Duitse overheid ontwikkelt tool voor monitoren van Windows 10-telemetrie
De Duitse overheid heeft een tool ontwikkeld waarmee kan worden gekeken welke gegevens Windows 10 over het gebruik van het systeem verzamelt en doorstuurt naar Microsoft. Via de System Activity Monitor kan het gedrag van de Windows-telemetrie uitgebreid worden vastgelegd, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Windows 10-gebruikers kunnen verschillende telemetrieniveaus instellen, zodat er meer of minder gegevens worden verzameld en verstuurd. Het besturingssysteem biedt echter geen standaardoptie om het verzamelen helemaal uit te schakelen. Via verschillende maatregelen kan dit echter wel worden gedaan. "Hoewel het technisch mogelijk is om het verzamelen en versturen van telemetriegegevens door Windows te voorkomen, is het lastig voor doorsnee gebruikers om te implementeren", zo liet het BSI eerder weten.
De Duitse overheidsinstantie deed al uitgebreid onderzoek naar de gegevens die Windows 10 verzamelt en doorstuurt naar Microsoft. Ook kwam het met een Telemetrie Monitoring Framework. Nu presenteert het BSI de System Activity Monitor. Het gaat hier om een onderzoekstool waarmee het gedrag van applicaties en het besturingssysteem in detail kan worden vastgelegd. Dit zou met een zeer lage overhead plaatsvinden, aldus de ontwikkelaars. De records die SAM aanmaakt zijn via de Windows Event Viewer te bekijken.
ShutUp10 is overigens wel een Microsoft partner hetgeen discutabel kan zijn.
Meer informatie: https://www.oo-software.com/en/shutup10
Dat genereert wel zoveel data, dat je het niet normaal een dagje op de achtergrond kunt laten meedraaien.
De volgende stap is de telemetrie in real-time vervangen door plausibele nonsens. Een vorm van contra-telemetrie.
De volgende stap is de telemetrie in real-time vervangen door plausibele nonsens. Een vorm van contra-telemetrie.
Interessante gedachte, waarschijnlijk is het niet heel makkelijk om "plausibele nonsens" te versturen. ;-)
Ik zal het eens installeren op een Windows 10 VM om te zien wat er precies in de Windows event logs wordt weggeschreven door die BSI SAM tool.
Totaal overbodige reactie.
De volgende stap is de telemetrie in real-time vervangen door plausibele nonsens. Een vorm van contra-telemetrie.
Dat is nog veel erger (voor MS)...
Maar de vraag is natuurlijk of (net zoals veel malware dat doet, door te kijken of het in een VM of sandbox draait) deze tool niet gedetecteert gaat worden door MS en ze hun telemetrie daarop aan gaan passen zoals andere vormen van malware dat dus ook doen.
om telemetrie uit te schakelen,
alleen zul je de wijzigingen daarin moeten blijven
herhalen na elke patch tuesday.
Onion
De volgende stap is de telemetrie in real-time vervangen door plausibele nonsens. Een vorm van contra-telemetrie.
Interessante gedachte, waarschijnlijk is het niet heel makkelijk om "plausibele nonsens" te versturen. ;-)
Ik zal het eens installeren op een Windows 10 VM om te zien wat er precies in de Windows event logs wordt weggeschreven door die BSI SAM tool.
Het genereren van niet van echt te onderscheiden plausibele nonsens is een kunst.
Voor de echte fijnproevers:
Obfuscation
A User's Guide for Privacy and Protest
by Finn Brunton and Helen Nissenbaum
MIT Press, 2016
ISBN 9780262529860 [paperback]
https://mitpress.mit.edu/books/obfuscation
Ik zou zeggen: Laat me weten wat uw bevindingen zijn, ik ben benieuwd.
Dat genereert wel zoveel data, dat je het niet normaal een dagje op de achtergrond kunt laten meedraaien.
Met Process Monitor kun je alle processen volgen. Maar dat lijkt me minder geschikt om alleen maar de telemetrie van Microsoft mee in beeld te brengen, ProcMon is meer voor het opsporen van problemen in processen, niet voor netwerkverkeer.
Daarvoor kun je TCPview gebruiken uit de Resource Kit (https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview) of naturlijk Wireshark (https://www.wireshark.org/), maar het nadeel daarvan is dat je zelf moet gaan filteren. Die tool van de BSI leek me daarom zo handig omdat die gewoon in de Windows Event Log wegschrijft wat en wanneer er gebeurt. ;-)
De volgende stap is de telemetrie in real-time vervangen door plausibele nonsens. Een vorm van contra-telemetrie.
Fietspaden in Nederland zijn vaak rood geschilderd. Niet iedereen weet dat. Wist jij het wel?
Heeft ook totaal niets te maken met het onderwerp van het artikel, dus een overbodige reactie.
Fietspaden in Nederland zijn vaak rood geschilderd. Niet iedereen weet dat. Wist jij het wel?
Heeft ook totaal niets te maken met het onderwerp van het artikel, dus een overbodige reactie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
