Bilişim Güvenliği

usb-disklerde-autorun-ile-gelen-tehlike

USB flash diskler yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile cüzdan, cep telefonu ve anahtarlarımızdan sonra yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdan oldular. Hemen hemen her sistemde çalıştırılabiliyor olmaları nedeniyle de  bilgisayarlar arası veri alışverişimizi USB diskler yardımıyla yapar olduk.

Hal böyle olunca eğer çok titiz değilsek, usb disklerimizi onlarca farklı bilgisayarda kulanıyor, yine bilgisayarımıza onlarca farklı diskin takılmasına izin veriyoruz. Aslında USB diskleri tehlikeli kılan da bu çok da denetimli olmayan taşınabilirlikleri. Taşınabilir medya üzerinden bilgisayara giren zararlı yazılımlar başta bilgi sızdırma, uzaktan komut koşturma ve servis dışı bırakma (DoS) olmak üzere birçok güvenlik zaafiyetine neden olabilmekteler.

Öte yandan bu zararlı yazılımların USB diskten çalışarak sisteminize zarar vermesi için bu yazılımların kullanıcı tarafından çalıştırılması gerekir. Aksi takdirde zaten kötü niyetli yazılım diskin üzerinde kalacak ve sisteme zarar vermeyecektir. Tâ ki işletim sisteminin sisteme bağlanan bir medya için AutoRun özelliği varsa durum tehlikeli bir hâl alıyor.

Autorun.inf Manipülasyonu

AutoRun işlevi, işletim sisteminin taşınabilir bir medya (CD-ROM, DVD-ROM, flash disk vb.) bağlandığında tanımlı aksiyonları doğrudan alabilme yeteneğidir. Microsoft Windows işletim sisteminden tanıdığımız bu özellik farklı işletim sistemlerinde de mevcut. İşte bu özellik sayesinde takılan bir USB disk zararlı yazılımın kendisi haline gelebiliyor.

Medyanın kök dizininde bulunan Autorun.inf dosyası işletim sistemi tarafından bağlantı yapıldığı anda okunmakta ve içerisinde belirtilen komut seti sorgusuz sualsiz çalıştırılmaktadır. Bir örnekle AutoRun özelliği aktif bir bilgisayarda senaryoyu gerçekleyelim:

Sisteme bağlayacağımız USB diskimiz Windows Explorer ile araştırılınca boş ya da zararlı bir yazılım içermiyor görünebilir. Ancak aynı diski komut satırından araştırırsak sistem dosyası olarak saklanmış bir Autorun.inf dosyası taşıdığını görürüz

İşte bu diski sisteme bağladığımız anda eğer sistemimizin özelliği aktif ise Autorun.inf dosyasının içinde saklı komutlar kullanıcıya sorulmaksızın işletilmektedir. Örneğimizde C: partition için FORMAT komutu çalıştırılmaktadır!

USB Disk Üzerindeki Zararlı Yazılım ve AutoRun.inf Dosyalarının Silinmesi

Yazının başında belirtildiği gibi zararlı yazılım barındıran USB diskin içeriğine explorer ile bakıldığında bu dosyaları göremeyiz. Aynı şekilde komut satırından da diskin içindeki dosyalar listelendiğinde bu dosyaları görmemiz mümkün olmaz. Çünkü bu gibi bir zararlı yazılımı yayanlar, dosyaları sistem dosyası olarak diske yazarlar.