-aseman, kun liitit ne tietokoneeseen, joten Windows XP -järjestelmä käynnistää automaattisesti ohjelmat niihin, kun ne on kytketty.
Tietenkin jopa CD-levyt eivät ole turvallisia. Hyökkääjät voivat helposti polttaa CD- tai DVD-aseman tai käyttää uudelleenkirjoitettavaa asemaa. Ajatus siitä, että CD-levyt ovat jotenkin turvallisempia kuin USB-asemat, on väärässä päin.
Katastrofi 1: Sony BMG Rootkit Fiasco
Sony BMG aloitti vuonna 2005 Windows rootkit -tuotteiden toimittamisen miljoonille äänilevyilleen. Kun asetit äänilevyn tietokoneeseen, Windows lukee autorun.inf-tiedoston ja käynnistää automaattisesti rootkit-asennusohjelman, joka tarttui tietokoneeseen taustalla. Tämän tarkoituksena oli estää musiikkilevyn kopioiminen tai kopioiminen tietokoneeseen. Koska nämä ovat tavallisesti tuettuja toimintoja, rootkit joutui hälventämään koko käyttöjärjestelmän tukahduttamaan ne.
Tämä oli mahdollista AutoRunin ansiosta. Jotkut suosittelivat Shiftin pitämistä aina, kun asetit äänilevyn tietokoneeseen, ja toiset avoimesti ihmettelivät, pitäisikö Shiftin pysäyttäminen rootkitin asennuksen estämisenä loukata DMCA: n kiertämistä koskevia kieltoja kopiointisuojauksen ohittamisen estämiseksi.
Toiset ovat keränneet hänet pitkään, anteeksi. Sanotaan juuri, että rootkit oli epävakaa, haittaohjelma hyödynsi rootkitia tarttumaan helpommin Windows-järjestelmiin, ja Sony sai valtavan ja ansaitun mustan silmän julkisella areenalla.
Katastrofi 2: Conficker Worm ja Other Malware
Conficker oli erityisen ilkeä mato, joka havaittiin ensimmäisen kerran vuonna 2008. Se tarttui muun muassa liitettyihin USB-laitteisiin ja loi niihin autorun.inf-tiedostoja, jotka ajaisivat automaattisesti haittaohjelmia, kun ne liitettiin toiseen tietokoneeseen. Virustentorjuntayrityksenä ESET kirjoitti:
”USB-asemat ja muut irrotettavat tietovälineet, joita automaattinen / automaattinen toisto -toiminto käyttää aina (oletusarvoisesti), jotka liität tietokoneeseen, ovat useimmiten käytettyjä virustoimintoja.”
Conficker oli tunnetuin, mutta se ei ollut ainoa haittaohjelma väärinkäyttää vaarallisia AutoRun-toimintoja. AutoRun on ominaisuus käytännössä lahja haittaohjelmien tekijöille.
Windows Vista käytöstä poistettu käytöstä automaattisesti, mutta…
Microsoft suositteli lopulta, että Windows-käyttäjät poistavat AutoRun-toiminnon käytöstä. Windows Vista teki joitakin hyviä muutoksia, joita Windows 7, 8 ja 8,1 ovat kaikki perineet.
Sen sijaan, että Windows-levyt, DVD-levyt ja USB-asemat käsittelevät ohjelmia automaattisesti, Windows näyttää vain näiden levyjen automaattisen toiston valintaikkunan. Jos liitetyllä levyllä tai asemalla on ohjelma, näet sen luettelossa olevana vaihtoehtona. Windows Vista ja uudemmat Windows-versiot eivät automaattisesti käynnistä ohjelmia pyytämättä sinua - sinun täytyy klikata "Suorita [ohjelma] .exe" -vaihtoehtoa Automaattinen toisto -valintaikkunassa, kun haluat suorittaa ohjelman ja saada tartunnan.
Mutta haittaohjelmien levittäminen automaattisen toiston kautta olisi silti mahdollista. Jos liität tietokoneeseen haitallisen USB-aseman, olet vielä vain yhden klikkauksen päässä haittaohjelman suorittamisesta automaattisen toiston valintaikkunassa - ainakin oletusasetusten kanssa. Muut suojaustoiminnot, kuten UAC ja virustentorjuntaohjelma, voivat auttaa sinua suojaamaan, mutta sinun pitäisi silti olla varovainen.
Ja valitettavasti USB-laitteiden turvallisuuden uhka on valitettavasti vieläkin herkempi.
Jos haluat, voit poistaa automaattisen toiston kokonaan - tai vain tietyntyyppisten asemien käytöstä - niin, että et saa automaattista toiston ponnahdusikkunaa, kun siirrät siirrettävää tietovälinettä tietokoneeseen. Nämä vaihtoehdot löytyvät Ohjauspaneelista. Etsi "automaattinen toisto" Ohjauspaneelin hakukentästä löytääksesi ne.
Kuvaluotto: aussiegal Flickrissä, m01229 Flickrissä, Lordcolus Flickrissä