image

'Microsoft moet Windows foutrapportages versleutelen'

maandag 30 december 2013, 11:37 door Redactie, 8 reacties

Microsoft moet de foutrapportages die Windows verstuurt, bijvoorbeeld als een applicatie of onderdeel van het besturingssysteem crasht, standaard versleutelen. Daarvoor pleit beveiligingsbedrijf Websense. Gisteren liet Der Spiegel weten dat de NSA foutrapportages van Windowsgebruikers onderschept.

De informatie uit de rapportages zou helpen bij het voorbereiden van een aanval op het doelwit waar ze van afkomstig zijn. Er staan namelijk gegevens in over gebruikte softwareversies en andere computerproblemen. Al voor de onthullingen door Der Spiegel zou Websense een onderzoek naar de risico's van de Windows foutrapportages hebben uitgevoerd.

Daaruit blijkt dat de rapportages ook worden verstuurd als een gebruiker bijvoorbeeld een USB-apparaat zoals een muis aansluit. Daarbij vereist Windows geen enkele interactie van de gebruiker om de rapportage naar Microsoft te versturen. De rapportages zijn echter onversleuteld, waardoor iedereen die de pakketjes kan onderscheppen de inhoud kan bekijken.

"Hoewel deze informatie ongetwijfeld belangrijk voor Microsoft is om crashes van applicaties en hardwareconfiguraties te analyseren, kan het ook een ernstig informatie-lek zijn als het onversleuteld de organisatie verlaat", zegt Alex Watson van Websense. Hij merkt op dat Microsoft bedrijven en organisaties aanraadt om de Windows foutrapportages op het eigen netwerk naar een interne server te sturen.

Encryptie

Toch kan ook Microsoft iets doen om de veiligheid van gebruikers te verbeteren, namelijk het toepassen van encryptie. "We raden aan dat diensten die telemetrie over applicaties versturen en informatie over de omgeving en onderliggende netwerkinfrastructuur bevatten, op z'n minst met SSL versleuteld zijn, idealiter TLS 1.2. Applicaties die deze informatie onversleuteld versturen, lopen het risico dat ze de data op meerdere punten zullen lekken", stelt Watson.

In het geval de foutrapportages persoonlijk identificeerbare informatie bevatten gebruikt Microsoft volgens de eigen uitleg wel encryptie. Dat geldt echter niet voor andere informatie zoals applicatienaam en versie, modulenaam en foutcode. Die informatie wordt onversleuteld verstuurd. Tijdens de RSA Conferentie van 2014 geeft Watson een presentatie over het onderwerp.

Reacties (8)
30-12-2013, 12:08 door [Account Verwijderd] - Bijgewerkt: 30-12-2013, 12:09
[Verwijderd]
30-12-2013, 12:54 door Anoniem
Door Peter V.: Natuurlijk, en als de encryptie niet verzwakt is, kan de NSA nog altijd even de encryptiesleutels opeisen..

Tot nader order lijkt het mij veel handiger om Windows Error Reporting uit te schakelen.

Voor Windows 7 en 8 doe je dat zo:
http://blog.laptopmag.com/disable-error-reporting-windows
Daaruit blijkt dat de rapportages ook worden verstuurd als een gebruiker bijvoorbeeld een USB-apparaat zoals een muis aansluit. Daarbij vereist Windows geen enkele interactie van de gebruiker om de rapportage naar Microsoft te versturen.

En wie zegt dat het versturen van de rapportages dan ook daadwerkelijk uit staat...
30-12-2013, 13:08 door Briolet - Bijgewerkt: 30-12-2013, 13:12
Ik denk niet dat dit een typisch Windows gevalletje is. Als de windows reporten onderschept worden, zal dat ook voor de Mac reports gelden. Er staat natuurlijk erg veel systeeminfo in zo'n rapport om het de ontwikkelaars makkelijk te maken om bugs te traceren die hardware afhankelijk zijn, of alleen bij bepaalde software configuraties optreden. Voor een firma zoals nsa die een computer wil infecteren zal dat zeker ook interessant zijn.

Tot Snow Leopard moest je het versturen van een crashreport nog per geval met de hand bevestigen, maar in de nieuwere systemen gebeurd dit automatisch. Op Marvericks schakel je het uit in de systeemvoorkeuren --> Beveiliging&Privacy --> Privacy --> Diagnose en Gebruik.

Daar staat ook een link met info wat er allemaal verstuurd wordt. En dat is meer dan alleen bug info, maar ook gebruiksinfo.

Edit: In dat document wordt zelfs vermeld dat het al dan niet succesvol uit de sluimerstand halen al diagnostische info is. Dus Apple (en mogelijk nsa) kunnen zelfs zien of je uit de sluimerstand gaat en dus waarschijnlijk achter de computer zit.
30-12-2013, 13:11 door Anoniem
Ironisch.. dhr. Watson die verbeteringen aandraagt aan Microsoft's foutrapportages. :-)
30-12-2013, 14:47 door [Account Verwijderd]
[Verwijderd]
30-12-2013, 14:47 door [Account Verwijderd]
[Verwijderd]
30-12-2013, 23:09 door Anoniem
De NSA heeft als doel alle communicatie van waar dan ook en in welke vorm dan ook te onderscheppen. Decryptie is hun specialiteit; ze bouwen er in Wiesbaden een reusachtig centrum voor. Iedereen die het nu in encryptie zoekt, is buitengewoon naïef. We moeten het gebruik van het internet en van computers heroverwegen. Wat wel, wat niet? Als ik fietskoerier was, zou ik veel reclame gaan maken. Het is een van de weinige mogelijkheden voor vertrouwelijke communicatie die nog resten - mits de afspraken niet via internet of telefoon gemaakt worden. Mijn bedrijf zou iedere ochtend een rondje maken langs de vaste klanten om de orders op te halen. Gewoon ouderwetse zekerheid: communiceren hoeft niet, de koerier komt vanzelf langs. Jaja, we zijn ver van huis geraakt met onze oeverloze automatisering.
31-12-2013, 11:09 door Anoniem
Door Briolet:

Tot Snow Leopard moest je het versturen van een crashreport nog per geval met de hand bevestigen, maar in de nieuwere systemen gebeurd dit automatisch. Op Marvericks schakel je het uit in de systeemvoorkeuren --> Beveiliging&Privacy --> Privacy --> Diagnose en Gebruik.

Daar staat ook een link met info wat er allemaal verstuurd wordt. En dat is meer dan alleen bug info, maar ook gebruiksinfo.

Edit: In dat document wordt zelfs vermeld dat het al dan niet succesvol uit de sluimerstand halen al diagnostische info is. Dus Apple (en mogelijk nsa) kunnen zelfs zien of je uit de sluimerstand gaat en dus waarschijnlijk achter de computer zit.

Goede tip!

OS X naam : het is overigens Ma-Ve-Ricks
niet Ma-(R)-Ve-Ricks.

Mocht je bijvoorbeeld FireFox gebruiken denk dan ook aan het disabelen van je browser crash reports (& Health report / Telemetry). Met Safari crash reports heb ik uit herinnering geen ervaring. Daarvoor wordt vermoedelijk Apple's eigen crash report gebruikt?

Daarnaast is het crash report een aparte app of een apart proces dat verbinding met het internet probeert te maken, dat kan je monitoren met een extra firewall. Zie je meteen over welke poort/verbinding dat gaat.
Het zou mooi zijn als die info versleuteld verzonden zou worden. Wat ik niet vermoed want je update functie gaat ook onversleuteld over poort 80.

Wachten is het op malware creatievelingen die fake-crash report apps gaan maken. Klein programma (klein genoeg voor een drive by download of om te verpakken in een pdf , word doc, rtf file of afbeeldingsbestand) en wanneer aangepast verzonden naar een ander ip adres met andere verzamelde informatie.
De crash report link van je browser zou door middel van veranderingen in de browser plist ook een goede optie zijn, het laten crashen van een browser is namelijk al een beproefde methode in malware land.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.