'Microsoft moet Windows foutrapportages versleutelen'
Microsoft moet de foutrapportages die Windows verstuurt, bijvoorbeeld als een applicatie of onderdeel van het besturingssysteem crasht, standaard versleutelen. Daarvoor pleit beveiligingsbedrijf Websense. Gisteren liet Der Spiegel weten dat de NSA foutrapportages van Windowsgebruikers onderschept.
De informatie uit de rapportages zou helpen bij het voorbereiden van een aanval op het doelwit waar ze van afkomstig zijn. Er staan namelijk gegevens in over gebruikte softwareversies en andere computerproblemen. Al voor de onthullingen door Der Spiegel zou Websense een onderzoek naar de risico's van de Windows foutrapportages hebben uitgevoerd.
Daaruit blijkt dat de rapportages ook worden verstuurd als een gebruiker bijvoorbeeld een USB-apparaat zoals een muis aansluit. Daarbij vereist Windows geen enkele interactie van de gebruiker om de rapportage naar Microsoft te versturen. De rapportages zijn echter onversleuteld, waardoor iedereen die de pakketjes kan onderscheppen de inhoud kan bekijken.
"Hoewel deze informatie ongetwijfeld belangrijk voor Microsoft is om crashes van applicaties en hardwareconfiguraties te analyseren, kan het ook een ernstig informatie-lek zijn als het onversleuteld de organisatie verlaat", zegt Alex Watson van Websense. Hij merkt op dat Microsoft bedrijven en organisaties aanraadt om de Windows foutrapportages op het eigen netwerk naar een interne server te sturen.
Encryptie
Toch kan ook Microsoft iets doen om de veiligheid van gebruikers te verbeteren, namelijk het toepassen van encryptie. "We raden aan dat diensten die telemetrie over applicaties versturen en informatie over de omgeving en onderliggende netwerkinfrastructuur bevatten, op z'n minst met SSL versleuteld zijn, idealiter TLS 1.2. Applicaties die deze informatie onversleuteld versturen, lopen het risico dat ze de data op meerdere punten zullen lekken", stelt Watson.
In het geval de foutrapportages persoonlijk identificeerbare informatie bevatten gebruikt Microsoft volgens de eigen uitleg wel encryptie. Dat geldt echter niet voor andere informatie zoals applicatienaam en versie, modulenaam en foutcode. Die informatie wordt onversleuteld verstuurd. Tijdens de RSA Conferentie van 2014 geeft Watson een presentatie over het onderwerp.
Tot nader order lijkt het mij veel handiger om Windows Error Reporting uit te schakelen.
Voor Windows 7 en 8 doe je dat zo:
http://blog.laptopmag.com/disable-error-reporting-windows
En wie zegt dat het versturen van de rapportages dan ook daadwerkelijk uit staat...
Tot Snow Leopard moest je het versturen van een crashreport nog per geval met de hand bevestigen, maar in de nieuwere systemen gebeurd dit automatisch. Op Marvericks schakel je het uit in de systeemvoorkeuren --> Beveiliging&Privacy --> Privacy --> Diagnose en Gebruik.
Daar staat ook een link met info wat er allemaal verstuurd wordt. En dat is meer dan alleen bug info, maar ook gebruiksinfo.
Edit: In dat document wordt zelfs vermeld dat het al dan niet succesvol uit de sluimerstand halen al diagnostische info is. Dus Apple (en mogelijk nsa) kunnen zelfs zien of je uit de sluimerstand gaat en dus waarschijnlijk achter de computer zit.
Tot Snow Leopard moest je het versturen van een crashreport nog per geval met de hand bevestigen, maar in de nieuwere systemen gebeurd dit automatisch. Op Marvericks schakel je het uit in de systeemvoorkeuren --> Beveiliging&Privacy --> Privacy --> Diagnose en Gebruik.
Daar staat ook een link met info wat er allemaal verstuurd wordt. En dat is meer dan alleen bug info, maar ook gebruiksinfo.
Edit: In dat document wordt zelfs vermeld dat het al dan niet succesvol uit de sluimerstand halen al diagnostische info is. Dus Apple (en mogelijk nsa) kunnen zelfs zien of je uit de sluimerstand gaat en dus waarschijnlijk achter de computer zit.
Goede tip!
OS X naam : het is overigens Ma-Ve-Ricks
niet Ma-(R)-Ve-Ricks.
Mocht je bijvoorbeeld FireFox gebruiken denk dan ook aan het disabelen van je browser crash reports (& Health report / Telemetry). Met Safari crash reports heb ik uit herinnering geen ervaring. Daarvoor wordt vermoedelijk Apple's eigen crash report gebruikt?
Daarnaast is het crash report een aparte app of een apart proces dat verbinding met het internet probeert te maken, dat kan je monitoren met een extra firewall. Zie je meteen over welke poort/verbinding dat gaat.
Het zou mooi zijn als die info versleuteld verzonden zou worden. Wat ik niet vermoed want je update functie gaat ook onversleuteld over poort 80.
Wachten is het op malware creatievelingen die fake-crash report apps gaan maken. Klein programma (klein genoeg voor een drive by download of om te verpakken in een pdf , word doc, rtf file of afbeeldingsbestand) en wanneer aangepast verzonden naar een ander ip adres met andere verzamelde informatie.
De crash report link van je browser zou door middel van veranderingen in de browser plist ook een goede optie zijn, het laten crashen van een browser is namelijk al een beproefde methode in malware land.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
