hit counter
Non sottovalutate mai la potenza (e i rischi) di…. AutoPlay - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Non sottovalutate mai la potenza (e i rischi) di…. AutoPlay

Non sottovalutate mai la potenza (e i rischi) di…. AutoPlay

  • Comments 3
  • Likes

Ho il piacere di presentarvi Dario Brambilla, che nel mio team di Security e Virtualization (codename PCfSV2) si occupa, tra le tante altre cose, di Active Directory Security ed Operating Systems Security. Lascio a lui la parola per parlarvi di Autoplay:

Cos’è l’Autoplay o Autorun? È quella una funzionalità software che risponde ad un azione hardware, quando viene collegato un media al computer o quando si accede ad una share di rete. L’Autoplay legge il contenuto del file autorun.inf  e ne esegue i comandi.

Questa comodissima funzionalità così innocua e nata per semplificare la user experience (utilizzata ad esempio da chi distribuisce il proprio software tramite CD per lanciare in automatico l’installazione del programma) nel tempo è diventato anche un ottimo mezzo per veicolare worm e virus.

Prendo in prestito questo grafico che indica la rapida crescita dei rilevamenti da parte dei prodotti antivirus di Microsoft della classe di infezioni che si diffondono via AUTORUN.

clip_image002

Un esempio su tutti: Conficker utilizza l’AUTORUN come possibile veicolo di infezione. Per chi non l’avesse sperimentata di persona, vi allego la schermata che si presenta all’utente.

clip_image001

Come potete vedere la forza dell’abitudine porta gli utenti a non fare caso alla differenza tra la prima e la seconda opzione.

Sempre l’abitudine ci porta a non leggere l’informazione davvero importante: Publisher not specified. Quindi con noncuranza apriamo le porte al nostro amico Conficker. [Scusate la digressione, ma il tema ahimè è ancora caldo]

Per cercare di ridurre questo problema la funzionalità di Autoplay è stata modificata nativamente in Windows 7, rimuovendo semplicemente dalle opzioni disponibili INSTALL or RUN PROGRAM dalle opzioni disponibili quando l’Autoplay viene “chiamato” da tutte le periferiche che non siano un CD o un DVD. L’uovo di colombo come dire, questo non risolve completamente il problema, ma senz’altro riduce il rischio che un utente “distratto" esegua inconsapevolmente un’azione rischiosa. Bello, fantastico, ma Windows7… insomma….

Tranquilli, la buona notizia è che questa funzionalità è disponibile anche per gli altri sistemi operativi; addirittura per WINDOWS 2000!!

Questo dovrebbe farci capire non solo quanto sia diffusa questa tecnica di infezione, ma anche quando Microsoft ritenga assolutamente da non sottovalutare questo problema.

Quindi se non l’avete ancora fatto correte a leggere questo articolo di Knowledge Base: 

How to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/)

Qui trovate l’ottimo post del Team di prodotto di Windows 7:

Improvements to AutoPlay (http://blogs.msdn.com/e7/archive/2009/04/27/improvements-to-autoplay.aspx)

Per i più temerari o smanettoni (state comunque sempre ben attenti e leggete bene prima di cimentarvi nella modifica delle chiavi del registro) le possibilità di configurazione sono molte più ricche:

Value

Meaning

0x1 or 0x80

Disables AutoRun on drives of unknown type

0x4

Disables AutoRun on removable drives

0x8

Disables AutoRun on fixed drives

0x10

Disables AutoRun on network drives

0x20

Disables AutoRun on CD-ROM drives

0x40

Disables AutoRun on RAM disks

0xFF

Disables AutoRun on all kinds of drives

A presto!

Dario Brambilla

All’interno della nostra divisione Dario è rinomato per tante qualità, che scoprirete anche voi man mano, ma c’è un aspetto in cui supera tutti senza ombra di dubbio: lui è il nostro Dogfood Hero, ossia lo smanettone che prima di ogni altro si lancia nella prova delle versioni beta dei nuovi prodotti in via di sviluppo. Spero quindi che Dario si appassioni bene al blogging e ci aiuti a darvi spunti interessanti su tutti i nuovi prodotti che lui direttamente prova in anteprima assoluta. Grazie Dario e benvenuto su questo blog!

Comments
  • PingBack from http://www.bnotizie.com/2009/06/19/non-sottovalutate-mai-la-potenza-e-i-rischi-di%e2%80%a6-autoplay/

  • Ottimo post! Vorrei soltanto segnalare che è stata dichiarato che nel rilascio definitivo di Windows 7, non solo saranno disattivate alcune opzioni, come avete scritto voi, ma addirittura verrà abbandonato proprio autorun...

  • Ciao Erriko, non appena sarà possibile parlarne in dettaglio non mancherò di ampliare la sezione riguardante Windows 7. Per adesso devi avere un pò di pazienza e..... naturalmente continuare a seguirci

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment