Se blocco l'esecuzione automatica su un computer Windows, è sufficiente per proteggerlo dal codice dannoso (supponendo che non eseguo manualmente alcun file)?
O ci sono vulnerabilità note che possono causare l'infezione?
Se blocco l'esecuzione automatica su un computer Windows, è sufficiente per proteggerlo dal codice dannoso (supponendo che non eseguo manualmente alcun file)?
O ci sono vulnerabilità note che possono causare l'infezione?
Esistono diversi metodi noti che un dispositivo USB dannoso può compromettere il tuo computer:
Autorun. Il dispositivo USB può contenere software che Windows verrà eseguito automaticamente quando si collega il dispositivo USB, se è abilitata l'esecuzione automatica.
Emulazione dispositivo di input. Come dice @TobyS, il dongle USB dannoso potrebbe sembrare fisicamente come un piccolo dispositivo di archiviazione flash (un dongle), ma può comunque presentarsi al computer come una tastiera o un mouse o somesuch. Quindi il dispositivo USB dannoso potrebbe iniziare a inserire tratti di chiave dannosi che sovvertono il tuo computer.
Sfruttare una vulnerabilità. Il dispositivo USB può contenere dati o file che sfruttano vulnerabilità nel codice che viene eseguito sul tuo computer. Come menziona @Jeff, questo potrebbe includere sfruttare le vulnerabilità nel codice che mostra le icone dei file nel tuo file manager o sfruttare le vulnerabilità del software antivirus durante la scansione dell'unità. Potrebbe anche includere lo sfruttamento di vulnerabilità nel codice del filesystem del sistema operativo (ho già visto bug in quel codice, che potrebbero essere sfruttati da un'immagine del filesystem malevolo) o una serie di altre varianti. Anche se attualmente non conosco alcuna vulnerabilità zero-day senza una soluzione nota nell'ultimo sistema operativo Windows, c'è un sacco di codice che viene eseguito per gestire i dati da un dispositivo USB e si dovrebbe presumere che ci siano probabilmente più vulnerabilità in agguato, in attesa di essere trovato.
Social engineering. Il dispositivo USB può contenere file che, quando fai doppio clic su di essi, lanciano malware. I nomi e le icone dei file potrebbero essere disposti in modo da sembrare allettanti, per invogliare gli utenti a fare clic su di essi. Questo è stato sfruttato in precedenza ed è molto difficile da prevenire.
Bottom line: disabilitare l'autorun è un buon inizio e blocca la forma più semplice di attacco. Per un'azienda che non ha esigenze di sicurezza particolarmente elevate, probabilmente è "abbastanza buono". (È abbastanza buono per me nel mio personal computing personale.) Ma non pensare che sia abbastanza per essere completamente al sicuro; autorun blocca solo il primo degli attacchi menzionati sopra, e altri attacchi rimangono possibili, come abbozzato sopra. A causa di questi rischi, l'esercito bandisce completamente tutte le USB unità .
Potrebbe essere possibile che un dispositivo USB imiti un dispositivo di input come un mouse o una tastiera e interagisca con il sistema operativo senza alcuna interazione dell'utente. Tuttavia, non ho visto alcuna prova di concetto per questo, quindi con ogni probabilità disabilitazione autorun fornirà una protezione adeguata.
Possibili compromessi estremi includono lo sfruttamento del codice che visualizza le icone dei file in Explorer o una vulnerabilità nel software antivirus ...
Ma per quanto riguarda gli exploit realistici e conosciuti, disattivare l'autorun dovrebbe essere sufficiente.
Stuxnet diffuso tramite unità USB usando un attacco zero-day ( Windows sistemi a rischio di attacco Stuxnet - ZDNet ). Potrebbero esserci altri attacchi USB zero-day là fuori. Quindi, come sempre, direi che dipende esattamente da quale software stai usando e dal tuo modello di minaccia (vedi la nostra FAQ).
L'ingegneria sociale è il grande rischio per la maggior parte delle aziende. C'è stata una bella dimostrazione di ciò in cui un auditor di sicurezza è stato impiegato da un'azienda per testare i loro sistemi.
Inutile dire che ha funzionato!