Autorun i Autoplay

Document Sample
Autorun i Autoplay Powered By Docstoc
					                                    Autorun i Autoplay
Nota important: Aquest document és una traducció de la pàgina web pública amb recomanacions sobre seguretat
informàtica del govern de Canadà del 27 de gener de 2009. Per tant quan hi ha una recomanació de com actuar s'entén
que és aquesta entitat (Canadian Cyber Incident Response Centre (CCIRC)) la que la fa.



Introducció
Aquest document tècnic defineix que és l'Autorun, n'identifica els riscos de seguretat i proposa estratègies per mitigar-
los.
Microsoft va crear autorun com a una capacitat per executar aplicacions automàticament al inserir un CD, DVD o
al connectar un dispositiu USB.
Aquesta capacitat suposa un risc de seguretat perquè permet als virus instal·lar-se amb molt poca interacció per part de
l'usuari. És per això que hi ha hagut un notable increment de les aplicacions perjudicials (malware) que fan servir aquest
mètode per instal·lar-se.



Autorun i Autoplay
Tot i que els termes Autorun i Autoplay son termes que s'intercanvien habitualment tenen diferents funcions[1]

Autorun
Microsoft va introduir l'autorun en el Windows 95. Es fa servir per engegar programes automàticament quan el
dispositiu que el conté es connecta a l'ordinador. Cal que el fitxer autorun.inf estigui e l'arrel del dispositiu per a que
funcioni.

Autoplay
Microsoft va introduir l'autoplay en el Windows XP. Aquesta funcionalitat permet triar a l'usuari, quin és el programa
que cal fer servir per cada dispositiu que es connecta. Per exemple: si hi ha més d'un visualitzador de fotos instal·lat a
l'ordinador, autoplay demanarà a l'usuari quin és el programa visualitzador que vol fer servir.
Autoplay és diferent d'autorun perquè quan es connecta un dispositiu amb autorun a l'ordinador, autoplay és qui
demana quina acció és la que cal dur a terme.

Autorun.inf
Autorun.inf és el fitxer d'instruccions per a la funcionalitat de l'autorun. Aquest arxiu de text conté instruccions pel
sistema operatiu com quin és el programa que cal executar, icones o quines comandes de menú contextual han d'estar
disponibles [2].
Quan el sistema detecta que hi ha un dispositiu extraible, busca el fitxer autorun.inf a la seva arrel i en segueix les
instruccions.



Tipus de dispositius extraibles
Memòria USB
Conegut com a llapis de memòria USB (universal serial bus) és el dispositiu més utilitzat per transferir dades entre
ordinadors.
Dispositius U3
Els dispositius U3 o "smart drives", son memòries USB amb aplicacions instal·lades i preparades per executar-se. Tenen
un menú semblant al menú “Inici” del Windows que s'engega al connectar el dispositiu. Des d'aquest menú es poden
executar aplicacions directament des del dispositiu U3 sense haver-les d'instal·lar i sense deixar-ne cap traça ni dada en
l'equip. Els dispositius U3 no necessiten drets d'administració per executar els programes que contenen i la majoria
porten incorporades mesures d'auto-protecció contra els virus.
El que també els distingeix els dispositius U3 és que contenen dues particions. Una és només de lectura i es comporta
com un CD-ROM on hi ha el fitxer autorun.inf. L'altre és com una memòria USB convencional. Quan es connecta a
l'ordinador es mostra el contingut de les dues particions.



CDs i DVDs
CDs i DVDs son dispositius on s'emmagatzema diferents tipus d'arxius.



Discs durs externs
Son discs durs connectats pel port USB. Es comporten com una memòria USB i n'hi ha que venen amb el fitxer
autorun.inf preinstal·lat.



Reproductors MP3
Els dispositius MP3 permeten emmagatzemar i reproduir arxius de música i acostumen a venir amb el fitxer autorun.inf
preinstal·lat.



Riscos de l'autorun
L'autorun és una funcionalitat molt llaminera pels creadors de programes maliciosos perquè amb molt poca interacció
per part de l'usuari permet infectar ordinadors. A través del fitxer autorun.inf es pot executar un programa de virus i
després esborrar-lo del dispositiu, si cal; també és possible canviar les icones dels fitxers per evitar-ne la detecció o
canviar el menú contextual del dispositiu per enganyar a l'usuari.
Per exemple, quan es connecta una memòria USB infectada a un ordinador que està connectat a una xarxa corporativa,
pot infectar a aquest equip i després revisar tots els dispositius als que es te accés (disc dur, carpetes compartides
d'altres ordinadors, carpetes ubicades en servidors corporatius, altres dispositius USB . . .) des d'aquest ordinador
infectat. Pot deixar còpies del virus a tots aquests dispositius i per tant infectar la xarxa corporativa en menys d'un
segon, normalment sense coneixement de l'usuari.
Un cop el sistema està infectat hi ha diferent accions que el codi maliciós pot dur a terme depenent del propòsit pel que
hagi estat escrit. Per exemple pot connectar-se a una adreça predefinida d'Internet per baixar-se més instruccions per
executar o per instal·lar un rootkit (el rootkit permet control total sobre l'ordinador). Aquest Rootkit pot instal·lar un
capturador de pulsacions de teclat i ratolí (key logger) per obtenir credencials (usuaris i contrasenyes) de comptes,
números de compte bancari . . . i altre informació sensible.



Solucions per deshabilitar l'autorun
Hi ha diferents maneres d'evitar que s'executi el fitxer autorun.inf. Algunes son més efectives que les altres i cal tenir en
compte els seus avantatges i desavantatges. El CCIRC (Canadian Cyber Incident Response Centre) les ha provat totes i
només recomana la primera.
Tot i que les solucions proposades funcionen i aconsegueixen que no s'executi el fitxer autorun.inf automàticament, no
es pot evitar que l'usuari acabi fent clic (manualment) sobre els fitxers executables. Es recomana, per tant que hi hagi
altres mesures de seguretat activades com tenir l'antivíric actualitzat i un tallafocs amb amb regles restrictives.
Com que hi ha mesures que comporten modificar claus de registre es recomana fer-ne una còpia abans de qualsevol
canvi.
Taula 1: Solucions i Recomanacions

Solucions                        Avantatges                         Desavantatges                     Recomanada
Sys:DoesNotExist                      •    efectiva                    •   no suggerida per           Sí
                                                                           Microsoft
                                      •    és fàcil de canviar la
                                           clau de registre i
                                           aplicar-la com a
                                           política de grup

                                      •    no permet l'execució
                                           de cap part de
                                           l'autorun.inf tot i
                                           que el dispositiu ja
                                           hagi estat connectat
                                           abans
KB950582                              •    efectiva                    •   cal aplicar l'actualització No
                                                                           abans de que es pugui
                                      •    és fàcil de canviar la          canviar la clau de
                                           clau de registre i              registre
                                           aplicar-la com a
                                           política de grup            •   tot i haver fet el canvi
                                                                           encara hi ha parts de
                                                                           l'autorun.inf que
                                                                           s'executen
MountPoint2                           •    efectiva                    •   no es pot assegurar quins No
                                                                           efectes secundaris te
                                      •    és fàcil de canviar la          sobre el sistema operatiu
                                           clau de registre i
                                           aplicar-la com a
                                           política de grup
NoDriveTypeAutorun                    •    és fàcil de canviar la      •   si l'ordinador ha tingut No
                                           clau de registre i              connectat el dispositiu
                                           aplicar-la com a                anteriorment al canvi,
                                           política de grup                MountPoint2 sobreescriu
                                                                           i executa el fitxer
                                                                           autorun.inf
Shift Key                             •    és fàcil de dur a           •   cal que l'usuari s'en   No
                                           terme                           recordi del procediment
                                                                           cada cop que el
                                                                           dispositiu es connecti




Clau de registre: SYS:DoesNotExist
Per bloquejar tots els fitxers autorun.inf canvia les claus de registre seguint les següent passes:
              a. Engega el “bloc de notes”
              b. Copia el següent text i enganxa'l en el bloc de notes. Tot esl que està entre claudàtors ha d'estar en una
                  sola línia
              c. REGEDIT4
                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
                  NT\CurrentVersion\IniFileMapping\Autorun.inf]
                  @="@SYS:DoesNotExist"
Guarda l'arxiu amb el nom NoAutoRun.reg.
Executa amb doble clic l'arxiu NoAutoRun.reg.
              a. Reinicia l'ordinador.
Fent aquest canvis ja no s'executarà cap fitxer autorun.inf de cap dispositiu sense causar cap més efecte secundari a
l'ordinador[5]. El CCIRC recomana aquest procediment, sobretot en ordinadors connectats a xarxes corporatives.
Cal remarcar que el CERT CC ha actualitzat la seva recomanació de deshabilitar l'autorun incloent l'esborrat de les
claus de registre del MountPoint2 a més d'afegir la clau SYS:DoesNotExist[6]. Aquesta recomanació és deguda a que
han trobat que tot i haver afegit la clau SYS:DoesNotExist, pot quedar guardada alguna informació a la clau
Mountpoint2 que sobreescriuria l'anterior clau i engegaria el fitxer autorun.inf. A través d'extenses proves el CCIRC no
ha pogut reproduir aquest resultat. És per això que el CCIRC encara recomana només afegit la clau SYS:DoesNotExist.
El CCIRC en aquests moments no recomana esborrar les claus de registre del MountPoint2 per la falta d'informació
disponible sobre elles.



Pegat de sistema: KB953252
Al setembre de 2008 Microsoft va publicar un document anomenat "How to correct 'disable Autorun registry key'
enforcement in Windows" [7]--> "Com corregir l'execució en Windows 'deshabilitar la clau de registre d'autorun'".
Aquest document era per donar resposta al document tècnic 91525 que no deshabilitava correctament l'autorun.
Microsoft recomana aquest sistema per deshabilitat l'autorun. Primer cal actualitzar el sistema operatiu i després seguir
les següents passes:


              a. Fes clic a "Inici","Executa" i escriu "Gpedit.msc".
              b. Navega fins a "Computer Configuration/Administrative Templates/System"
              c. Canvia les propietats del "Turn off Autoplay" per activar-les

              d. Selecciona "All drives"
              e. Re-engega l'ordinador.
Si us plau accedeix a l'enllaç del proveïdor per més detalls i l'explicació completa del procediment.
Tot i que la solució és efectiva, el CCIRC no la recomana com a una solució segura perquè a fent diferents proves ha
trobat que hi ha algunes parts de l'autorun.inf que s'executen, com canviar la icona de la carpeta.



Clau de registre: MountPoint2
Quan un ordinador detecta que se li connecta un dispositiu, l'escaneja cercant el fitxer autorun.inf; llavors s'escriuen els
valors a la clau de registre MountPoint2. Aquesta clau guarda informació de cada dispositiu que s'hagi connectat algun
cop a l'ordinador.
Canviant els permisos a la clau de registre del MountPoint2 s'evitarà l'execució de l'autorun.inf, encara que l'ordinador
hagi "vist" el dispositiu abans. Per canviar els permisos a la clau de registre del MountPoint2 cal seguir les següents
passes:
              a. Fes clic a "Inici","Executa" i escriu "regedit" per editar el registre
              b. Navega fins la clau HKEY_CURRENT_USER\Software\Microsoft\
                  Windows\CurrentVersion\Explorer\MountPoints2.
              c. Fes clic amb el botó dret sobre "mountpoints2" i selecciona "permission".
              d. Fes clic a "Advance" i des-selecciona "inherit from parent the permission entries that apply to child
                  objects. Include these with entries explicitly defined here".
              e. Fes clic a "remove"," Yes" i "ok".
Tot i reconèixer que aquesta solució és efectiva, el CCIRC no la recomana perquè la informació disponible referent a
les funcions que fan les claus de registre del MountPoint2 és molt limitada i no es coneixen els efectes secundaris que
puguin tenir sobre el sistema operatiu.
Clau de registre: NoDriveTypeAutoRun
Per dehabilitar la funcionalitat d'autorun en tots els dispositius que es connectin, Microsoft recomana que es modifiqui
la següent clau de registre i es canviin els valors per 0xFF[8].
HK_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\
Explorer\NoDriveTypeAutoRun.
Canviant aquesta clau de registre s'evita que s'executi qualsevol fitxer autorun.inf situat a qualsevol dispositiu. De tota
manera, si l'ordinador ha "vist" el dispositiu abans del canvi d'aquesta clau de registre, tota la informació del dispositiu
està guardada a la clau de registre del MountPoint2. Quan es connecta el dispositiu després d'haver fet el canvi en
aquesta clau de registre, els valors de la clau del MountPoint2 sobreescriuen els valors de l'altre clau i s'executa el fitxer
autorun.inf.
El CCIRC no recomana aquesta solució. Ha fet proves amb sistemes operatius que no havien "vist" mai abans un
dispositiu i ha trobat que hi ha algunes parts de l'autorun.inf que s'executen. Tot i reconèixer que canviar la clau de
registre NoDriveTypeAutorun evita que s'executin aplicacions malicioses, el fitxer autorun.inf del dispositiu encara
executa el menú contextual i canvia la icona del disc.



Tecla: Shift
La manera més simple d'evitar que s'executi el fitxer autorun.inf és pitjar la tecla shift mentre en connecta el dispositiu.
El desavantatge d'aquest sistema és que els usuaris acostumen a descuidar-se de seguir aquest procediment cada vegada
que connecten un dispositiu.
El CCIRC no recomana aquesta solució perquè depén totalment en que l'usuari s'en recordi d'aplicar-la.

Proves
S'han dut a termes proves extenses fent servir dispositius U3 en Windows XP. El disc E era la partició "CD-ROM" del
dispositiu i la partició F era la memòria USB estàndard. S'ha configurat el fitxer autorun.inf per a que s'executi afegint
entrades en el menú contextual i canvii la icona de la carpeta. Les taules 2 i 3 mostren un resum dels resultats obtinguts.


Taula 2: Resultats per un dispositiu U3 que no havia estat connectat anteriorment a l'ordinador (l'ordinador no l'havia
"vist" abans)

Recomanacions                      L'executable que                El menú          El menú                 La icona del
                                   especificava l'Autorun.inf      d'Autoplay es va contextual es va        disc es va
                                   es va executar                  executar         modificar               modificar

Sys:DoesNotExist                   No                              No                   No                  No
KB953252                           No                              No                   No                  Ambdues es van
                                                                                                            modificar

MountPoint2                        No                              Sí                   No                  Ambdues es van
                                                                                                            modificar
NoDriveTypeAutoRun                 No                              No                   En ambdues es va Ambdues es van
                                                                                        modificar        modificar
Shift Key                          No                              No                   En ambdues es va Ambdues es van
                                                                                        modificar        modificar


Taula 3: Resultats per un dispositiu U3 que havia estat connectat anteriorment a l'ordinador (l'ordinador ja l'havia "vist"
abans)

Recomanacions                      L'executable que                El menú          El menú                 La icona del
                                   especificava l'Autorun.inf      d'Autoplay es va contextual es va        disc es va
                                   es va executar                  executar         modificar               modificar
Sys:DoesNotExist                   No                              No                   No                  No
KB953252                                          No                                    No                        No              Ambdues es van
                                                                                                                                  modificar
MountPoint2                                       No                                    Sí                        No              Ambdues es van
                                                                                                                                  modificar
NoDriveTypeAutoRun                                No                                    No                        Només pel disc F Ambdues es van
                                                                                                                                   modificar
Shift Key                                         Sí                                    Sí                        En ambdues es va Ambdues es van
                                                                                                                  modificar        modificar
[1] http://windowshelp.microsoft.com/Windows/en-us/help/a19ac945-1007-4638-9615-e2c3bfd92b751033.mspx
[2] Es poden trobar exemples de les comandes en el següent enllaç. http://autorun.moonvalley.com/autoruninf.htm
[3] http://en.wikipedia.org/wiki/2005_Sony_BMG_CD_copy_prevention_scandal
[4] http://isc.sans.org/diary.html?storyid=3787
[5] http://www.windowssecrets.com/2007/11/08/02-One-quick-trick-prevents-Autorun-attacks
[6] http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
[7] http://support.microsoft.com/kb/953252
[8] http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/91525.mspx?mfr=true



Nota pels lectors
La "Canadian Cyber Incident Response Centre (CCIRC)" es dedica a analitzar i proporcionar resposta (pel Canadà)
sobre avisos de vulnerabilitats informàtiques. El CCIRC és responsable d'assegurar la resistència de les infraestructures
nacionals vigilant-ne les febleses i coordinant la resposta de seguretat informàtica pels incidents rellevants a nivell
federal.