La disattivazione automatica è sufficiente per proteggere dal codice dannoso da supporti rimovibili che infettano automaticamente una macchina?

8

Se blocco l'esecuzione automatica su un computer Windows, è sufficiente per proteggerlo dal codice dannoso (supponendo che non eseguo manualmente alcun file)?

O ci sono vulnerabilità note che possono causare l'infezione?

    
posta Ophir Yoktan 17.03.2011 - 22:36
fonte

5 risposte

13

Esistono diversi metodi noti che un dispositivo USB dannoso può compromettere il tuo computer:

  • Autorun. Il dispositivo USB può contenere software che Windows verrà eseguito automaticamente quando si collega il dispositivo USB, se è abilitata l'esecuzione automatica.

  • Emulazione dispositivo di input. Come dice @TobyS, il dongle USB dannoso potrebbe sembrare fisicamente come un piccolo dispositivo di archiviazione flash (un dongle), ma può comunque presentarsi al computer come una tastiera o un mouse o somesuch. Quindi il dispositivo USB dannoso potrebbe iniziare a inserire tratti di chiave dannosi che sovvertono il tuo computer.

  • Sfruttare una vulnerabilità. Il dispositivo USB può contenere dati o file che sfruttano vulnerabilità nel codice che viene eseguito sul tuo computer. Come menziona @Jeff, questo potrebbe includere sfruttare le vulnerabilità nel codice che mostra le icone dei file nel tuo file manager o sfruttare le vulnerabilità del software antivirus durante la scansione dell'unità. Potrebbe anche includere lo sfruttamento di vulnerabilità nel codice del filesystem del sistema operativo (ho già visto bug in quel codice, che potrebbero essere sfruttati da un'immagine del filesystem malevolo) o una serie di altre varianti. Anche se attualmente non conosco alcuna vulnerabilità zero-day senza una soluzione nota nell'ultimo sistema operativo Windows, c'è un sacco di codice che viene eseguito per gestire i dati da un dispositivo USB e si dovrebbe presumere che ci siano probabilmente più vulnerabilità in agguato, in attesa di essere trovato.

  • Social engineering. Il dispositivo USB può contenere file che, quando fai doppio clic su di essi, lanciano malware. I nomi e le icone dei file potrebbero essere disposti in modo da sembrare allettanti, per invogliare gli utenti a fare clic su di essi. Questo è stato sfruttato in precedenza ed è molto difficile da prevenire.

Bottom line: disabilitare l'autorun è un buon inizio e blocca la forma più semplice di attacco. Per un'azienda che non ha esigenze di sicurezza particolarmente elevate, probabilmente è "abbastanza buono". (È abbastanza buono per me nel mio personal computing personale.) Ma non pensare che sia abbastanza per essere completamente al sicuro; autorun blocca solo il primo degli attacchi menzionati sopra, e altri attacchi rimangono possibili, come abbozzato sopra. A causa di questi rischi, l'esercito bandisce completamente tutte le USB unità .

    
risposta data 18.03.2011 - 17:18
fonte
7

Potrebbe essere possibile che un dispositivo USB imiti un dispositivo di input come un mouse o una tastiera e interagisca con il sistema operativo senza alcuna interazione dell'utente. Tuttavia, non ho visto alcuna prova di concetto per questo, quindi con ogni probabilità disabilitazione autorun fornirà una protezione adeguata.

    
risposta data 18.03.2011 - 00:22
fonte
5

Possibili compromessi estremi includono lo sfruttamento del codice che visualizza le icone dei file in Explorer o una vulnerabilità nel software antivirus ...

Ma per quanto riguarda gli exploit realistici e conosciuti, disattivare l'autorun dovrebbe essere sufficiente.

    
risposta data 17.03.2011 - 22:55
fonte
5

Stuxnet diffuso tramite unità USB usando un attacco zero-day ( Windows sistemi a rischio di attacco Stuxnet - ZDNet ). Potrebbero esserci altri attacchi USB zero-day là fuori. Quindi, come sempre, direi che dipende esattamente da quale software stai usando e dal tuo modello di minaccia (vedi la nostra FAQ).

    
risposta data 18.03.2011 - 02:01
fonte
0

L'ingegneria sociale è il grande rischio per la maggior parte delle aziende. C'è stata una bella dimostrazione di ciò in cui un auditor di sicurezza è stato impiegato da un'azienda per testare i loro sistemi.

  • Ha portato un set di dispositivi USB, inclusi alcuni con il logo della società su di essi.
  • Inserisci i file su di essi che hanno installato scalda quando viene eseguito ecc.
  • Assegna un nome a questi file in modo che i dipendenti dell'azienda in cui è probabile che vengano eseguiti, ad es. "Riorganizzazione della cooperazione" o "avviso di profitto".
  • Elimina alcuni dispositivi USB nel parcheggio dell'azienda.

Inutile dire che ha funzionato!

    
risposta data 06.10.2015 - 12:33
fonte

Leggi altre domande sui tag