Благодарение на лошите дизайнерски решения, AutoRun някога е бил огромен проблем за сигурността на Windows. AutoRun помогна за разрешаване на злонамерен софтуер веднага щом вмъкнете дискове и USB устройства в компютъра си.
Този недостатък не е бил използван само от автори на злонамерен софтуер. Това е известно, че се използва от Sony BMG, за да скрие rootkit на музикални компактдискове. Windows ще се стартира автоматично и ще инсталира rootkit, когато в компютъра ви вкарате злонамерен аудио компактдиск.
AutoRun е функция, въведена в Windows 95. Когато сте вмъкнали софтуерен диск в компютъра си, Windows автоматично ще чете диска и - ако в root директорията на диска е намерен файл autorun.inf, той автоматично ще стартира програмата посочени в файла autorun.inf.
Ето защо, когато сте вмъкнали компактдиск със софтуер или компютърна игра в компютъра си, той автоматично стартира инсталационен или начален екран с опции. Функцията е създадена, за да направи такива дискове лесни за употреба, намалявайки объркването на потребителите. Ако AutoRun не съществува, потребителите ще трябва да отворят прозореца на файловия браузър, да се придвижват до диска и вместо това да стартират файла setup.exe.
Това работи доста добре за известно време и нямаше големи проблеми. В края на краищата домашните потребители не разполагаха с лесен начин да създадат собствени компактдискове преди разпространението на компакт-дисковете. Наистина сте се сблъсквали само с търговски дискове и те обикновено са били надеждни.
Но дори и обратно в Windows 95, когато беше въведен AutoRun, той не бе разрешен за флопи дискове. В края на краищата, всеки би могъл да постави каквито файлове искат на флопи диск. AutoRun за флопи дискове ще позволи разпространението на зловреден софтуер от флопи до компютър към флопи към компютър.
Windows XP усъвършенства тази функция с функция "Автоматично изпълнение". Когато поставите диск, USB флаш устройство или друг вид подвижно медийно устройство, Windows ще проучи съдържанието му и ще предложи действия за вас. Ако например вкарате SD карта, съдържаща снимки от вашия цифров фотоапарат, тя ще ви препоръча да направите нещо подходящо за картинни файлове. Ако устройството има файл autorun.inf, ще видите опция, която ви пита дали искате автоматично да стартирате програма и от устройството.
Microsoft все пак иска CD-та да работят по същия начин. Така че, в Windows XP, компактдисковете и DVD-ите все пак ще пускат автоматично програми върху тях, ако имат файл autorun.inf или автоматично ще започнат да слушат музиката си, ако са аудио компактдискове. И благодарение на архитектурата за сигурност на Windows XP тези програми вероятно ще започнат с достъп от администратора. С други думи, те ще имат пълен достъп до вашата система.
При USB устройства, съдържащи файлове autorun.inf, програмата няма да се стартира автоматично, но ще ви предостави опцията в прозореца за автоматично изпълнение.
Все още можете да деактивирате това поведение. Имаше опции, скрити в самата операционна система, в системния регистър и в редактора на груповите политики. Можете също да задържите клавиша Shift, когато поставите диск, а Windows няма да изпълни поведението на AutoRun.
Тази защита започва незабавно да се разпадне. SanDisk и M-Systems видяха поведението на CD AutoRun и го пожелаха за собствените си USB флаш памети, затова създадоха U3 флаш дискове. Тези флаш устройства са емулирани с CD устройство, когато ги свързвате с компютър, така че системата на Windows XP автоматично ще стартира програми върху тях, когато са свързани.
Разбира се, дори компактдисковете не са безопасни. Атакуващите могат лесно да запишат CD или DVD устройство или да използват презаписващо устройство. Идеята, че компактдисковете по някакъв начин са по-безопасни от USB устройствата, е неправилна.
През 2005 г. Sony BMG започна да доставя руткитове на Windows на милиони аудио компактдискове. Когато вкарахте аудио компактдиска в компютъра си, Windows щеше да прочете файла autorun.inf и автоматично да стартира инсталатора на rootkit, който сигурно заразява компютъра във фонов режим. Целта на това е да се предотврати копирането на музикалния диск или извличането му от компютъра. Тъй като тези функции обикновено са поддържани, rootkit трябва да подкопае цялата ви операционна система, за да ги потисне.
Това беше възможно благодарение на AutoRun. Някои хора препоръчаха задържането на Shift при всяко поставяне на аудио компактдиск в компютъра ви и други открито се чудеха дали задържането на Shift за подтискане на rootkit от инсталирането ще се счита за нарушение на забранителните забрани срещу заобикаляне на DMCA срещу заобикалянето на защитата срещу копиране.
Други са описали дългата, съжаляваща история. Нека просто кажем, че rootkit е нестабилен, зловреден софтуер се възползва от rootkit, за да зарази по-лесно Windows системите, а Sony получи огромно и заслужено черно око на публичната арена.
Conficker е особено зловещ червей за пръв път открит през 2008 година. Наред с други неща, той заразява свързани USB устройства и създава файлове autorun.inf върху тях, които автоматично ще пускат злонамерен софтуер, когато са свързани към друг компютър. Като антивирусна компания ESET написа:
"USB драйверите и другите подвижни носители, с които можете да се свързвате с компютъра, са достъпни от функционалността Автоматично / Автоматично качване всеки път (по подразбиране), са най-често използваните вирусни носители в наши дни."
Conficker е най-добре познат, но не е единственият злонамерен софтуер, който злоупотребява с опасната функционалност на AutoRun. AutoRun като функция е практически подарък за авторите на злонамерен софтуер.
В крайна сметка Microsoft препоръчва на потребителите на Windows да деактивират функцията AutoRun. Windows Vista направи някои добри промени, които всички Windows 7, 8 и 8,1 наследиха.
Вместо автоматично стартиране на програми от компактдискове, DVD дискове и USB устройства, маскирани като дискове, Windows просто показва диалоговия прозорец за автоматично изпълнение за тези устройства. Ако свързаният диск или устройство има програма, ще го видите като опция в списъка. Windows Vista и по-новите версии на Windows няма да стартират автоматично програми без да ви питат - трябва да кликнете върху опцията "Run [program] .exe" в диалоговия прозорец "Автоматично изпълнение", за да стартирате програмата и да се заразите.
Но все пак е възможно зловредният софтуер да се разпространява чрез AutoPlay. Ако свържете злонамерено USB устройство към компютъра си, все още сте само с едно кликване, за да стартирате зловреден софтуер чрез диалоговия прозорец "Автоматично изпълнение" - поне с настройките по подразбиране. Други функции за защита, като UAC и антивирусната ви програма, могат да ви помогнат да защитите ви, но все пак трябва да сте бдителни.
И, за съжаление, сега имаме още по-плашеща заплаха за сигурността от USB устройства, за да бъдете наясно.
Ако искате, можете да деактивирате изцяло функцията "Автоматично изпълнение" - или само за определени типове устройства - така че няма да получите изскачащ прозорец на AutoPlay, когато поставите сменяеми носители в компютъра си. Тези опции ще намерите в контролния панел. Извършете търсене на "автоматично показване" в полето за търсене на контролния панел, за да ги намерите.
Image Credit: aussiegal на Flickr, m01229 на Flickr, Lordcolus на Flickr