30-12-2016, 16:35 door Anoniem:
[...]
1: Microsoft, de maker van Windows
2: Dat er in de toekomst updates uitkomen zodat jij en anderen deze crash niet meer krijgen
3: 0. Aangezien dit naar de Event Log wordt geschreven, alle goede tekstverwerkers inclusief die van Microsoft hebben een automatic save functie, start Office opnieuw op en voila "Would you like to restore document ik-ben-erik-en-ik-weet-niet-hoe-google-werkt.doc?" Overigens is het systeem gecrashed dus ook je tekstverwerken, de error afhandeling is een geheel ander proces binnen het OS.
4: Nee dat staat er niet in. Maar het staat in de Event Log, zoals eerder aangegeven, ga zo maar even kijken.
5: Dit gebeurt over SSL en is geanonimiseerd en wordt verwerkt door software, niet handmatig door mensen.
Goh, jij bent stellig. Heb je daar bewijzen of aanvullende informatie over?
30-12-2016, 16:35 door Anoniem:
6: Event Log.
7: Google. Dit had ik kunnen antwoorden op alle vragen, maar op punt 7 heb ik het gewoon opgegeven, sorry.
Hmm. Dit zijn vragen die elke bezitter van een computer, die iets te verbergen heeft (en wie is dat niet) zich hoort te stellen.
En hoewel je de vragen uiterst stellig beantwoordt, geloof ik je niet (en Google gebruik ik vaak zat, maar die geeft mij ook heel veel aannames en/of meningen zoals van jou).
Laat ik mijn eigen vragen dan maar zelf beantwoorden op basis van mijn eigen ervaring, d.w.z. voor zover ik dat kan.
Laatst bijgewerkt 30-12-2016 door Erik van Straten: We're just collecting some error info
1) Wie is "we"?
Nee, dat is niet Microsoft, maar software op de computer
gemaakt en geleverd door Microsoft. Ik sluit niet uit dat ook andere partijen (met name ontwikkelaars van kernel drivers en/of anti-virus en/of anti-rootkit software) hierop "in kunnen haken". Hierbij gaat het niet alleen om meldingen in de eventlog, maar ook het naar schijf schrijven van een memory dump file, mogelijk andere bestanden en mogelijk registerwijzigingen.
Laatst bijgewerkt 30-12-2016 door Erik van Straten: 2) Wat heb ik in de praktijk aan die "error info"
Aan zo'n memory dump normaal gesproken niets, tenzij je een specialist bent. Meer info over het analyseren van memory dump files vind je o.a. in [1]; voor een voorbeeld van een tool zie [2].
[1]
https://blogs.technet.microsoft.com/juanand/2011/03/20/analyzing-a-crash-dump-aka-bsod/[2]
http://www.nirsoft.net/utils/blue_screen_view.htmlLaatst bijgewerkt 30-12-2016 door Erik van Straten: 3) Hoe groot is het risico om na zo'n crash dergelijke "error info" naar de schijf te schrijven, en als dat risico beperkt is - waarom word ik dan niet in staat gesteld om bijv. het document op te slaan waar ik op dat moment aan werkte?
Hoe groot het risico precies is, is lastig in te schatten. Feit is dat een BSOD/GSOD het gevolg is van een ernstig probleem in de kernel van Windows, waarbij "verder gaan" tot onvoorspelbare schade kan leiden. Er zijn twee belangrijke oorzaken voor BSOD's:
1) buggy kernel software en/of drivers;
2) hardware problemen.
Bij een fout in disk/filesystem gerelateerde drivers (inclusief antivirus) en/of bij hardwarefouten (denk o.a. aan omvallende bits in geheugen, maar ook aan een CPU die te heet wordt) is het risico bij
elke schrijfactie naar de schijf dat gewenste informatie naar de verkeerde plaats op schijf geschreven wordt, corrupte informatie naar de juiste plaats of zelfs corrupte informatie naar de verkeerde plaats. Als je op zo'n moment onder meer een bestand van 548MB naar schijf schrijft, zul je begrijpen dat dit je systeem kan ruïneren als dat, onbedoeld, vanaf sector 0 op de schijf wordt weggeschreven. Maar ook op corrupte eventlogs en/of een corrupt register zit niemand te wachten.
Laatst bijgewerkt 30-12-2016 door Erik van Straten: 4) In die "error info" kan gedetailleerd staan wat ik op dat moment aan het doen was, inclusief de inhoud van documenten, URL's, wachtwoorden, e-mail adressen, inhoud van e-mails, ontsleutelde informatie etc. Wat gebeurt er met die info nadat de computer opnieuw is opgestart, en wie kunnen daar vervolgens allemaal bij?
Op de W7 computer waarop ik dit intik staat de volgende file in C:\Windows\:
2016-12-28 17:01 574,808,157 MEMORY.DMP
De oorzaak hiervan is een brakke driver voor een USB naar seriële poort converter, die, nadat deze tijdens gebruik stopte met werken (ogenschijnlijk zonder verdere problemen voor de PC), een BSOD veroorzaakt tijdens shutdown.
In deze file zijn o.a. gegevens uit OpenVPN profielen van mij terug te vinden. Ik kon er zo gauw geen plain-text wachtwoorden in terugvinden, maar potentieel bevat zo'n bestand uiterst vertrouwelijke informatie waar je normaal gesproken slechts met SYSTEM rights bij kunt op je PC; op mijn PC heeft de groep Administrators echter Full Control (alle rechten) op dit bestand.
Last but not least: deze crash dumps gaan er gegarandeerd
niet toe leiden dat de leverancier van de brakke driver zijn product verbetert, zelfs niet als Microsoft mijn dumps ongevraagd met die leverancier zou delen (wat ik niet hoop).
Laatst bijgewerkt 30-12-2016 door Erik van Straten: 5) Als deze info naar iemand wordt verzonden, gebeurt dat dan veilig versleuteld en zo ja, wie hebben de sleutel(s)?
Ik weet dat Microsoft allerlei "crash" gegevens vergaart, maar of dat "veilig" gebeurt en wie er, bij Microsoft en/of daarbuiten, vervolgens allemaal bij kunnen, weet ik niet. Microsoft gaat er ongevraagd vanuit dat je hen voor 100% vertrouwt met al jouw gegevens (en die van jouw werkgever, klanten, leveranciers, patiënten etcetera).
Laatst bijgewerkt 30-12-2016 door Erik van Straten: 6) Waar op mijn computer staat die info, hoe lang blijft die daar staan, of moet ik deze zelf opruimen?
Ruim 500MB op een kleine volle SSD is toch echt zonde van de ruimte van die drive, en beperkt onnodig de levensduur daarvan. Deze blijft staan totdat deze door een nieuwe wordt overschreven, of tot je deze zelf verwijdert (daar heb je wel adminrechten voor nodig).
Laatst bijgewerkt 30-12-2016 door Erik van Straten: 7) Kan ik het genereren van deze error info bij een [B|G]SOD uitzetten, hoe doe ik dat, en waarom staat het by default eigenlijk aan? Ben ik proefpersoon of betatester of zo?
In [3] staat hoe je het genereren hiervan, onder W7, kunt uitzetten.
Iedereen is tegenwoordig betatester voor Microsoft, en veel andere software ook trouwens. In tegenstelling tot bij de meeste andere softwareleveranciers is het bij Microsoft totaal onduidelijk welke informatie er allemaal verzameld wordt, wat ongevraagd jouw systeem verlaat, hoe die informatie beveiligd is, wie bij Microsoft daar allemaal bij kunnen, hoe goed Microsoft de systemen beveiligt waar die informatie op staat, met welke "partners" Microsoft die informatie deelt (en hoe goed jouw info daar beveiligs is). Mocht jouw informatie naar verluidt "geanonymiseerd" worden: niemand kan of wil mij vertellen wat dat precies inhoudt.
Uit ervaring weet ik echter dat het enorm lastig, zo niet onmogelijk, is om informatie zo te bewerken dat deze (ook niet in combinatie met andere informatie) te herleiden valt naar een computer en/of een persoon, zonder daarbij de details te verliezen die juist van belang zouden kunnen zijn bij het foutzoeken. Totdat in eke mogelijke situatie het tegendeel bewezen is, ga ik ervan uit dat "anonymiseren van gegevens" een wassen neus is.
[3]
https://blogs.technet.microsoft.com/askperf/2008/01/08/understanding-crash-dump-files/