Non sottovalutate mai la potenza (e i rischi) di…. AutoPlay

Ho il piacere di presentarvi Dario Brambilla, che nel mio team di Security e Virtualization (codename PCfSV2) si occupa, tra le tante altre cose, di Active Directory Security ed Operating Systems Security. Lascio a lui la parola per parlarvi di Autoplay:

Cos’è l’Autoplay o Autorun? È quella una funzionalità software che risponde ad un azione hardware, quando viene collegato un media al computer o quando si accede ad una share di rete. L’Autoplay legge il contenuto del file autorun.inf  e ne esegue i comandi.

Questa comodissima funzionalità così innocua e nata per semplificare la user experience (utilizzata ad esempio da chi distribuisce il proprio software tramite CD per lanciare in automatico l’installazione del programma) nel tempo è diventato anche un ottimo mezzo per veicolare worm e virus.

Prendo in prestito questo grafico che indica la rapida crescita dei rilevamenti da parte dei prodotti antivirus di Microsoft della classe di infezioni che si diffondono via AUTORUN.

Un esempio su tutti: Conficker utilizza l’AUTORUN come possibile veicolo di infezione. Per chi non l’avesse sperimentata di persona, vi allego la schermata che si presenta all’utente.

Come potete vedere la forza dell’abitudine porta gli utenti a non fare caso alla differenza tra la prima e la seconda opzione.

Sempre l’abitudine ci porta a non leggere l’informazione davvero importante: Publisher not specified. Quindi con noncuranza apriamo le porte al nostro amico Conficker. [Scusate la digressione, ma il tema ahimè è ancora caldo]

Per cercare di ridurre questo problema la funzionalità di Autoplay è stata modificata nativamente in Windows 7, rimuovendo semplicemente dalle opzioni disponibili INSTALL or RUN PROGRAM dalle opzioni disponibili quando l’Autoplay viene “chiamato” da tutte le periferiche che non siano un CD o un DVD. L’uovo di colombo come dire, questo non risolve completamente il problema, ma senz’altro riduce il rischio che un utente “distratto" esegua inconsapevolmente un’azione rischiosa. Bello, fantastico, ma Windows7… insomma….

Tranquilli, la buona notizia è che questa funzionalità è disponibile anche per gli altri sistemi operativi; addirittura per WINDOWS 2000!!

Questo dovrebbe farci capire non solo quanto sia diffusa questa tecnica di infezione, ma anche quando Microsoft ritenga assolutamente da non sottovalutare questo problema.

Quindi se non l’avete ancora fatto correte a leggere questo articolo di Knowledge Base: 

How to disable the Autorun functionality in Windows (http://support.microsoft.com/kb/967715/)

Qui trovate l’ottimo post del Team di prodotto di Windows 7:

Improvements to AutoPlay (http://blogs.msdn.com/e7/archive/2009/04/27/improvements-to-autoplay.aspx)

Per i più temerari o smanettoni (state comunque sempre ben attenti e leggete bene prima di cimentarvi nella modifica delle chiavi del registro) le possibilità di configurazione sono molte più ricche:

A presto!

Dario Brambilla

All’interno della nostra divisione Dario è rinomato per tante qualità, che scoprirete anche voi man mano, ma c’è un aspetto in cui supera tutti senza ombra di dubbio: lui è il nostro Dogfood Hero, ossia lo smanettone che prima di ogni altro si lancia nella prova delle versioni beta dei nuovi prodotti in via di sviluppo. Spero quindi che Dario si appassioni bene al blogging e ci aiuti a darvi spunti interessanti su tutti i nuovi prodotti che lui direttamente prova in anteprima assoluta. Grazie Dario e benvenuto su questo blog!

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS