MojWindows

Najnovší operačný systém Windows 10 sa krátko po svojom uvedení na trh ocitol pod ostrou paľbou kritiky, pretože zbiera viacero telemetrických dát, ktoré odosiela do Microsoftu. Na niečo takéto používatelia totiž neboli zvyknutí. Olej do ohňa prilial aj anonymný článok na portáli Aeronet, ktorý Windows 10 otvorene označil za špionážny terminál.

Pokiaľ užívateľ zvolí pri inštalácii operačného systému použitie expresných  nastavení, skutočne tak dovolí rôznym aplikáciám odosielať informácie Microsoftu. Tie ale slúžia na zlepšenie ich funkčnosti, poskytnutie relevantnejších výsledkov pri vyhľadávaní a podobne. Celkovo tak ide o očakávané správanie, pokiaľ používatelia chcú používať pokročilé funkcie. Systém však obsahuje viacero nastavení, ktorými je možné prípadne obmedziť odosielanie spomínaných údajov za cenu straty týchto funkcií.

Približne po dvoch mesiacoch od vydania systému sa k zberu telemetrických údajov vyjadril na svojom oficiálnom blogu Microsoft. Informoval v ňom o tom, že Windows 10 zbiera informácie výhradne za účelom toho, aby mohol lepšie pracoval ako produkt. Všetky zozbierané dáta sú navyše zašifrované a presunuté na zabezpečené servery Microsoftu. V príspevku ďalej informoval o aké dáta konkrétne ide.

Aké dáta má Microsoft o používateľoch teda zbierať?

Patria sem dáta, ako anonymné ID zariadenia, typ zariadenia a informácie, ktoré sa ukladajú pri chybe a neštandardnom ukončení (páde) aplikácií.

Microsoft mal dokonca podniknúť niekoľko krokov, aby nedochádzalo k zberu informácií, ktoré by nejakým spôsobom mohli užívateľa priamo identifikovať. Nakoľko pri páde aplikácií dochádza k odoslaniu výpisu pamäte, ktorý môže potencionálne obsahovať citlivé informácie, prechádzajú tieto informácie ďalšou úpravou, pri ktorej sú odstránené “podozrivé” informácie.

Medzi základné údaje, ktoré sa odosielajú, patrí napríklad informácia o prítomnosti antivírusovej ochrany v systéme. Microsoft ich vyhodnocuje a keď je systém nechránený dochádza k spusteniu bezpečnostných nástrojov prítomných v systéme. Dôvod za týmto postupom je prostý – snaha chrániť užívateľa. Drvivá väčšina zbieraných dát je z kapacitných dôvodov zmazaná do 30 dní od dátumu zozbierania.

V závislosti od konkrétnych nastavení systému, nad ktorými má používateľ kontrolu, sú zbierané ďalšie údaje. Ide o informácie, ktoré systém potrebuje o užívateľovi vedieť, aby mu mohol poskytnúť relevantný obsah ako napríklad výsledky zápasov obľúbeného športového tímu, odporúčané aplikácie alebo často používané slová pri písaní textu, správ a podobne. V prípade, že používateľ využíva asistentku Cortana, je vyžadovaný zber podstatne väčšieho rozsahu osobných informácií o používateľovi.

Analýza sieťovej komunikácie systému po prvé

Na túto problematiku sa zameral bezpečnostný expert Jiří Bartoš, ktorý pripravil rozsiahlu analýzu sieťovej komunikácie operačného systému Windows 10. Systém pritom používal aj Microsoft účet spolu s nastavenou službou OneDrive.

Celkové testovanie prebiehalo počas štyroch dní a vzhľadom na to, že existovali informácie o tom, ako sa virtualizovaný Windows 10 správa odlišne od toto nainštalovaného normálne, všetko prebiehalo takpovediac priamo na hardvéri. Podrobné logy komunikácie pokrývajú veci ako prvé spustenie systému, správanie služby OneDrive, Windows Store alebo aplikácie Xbox.

Tvrdenia, že systém fotí a odosiela fotografie bez užívateľovho vedomia, odosiela hlasové záznamy, všetky textové vstupy, či informácie o súboroch v počítači, alebo rovno celé súbory sa ukázali ako úplne nepravdivé. K “svojvoľnému” odosielaniu údajov došlo len v súvislosti s doručovaním automatických aktualizácií. Analýza tak neodhalila žiadne podozrivé správanie.

Analýza sieťovej komunikácie systému – druhé dejstvo

Do ďalšej analýzy sieťovej komunikácie sa pustil technologický portál ArsTechnica. Portál sledoval komunikáciu systému Windows 10 pri rôznych nastaveniach ochrany osobných údajov. Následnou analýzou dát zistili, že keď má užívateľ deaktivovanú Cortanu aj funkciu Hľadať na webe,  systém odošle požiadavku na adresu www.bing.com, ktorou si vyžiada súbor treshold.appcache. Ten podľa všetkého obsahuje informácie pre Cortanu aj napriek tomu, že je vypnutá.

Systém síce odosielal viaceré informácie, no tie boli úplne neškodné. Po pripojení do novej siete, komunikoval s webovými adresami www.msftncsi.com/ncsi.txt a ipv6.msftncsi.com/ncsi.txt na overenie stavu pripojenia. Pri tejto komunikácii dochádzalo k odosielaniu len úplne základných informácií, pričom sa neodosielal žiaden identifikátor ani dáta užívateľa.

Podobne neškodnou sa ukázala byť aj ďalšia objavená komunikácia, na tej však prekáža fakt, že by k nej vôbec nemalo dochádzať.  Jedná sa o komunikáciu s MSN serverom, pri ktorej dochádza k sťahovaniu nových informácii o živých dlaždiciach a to aj napriek tomu, že ponuka používateľa živé dlaždice neobsahuje.

Ďalšou komunikáciou, ktorá neustále prebiehala, je odosielanie informácií a sťahovanie dát pre aplikáciu Počasie. Problémom bol však fakt, že k tejto komunikácii dochádzalo aj v prípade, že používateľ aplikáciu nepoužíva. Ide však skôr o chybu, ako zamýšlané správanie. Ani v tejto analýze sa nepotvrdilo odosielanie citlivých dát o používateľovi.

Rytier na bielom koni alias CheesusCrust

Pred pár dňami sa na internete objavila ďalšia snaha o analýzu dátovej komunikácie systému Windows 10, ktorá mala konečne odhaliť špehovanie. Podozrivá komunikácia mala prebiehať niekoľko tisíckrát denne. A tak došlo k ešte väčšiemu rozvíreniu už tak poriadne búrlivých vôd.

Do analýzy sa pustil používateľ s prezývkou CheesusCrust. Konkrétne skúmal komunikáciu operačného systému Windows 10 Enterprise, v ktorej by mal používateľ mať väčšiu kontrolu nad telemetrickými dátami. Systém bežal spustený bez interakcie zo strany používateľa po dobu 8 hodín a za ten čas malo dôjsť k viac ako 5000 pripojeniam na 93 rôznych IP adries. Z celkového počtu sa mu podarilo identifikovať približne 4000 pripojení smerujúcich na 51 IP adries patriacich Microsoftu.

Experiment následne pokračoval tým, že do systému bola nainštalovaná aplikácia, ktorá mala blokovať “špionážne” funkcie systému. V tomto prípade bol systém spustený 30 hodín, pričom došlo k zaznamenaniu komunikácie v objeme 2758 pripojení na celkovo 113 IP adries.

Používateľ CheesusCrust sa však nepokúsil analyzovať obsah komunikácie, ani adresy, s ktorými chcel systém komunikovať.

Samozvaný bezpečnostný expert zverejnil informácie o tejto komunikácii na stránke Voat, no medzičasom sa rozhodol príspevok úplne odstrániť. Komunikácia v takomto objeme prirodzene vyvolala veľký záujem a niekoľko portálov tak začalo informovať o tom, že Windows 10 skutočne špehuje. Problémov s touto “analýzou” však bolo viacero. Ako upozornil portál Zdnet, v prvom rade nedošlo ani k žiadnym snahám o overenie kvalifikácie tvorcu príspevku.

Kde malo dôjsť k veľkej chybe

CheesusCrust informoval, že Windows 10 Enterprise nainštaloval na virtuálny systém a router s firmvérom DD-WRT nakonfiguroval tak, aby prerušil a zaznamenal všetky pokusy o komunikáciu systému.

Fundovaný odborník Ed Bott z portálu Zdnet upozorňuje:

“Pán Crust informoval, že jeho cieľom bolo analyzovať sieťovú komunikáciu Windows 10 v prípade čistej inštalácie. Ľudia so skúsenosťami v oblasti sieťovej komunikácie si však mohli všimnúť trhlinu v jeho metodológii. Ak sa softvér musí pripojiť k vonkajšiemu zdroju, aby vykonal špecifickú úlohu a spojenie sa nečakane preruší, nezískate tak žiadne dáta k analýze. Čo je však horšie, keď softvér detekuje neúspešné pripojenie, pokúsi sa o pripojenie znova. A znova a znova a znova. Nakoniec sa tak stane, že jedna, krátka dátová výmena sa zmení na sériu pokusov o pripojenie.”

Analýza zverejnených informácií

Ed Bott sa do toho poriadne oprel a rozpitval informácie, ktoré CheesusCrust zverejnil. Hneď 602 pokusov o komunikáciu mala na svedomí komunikácia prebiehajúca na lokálnej sieti, kde systém oznamuje svoju prítomnosť a hľadá ďalšie počítače pripojené k rovnakej sieti. Ide tak o úplne normálnu a očakávanú komunikáciu. Ďalších 630 pripojení mierilo na DNS samotného routru. Dochádzalo k nim kvôli tomu, že systém overuje stav aktuálneho internetového pripojenia.

Ďalších 1619 pripojení, ktoré Crush nebol schopný identifikovať, mierilo na server Microsoftu – teredo.ipv6.microsoft.com. Ide o internetový štandard, ktorý sprostredkuje IPv6 komunikáciu jednotlivým strojom, ktoré sa nachádzajú v IPv4 sieti. V krátkosti, Windows sa snaží vytvoriť jednoduché pripojenie s využitím IPv6 možností, no router ho kvôli svojmu nastaveniu blokuje. Systém sa tak o pripojenie snaží znova a znova.

Zoznam ďalej obsahoval 549 pokusov o pripojenie, no v tomto prípade išlo o staré dobré HTTP. Išlo o prichádzajúce pripojenia zo serverov Microsoftu. Windows tak nič neodosielal. Za ďalšiu podstatnú časť komunikácie zodpovedala sieť pre doručovanie obsahu (CDN) a najpravdepodobnejšie ich má na svedomí snaha o obnovenie živých dlaždíc MSN aplikácií, ktoré systém obsahuje.

2100 pripojení patrilo zabezpečenému protokolu HTTPS. Bott upozorňuje, že toto číslo by bolo v prípade neblokovanej komunikácie výrazne nižšie. Tieto pripojenia sa však netýkajú telemetrických údajov. Najdôležitejšie z nich mierilo na Software Licensing Service, čo je služba kontrolujúca, či je systém aktivovaný. Tým, že Crush tieto pripojenia blokoval, systém sa neustále snažil o nadviazanie spojenia a overenie stavu aktivácie systému. Týmto spôsobom vygeneroval viac ako 1700 pokusov o pripojenie. HTTPS ďalej využíva aj Windows Update, Windows Defender, Windows Store, OneDrive a služba SmartScreen.

V celkovej komunikácii sa podľa Botta určite nachádza aj časť telemetrických dát. Ide o informácie, ktoré sme spomínali v úvode tohto článku. Ďalej napríklad, či je Windows Defender aktualizovaný, či systém nenarazil na problémy pri inštalácii systémových aktualizácií alebo inštalácii ovládačov.

Ak Crush navyše nezmenil rozsah odosielania Diagnostických údajov a údajov o používaní, systém by odosielal viacero anonymných dát o spôsobe používania.

Podľa informácií, ktoré Microsoft zverejnil, by taktiež malo ísť o informácie, ako sa používa Microsoft Edge a streamovanie hier pomocou aplikácie Xbox, koľko krát bola spustená aplikácia Fotografie, koľko otázok bolo položených Cortane, ako dlho je systém spustený a podobne.

Najnovšiu “analýzu” používateľa CheesusCrust na základe týchto skutočností nemožno považovať za vierohodnú. Napriek mnohým snahám a veľkému záujmu zo strany odborníkov sa doteraz nepodarilo potvrdiť, že dochádza k špehovaniu používateľov. No napriek tomu je tu aj naďalej prítomná veľká skepsa.

Zdroje: Microsoft, Root.cz, Zdnet, TheHackerNews

 

11.02.2016

+