مترجم: حمید وثیق زاده
منبع: راسخون




 

اگر شما هم به مانند من از کاربران قدیمی سیستم عامل ویندوز باشید حتماٌ به یاد دارید که سالها پیش مخصوصاٌ زمانی که بیشتر افراد از ویندوزXP استفاده می‌کردند بحث بدافزارهای اتوران داغ بود. اگر چه امروزه هم این نوع بدافزارها دیده میشود اما دیگر به مانند قدیم خیلی دست و پاگیر نیستند. اجازه دهید از ابتدای پیدایش این نوع بدافزارها در سیستم عامل ویندوز به بررسی بپردازیم پس اگر علاقه مند هستید ادامه‌ی این مقاله را از دست ندهید.
سالها پیش طی سیاستها و تصمیمات مدیریتی نادرست در طراحی، ویژگی اتوران به عنوان یک مسئله‌ی امنیتی بزرگ در بستر سیستم عامل ویندوز تبدیل شد. اتوران به شکل جالب به نرم افزارهای مخرب اجازه میداد تا به محض قرار دادن دیکسها درون کامپیوتر و یا اتصال فلش دیسکها اجرا شوند. البته این رخنه فقط توسط طراحان بدافزار شناسایی نشد. بلکه به شکل ماهرانه‌ای توسط Sony BMG مورد استفاده قرار گرفت تا بتواند یک روت کیت را در سی دی‌های موزیک پنهان کند. و به دنبال آن نیز ویندوز به صورت خودکار آن روت کیت را زمانی که سی دی مخرب درون درایو کامپیوتر خود قرار می‌دادید به طور پنهان اجرا و نصب می‌کرد.

اساس پیدایش اتوران:

ویژگی اتوران ابتدا در ویندوز 95 توسط مایکروسافت معرفی شد. به این صورت که زمانی که شما یک دیسک نرم افزاری را وارد درایو کامپیوتر خود می‌کردید ویندوز به صورت خودکار دیسک را خوانده و اگر یک فایل autorun.inf تحت ریشه این دیسک پیدا می‌شد ستاپ اصلی مشخص شده در درون این فایل به صورت خودکار به حالت اجرا در می‌آمد. در واقع به خاطر وجود چنین فایلی در دیسکهای نرم افزاری یا بازی‌های کامپیوتری است که زمانی که وارد درایو کامپیوتر می‌شوند به صورت خودجوش اجرا می‌شوند. در حقیقت علت طراحی ویژگی اتوران به این منظور بود که کار کاربران آسان شده و از سردرگمی‌های موجود در کاوش فایلها جلوگیری به عمل آید. یعنی اگر این ویژگی وجود نداشت کاربران مجبور بودند تا پنجره‌ی مرورگر فایل را باز کنند دیسک مورد را را باز کرده و سپس فایل ستاپ اصلی را به صورت دستی اجرا کنند.
این ویژگی برای یک مدتی سودمند بود و هیچ مشکل خاصی را ایجاد نکرد. اما این امتیاز برای کاربران خانگی فراهم نبود تا بتوانند تولیدات خود را با قابلیت اتوران همراه کنند. این قابلیت فقط مختص دیسکهای تجاری‌ای بود که توسط شرکتهای معتبر طراحی می‌شدند که البته خود محتویات آنها هم قابل اطمینان بود.
این قابلیت برای فلاپی دیسکها در ویندوز 95 فعال نبود. چرا که این نوع دیسکها در دسترس عموم قرار داشتند و هر کسی می‌توانست هر چیزی که بخواهد در درون آنها قرار دهد. که در این صورت اگر فایل مخربی در داخل فلاپی دیسکها قرار داده می‌شد و قابلیت اتوران هم تحت این دیسکها فعال بود فاجعه‌ای به مراتب بزرگتر را رقم می‌زد.

ویژگی اتوپلی در ویندوزXP:

شرکت مایکروسافت طی اقدامی این ویژگی را در ویندوز جدید خود یعنی XP تحت قابلیت AutoPlay بهبود بخشید. در این ویندوز به محض اینکه یک سی دی، فلش دیسک و یا هر نوع دستگاه قابل حمل دیگری را متصل می‌کردید به جای اجرای خودکار فایل اجرایی آن، نوع محتویات موجود درآن رسانه را بررسی می‌کرد و متناسب با نوع محتویات عملیاتی را به شما پیشنهاد می‌داد. به عنوان مثال زمانی که شما یک SD Card که شامل تصاویر مختلف گرفته شده از یک دوربین دیجیتال بود را وارد سیستم خود می‌کردید به شما مثلاٌ پیشنهاد یک برنامه مربوط به تصویر برای باز کردن تصاویر موجود در رسانه را می‌داد. یا به عنوان مثالی دیگر در صورتی که یک رسانه دارای یک فایل autorun.inf بود از شما درخواست می‌کرد تا این فایل را اجرا کند یا خیر.
به هر حال مایکروسافت طی سالها هنوز این سیاست را در ویندوزهای متعدد خود حفظ کرده است. در مورد فلش دیسکها هم در صورتی که دارای فایلهای autorun.inf باشند به صورت خودکار اجرا نمی‌شوند و ابتدا با پنجره‌ای از شما درخواست می‌کند تا اجازه‌ی اجرای چنین فایلهای را بدهید.
البته شما می‌توانید چنین رفتارهایی را غیرفعال کنید. تنظیمات مربوط به این ویژگی‌ها تحت محیطهایی مانند رجیستری و group policy قالب تغییر هستند. البته ناگفته نماند شما همچنین می‌توانستید در زمان قرار دادن دیسک در درایو سیستم خود کلید شیفت را نگه داشته تا از ویژگی اتوران جلوگیری به عمل آورید.
برخی فلش دیسکها می‌توانند ویژگی اتوران را نیز شبیه سازی کنند:
این محافظتها به یکباره در هم شکسته شد. به عنوان مثال وقتی شرکت‌های سازنده فلش دیسکها به عنوان مثال SanDisk و M-Systems به این قابلیت پی بردند آنها نیز از این قابلیت در فلش دیسک‌های خود استفاده کردند بنابراین به دنبال این سیاست تصمیم به ایجاد فلش دیسکهای U3 گرفتند. این نوع فلش دیسکها زمانی که به سیستم متصل می‌شدند به مانند یک CD Drive عمل می‌کردند. بنابراین زمانی که به سیستم متصل می‌شدند ویندوزXP به صورت خودکار برنامه‌های موجود درآنها را اجرا می‌کردند. بنابراین عملاٌ میزان امنیت دیسکها و فلش دیسکها یکسان شد.

فاجعه‌ای دیگر اینبار در The Sony BGM Rootkit Fiasco:

سال 2005 بود که شرکت Sony BMG فرایند انتشار روت کیتهای مختلف را تحت میلیونها سی دی صوتی آغاز کرد. به این صورت که زمانی که شما یکی از این سی دی‌ها را وارد درایو سیستم خود می‌کردید به صورت خودکار فایل autorun.inf اجرا می‌شد و روت کیت موجود را از طریق نصاب ،نصب می‌کرد.که در حقیقت به صورت مخفیانه این روت کیتها در پس زمینه‌ی سیستم شما جا خشک کرده و عملیات خرابکارانه‌ی خود را انجام می‌دادند. هدف اصلی این بود که از کپی دیسک موزیک و یا انتقال فایلهای تکی آن به دیسک سخت کامپیوتر شما جلوگیری شود. در حقیقت چون آنها به صورت ذاتی فرایندهای پشتیبانی هستند، روت کیت مورد نظر میبایست کل سیستم عامل شما را برای خنثی کردن آنها به هم بریزد.
تمامی این رخدادها به کمک وجود ویژگی اتوران بود. برخی کاربران توصیه می‌کردند تا در هنگام قرار دادن این سی دی‌های صوتی کلید شیفت را پایین نگه دارید و برخی دیگر نیز چنین عقیده‌ای نداشتند.

فاجعه‌ی دوم اینبار مربوط به کرم Conficker:

Conficker نوعی کرم مخرب بود که ابتدا در سال 2008 میلادی شناسایی شد. روش کار این بدافزار این بود که فایلهای خود ساخته‌ی اتوران را وارد فلش دیسکها می‌کرد تا زمانی که به کامیپوتر دیگری وصل شوند آنها را نیز آلوده کنند. این کرم مخرب در میان کاربران به خوبی شناخته شد اما باید بدانید که این کرم تنها قطعه‌ی مخربی نبود که به واسطه‌ی ویژگی اتوران کاری را انجام می‌داد. به طور کلی می‌توانیم بگوییم که اتوران با وجود اینکه راحتی‌هایی را برای کاربران فراهم کرد اما از آن طرف هم یک پیشکش به طراحان بدافزار بود.
غیرفعال شدن ویژگی اتوران در ویندوز ویستا به صورت پیشفرض، اما:
با توجه به سوء استفاده‌هایی که از قابلیت اتوران شد مایکروسافت در نهایت مجبور شد که به کاربران اعلام کند تا این ویژگی را غیرفعال کنند. از ویندوز ویستا تغییرات و سیاست‌های خوبی در این زمینه حتی برای ویندوزهای بعدی شرکت مایکروسافت یعنی 7،8،8.1 نیز به ارث رسید.
در این ویندوزها به جای اجرای خودکار فایلهای ستاپ دار در انواع مختلف رسانه‌های اتصال، یک پنجره باز می شود تا کاربر با توجه به اختیار خود یکی از این گزینه‌ها را انتخاب کند. حتی اگر این رسانه‌های متصل یک فایل اجرایی داشته باشند نیز گزینه‌ای در این پنجره‌ی نمایان شده برای عملیات مرتبط قرار می‌گیرد. به طور کلی از ویندوز ویستا به بعد برنامه‌ها بدون اجازه‌ی شما اجرا نخواند شد و در عوض با نمایان شدن کادری از شما ابتدا درخواست اجازه می‌کند.
با وجود این قابلیت حتی ممکن است هنوز نیز نرم افزار‌های مخرب از طریق این کادر یا پنجره‌ی Autoplay نیز در سطح سیستم عامل شما منتشر شوند. یعنی اگر شما یک فلش دیسک که حامل نرم افزار مخرب باشد را به سیستم خود متصل کنید با وجود کادر AutoPlay تنها یک کلیک تا آلوده شدن سیستمتان فاصله دارید. البته دیگر ویژگی امنیتی‌ای نیز به مانند UAC و یا آنتی ویروس داخلی نیز معرفی شده، اما با این وجود باز هم باید همیشه مراقب باشید.
البته اگر دوست داشته باشید هم شما می‌توانید این ویژگی را در ویندوزهای جدید برای رسانه‌های خاصی غیرفعال کنید. در این صورت دیگر هیچ کادر بازشوی دیگری به هنگام اتصال رسانه باز نخواهد شد تا حتی احیاناٌ سهواٌ نیز بر روی گزینه‌های آن کلیک نکنید. برای این منظور می‌توانید به کنترل پنل خود مراجعه کرده و ویژگی اتوپلی را با جست‌وجوی کلمه‌ی autoplay در کادر جست وجوی موجود در کنترل پنل بیابید و تنظیمات مورد نظر خود را از این طریق اعمال کنید.