Privacy - Wat niemand over je mag weten

W10 sends USB telemetry via http

19-08-2018, 19:59 door Bitwiper, 39 reacties
In antwoord op vragen in de thread https://www.security.nl/posting/573853/Usb-beveiligingsleutel+aangekondigd+die+volledig+open+source+is. Het volgende is in het Engels zodat ook niet-Nederlandstaligen dit kunnen lezen (onder voorwaarde dat ze Engels snappen natuurlijk).

With Wireshark running, I just plugged in a removable HDD in my W10 work notenbook (my personal W7 notebook exhibits similar behavior). Because this site reduces multiple spaces to 1 space (in "code" sections), I've inserted underscores to make the stuff a bit more readable. Also I had to split up things because of the limited width.

The following showed up in Wireshark immediately after plugging in the external USB HDD (left half shown):
519 _ 2018-08-19 19:17:47.088321 _ DNS ______ 192.168.178.41 _ 192.168.178.1
520 _ 2018-08-19 19:17:47.096254 _ DNS ______ 192.168.178.1 __ 192.168.178.41
525 _ 2018-08-19 19:17:47.113587 _ HTTP/XML _ 192.168.178.41 _ 172.227.102.35
528 _ 2018-08-19 19:17:47.129403 _ HTTP _____ 172.227.102.35 _ 192.168.178.41
532 _ 2018-08-19 19:17:47.138225 _ DNS ______ 192.168.178.41 _ 192.168.178.1
534 _ 2018-08-19 19:17:47.146276 _ DNS ______ 192.168.178.1 __ 192.168.178.41
539 _ 2018-08-19 19:17:47.177113 _ HTTP/XML _ 192.168.178.41 _ 52.138.148.159
542 _ 2018-08-19 19:17:47.212923 _ HTTP/XML _ 52.138.148.159 _ 192.168.178.41
549 _ 2018-08-19 19:17:47.242499 _ HTTP/XML _ 192.168.178.41 _ 172.227.102.35
551 _ 2018-08-19 19:17:47.258292 _ HTTP _____ 172.227.102.35 _ 192.168.178.41
558 _ 2018-08-19 19:17:47.268205 _ HTTP/XML _ 192.168.178.41 _ 52.138.148.159
562 _ 2018-08-19 19:17:47.301811 _ HTTP/XML _ 52.138.148.159 _ 192.168.178.41
576 _ 2018-08-19 19:17:51.483779 _ HTTP/XML _ 192.168.178.41 _ 172.227.102.35
579 _ 2018-08-19 19:17:51.500158 _ HTTP _____ 172.227.102.35 _ 192.168.178.41
584 _ 2018-08-19 19:17:51.504065 _ HTTP/XML _ 192.168.178.41 _ 52.138.148.159
588 _ 2018-08-19 19:17:51.537888 _ HTTP/XML _ 52.138.148.159 _ 192.168.178.41
595 _ 2018-08-19 19:17:51.556800 _ HTTP/XML _ 192.168.178.41 _ 172.227.102.35
599 _ 2018-08-19 19:17:51.573618 _ HTTP _____ 172.227.102.35 _ 192.168.178.41
605 _ 2018-08-19 19:17:51.576236 _ HTTP/XML _ 192.168.178.41 _ 52.138.148.159
609 _ 2018-08-19 19:17:51.610897 _ HTTP/XML _ 52.138.148.159 _ 192.168.178.41

The right half of the above data, with repeated packet numbers:
519 _ Standard query 0x1824 A go.microsoft.com
520 _ Standard query response 0x1824 A go.microsoft.com CNAME
_____ go.microsoft.com.edgekey.net CNAME
_____ e11290.dspg.akamaiedge.net A 172.227.102.35
525 _ POST /fwlink/?LinkID=252669&clcid=0x409 HTTP/1.1
528 _ HTTP/1.1 302 Moved Temporarily
532 _ Standard query 0x0006 A dmd.metaservices.microsoft.com
534 _ Standard query response 0x0006 A dmd.metaservices.microsoft.com CNAME
_____ dmd.metaservices.microsoft.com.akadns.net A 52.138.148.159 A 52.178.147.240
_____ A 52.164.240.59 A 52.138.148.89
539 _ POST /dms/metadata.svc HTTP/1.1
542 _ HTTP/1.1 200 OK
549 _ POST /fwlink/?LinkID=252669&clcid=0x409 HTTP/1.1
551 _ HTTP/1.1 302 Moved Temporarily
558 _ POST /dms/metadata.svc HTTP/1.1
562 _ HTTP/1.1 200 OK
576 _ POST /fwlink/?LinkID=252669&clcid=0x409 HTTP/1.1
579 _ HTTP/1.1 302 Moved Temporarily
584 _ POST /dms/metadata.svc HTTP/1.1
588 _ HTTP/1.1 200 OK
595 _ POST /fwlink/?LinkID=252669&clcid=0x409 HTTP/1.1
599 _ HTTP/1.1 302 Moved Temporarily
605 _ POST /dms/metadata.svc HTTP/1.1
609 _ HTTP/1.1 200 OK

Making packet 525 a bit more readable (I removed my ethernet addresses):
Frame 525: 1296 bytes on wire (10368 bits), 1296 bytes captured (10368 bits) on interface 0
Ethernet II, <removed>
Internet Protocol Version 4, Src: 192.168.178.41, Dst: 172.227.102.35
Transmission Control Protocol, Src Port: 53007, Dst Port: 80, Seq: 347, Ack: 1, Len: 1242
[2 Reassembled TCP Segments (1588 bytes): #524(346), #525(1242)]
Hypertext Transfer Protocol
POST /fwlink/?LinkID=252669&clcid=0x409 HTTP/1.1\r\n
Connection: Keep-Alive\r\n
<Connection: Keep-Alive\r\n>
Content-Type: text/xml; charset="UTF-16LE"\r\n
<Content-Type: text/xml; charset="UTF-16LE"\r\n>
User-Agent: MICROSOFT_DEVICE_METADATA_RETRIEVAL_CLIENT\r\n
<User-Agent: MICROSOFT_DEVICE_METADATA_RETRIEVAL_CLIENT\r\n>
SOAPAction: "http://schemas.microsoft.com/windowsmetadata/services/2007/09/18/dms/DeviceMetadataService/GetDeviceMetadata"\r\n
Content-Length: 1242\r\n
<Content-Length: 1242\r\n>
Host: go.microsoft.com\r\n
<Host: go.microsoft.com\r\n>
\r\n
[Full request URI: http://go.microsoft.com/fwlink/?LinkID=252669&clcid=0x409]
<Request: True>
[HTTP request 1/1]
[Response in frame: 528]
File Data: 1242 bytes
eXtensible Markup Language
0000 _ ff fe 3c 00 3f 00 78 00 6d 00 6c 00 20 00 76 00 _ ÿþ<.?.x.m.l. .v.
0010 _ 65 00 72 00 73 00 69 00 6f 00 6e 00 3d 00 22 00 _ e.r.s.i.o.n.=.".
0020 _ 31 00 2e 00 30 00 22 00 20 00 65 00 6e 00 63 00 _ 1...0.". .e.n.c.
0030 _ 6f 00 64 00 69 00 6e 00 67 00 3d 00 22 00 55 00 _ o.d.i.n.g.=.".U.
0040 _ 54 00 46 00 2d 00 31 00 36 00 22 00 3f 00 3e 00 _ T.F.-.1.6.".?.>.
0050 _ 3c 00 73 00 3a 00 45 00 6e 00 76 00 65 00 6c 00 _ <.s.:.E.n.v.e.l.
0060 _ 6f 00 70 00 65 00 20 00 78 00 6d 00 6c 00 6e 00 _ o.p.e. .x.m.l.n.
0070 _ 73 00 3a 00 73 00 3d 00 22 00 68 00 74 00 74 00 _ s.:.s.=.".h.t.t.
0080 _ 70 00 3a 00 2f 00 2f 00 73 00 63 00 68 00 65 00 _ p.:././.s.c.h.e.
0090 _ 6d 00 61 00 73 00 2e 00 78 00 6d 00 6c 00 73 00 _ m.a.s...x.m.l.s.
00a0 _ 6f 00 61 00 70 00 2e 00 6f 00 72 00 67 00 2f 00 _ o.a.p...o.r.g./.
00b0 _ 73 00 6f 00 61 00 70 00 2f 00 65 00 6e 00 76 00 _ s.o.a.p./.e.n.v.
00c0 _ 65 00 6c 00 6f 00 70 00 65 00 2f 00 22 00 3e 00 _ e.l.o.p.e./.".>.
00d0 _ 3c 00 73 00 3a 00 48 00 65 00 61 00 64 00 65 00 _ <.s.:.H.e.a.d.e.
00e0 _ 72 00 3e 00 3c 00 68 00 3a 00 63 00 64 00 20 00 _ r.>.<.h.:.c.d. .
00f0 _ 78 00 6d 00 6c 00 6e 00 73 00 3a 00 68 00 3d 00 _ x.m.l.n.s.:.h.=.
0100 _ 22 00 68 00 74 00 74 00 70 00 3a 00 2f 00 2f 00 _ ".h.t.t.p.:././.
0110 _ 73 00 63 00 68 00 65 00 6d 00 61 00 73 00 2e 00 _ s.c.h.e.m.a.s...
0120 _ 6d 00 69 00 63 00 72 00 6f 00 73 00 6f 00 66 00 _ m.i.c.r.o.s.o.f.
0130 _ 74 00 2e 00 63 00 6f 00 6d 00 2f 00 77 00 69 00 _ t...c.o.m./.w.i.
0140 _ 6e 00 64 00 6f 00 77 00 73 00 6d 00 65 00 74 00 _ n.d.o.w.s.m.e.t.
0150 _ 61 00 64 00 61 00 74 00 61 00 2f 00 73 00 65 00 _ a.d.a.t.a./.s.e.
0160 _ 72 00 76 00 69 00 63 00 65 00 73 00 2f 00 32 00 _ r.v.i.c.e.s./.2.
0170 _ 30 00 30 00 37 00 2f 00 30 00 39 00 2f 00 31 00 _ 0.0.7./.0.9./.1.
0180 _ 38 00 2f 00 64 00 6d 00 73 00 22 00 3e 00 3c 00 _ 8./.d.m.s.".>.<.
0190 _ 68 00 3a 00 63 00 76 00 3e 00 31 00 30 00 2e 00 _ h.:.c.v.>.1.0...
01a0 _ 30 00 2e 00 31 00 37 00 31 00 33 00 34 00 3c 00 _ 0...1.7.1.3.4.<.
01b0 _ 2f 00 68 00 3a 00 63 00 76 00 3e 00 3c 00 68 00 _ /.h.:.c.v.>.<.h.
01c0 _ 3a 00 63 00 63 00 3e 00 4e 00 4c 00 44 00 3c 00 _ :.c.c.>.N.L.D.<.
01d0 _ 2f 00 68 00 3a 00 63 00 63 00 3e 00 3c 00 2f 00 _ /.h.:.c.c.>.<./.
01e0 _ 68 00 3a 00 63 00 64 00 3e 00 3c 00 2f 00 73 00 _ h.:.c.d.>.<./.s.
01f0 _ 3a 00 48 00 65 00 61 00 64 00 65 00 72 00 3e 00 _ :.H.e.a.d.e.r.>.
0200 _ 3c 00 73 00 3a 00 42 00 6f 00 64 00 79 00 3e 00 _ <.s.:.B.o.d.y.>.
0210 _ 3c 00 44 00 65 00 76 00 69 00 63 00 65 00 4d 00 _ <.D.e.v.i.c.e.M.
0220 _ 65 00 74 00 61 00 64 00 61 00 74 00 61 00 42 00 _ e.t.a.d.a.t.a.B.
0230 _ 61 00 74 00 63 00 68 00 52 00 65 00 71 00 75 00 _ a.t.c.h.R.e.q.u.
0240 _ 65 00 73 00 74 00 20 00 78 00 6d 00 6c 00 6e 00 _ e.s.t. .x.m.l.n.
0250 _ 73 00 3d 00 22 00 68 00 74 00 74 00 70 00 3a 00 _ s.=.".h.t.t.p.:.
0260 _ 2f 00 2f 00 73 00 63 00 68 00 65 00 6d 00 61 00 _ /./.s.c.h.e.m.a.
0270 _ 73 00 2e 00 6d 00 69 00 63 00 72 00 6f 00 73 00 _ s...m.i.c.r.o.s.
0280 _ 6f 00 66 00 74 00 2e 00 63 00 6f 00 6d 00 2f 00 _ o.f.t...c.o.m./.
0290 _ 77 00 69 00 6e 00 64 00 6f 00 77 00 73 00 6d 00 _ w.i.n.d.o.w.s.m.
02a0 _ 65 00 74 00 61 00 64 00 61 00 74 00 61 00 2f 00 _ e.t.a.d.a.t.a./.
02b0 _ 73 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 _ s.e.r.v.i.c.e.s.
02c0 _ 2f 00 32 00 30 00 30 00 37 00 2f 00 30 00 39 00 _ /.2.0.0.7./.0.9.
02d0 _ 2f 00 31 00 38 00 2f 00 64 00 6d 00 73 00 22 00 _ /.1.8./.d.m.s.".
02e0 _ 3e 00 3c 00 4c 00 6f 00 63 00 4c 00 69 00 73 00 _ >.<.L.o.c.L.i.s.
02f0 _ 74 00 3e 00 3c 00 6c 00 6f 00 63 00 3e 00 4d 00 _ t.>.<.l.o.c.>.M.
0300 _ 75 00 6c 00 74 00 69 00 4c 00 6f 00 63 00 3c 00 _ u.l.t.i.L.o.c.<.
0310 _ 2f 00 6c 00 6f 00 63 00 3e 00 3c 00 6c 00 6f 00 _ /.l.o.c.>.<.l.o.
0320 _ 63 00 3e 00 65 00 6e 00 2d 00 55 00 53 00 3c 00 _ c.>.e.n.-.U.S.<.
0330 _ 2f 00 6c 00 6f 00 63 00 3e 00 3c 00 6c 00 6f 00 _ /.l.o.c.>.<.l.o.
0340 _ 63 00 3e 00 65 00 6e 00 3c 00 2f 00 6c 00 6f 00 _ c.>.e.n.<./.l.o.
0350 _ 63 00 3e 00 3c 00 2f 00 4c 00 6f 00 63 00 4c 00 _ c.>.<./.L.o.c.L.
0360 _ 69 00 73 00 74 00 3e 00 3c 00 4d 00 49 00 44 00 _ i.s.t.>.<.M.I.D.
0370 _ 52 00 65 00 71 00 75 00 65 00 73 00 74 00 73 00 _ R.e.q.u.e.s.t.s.
0380 _ 3e 00 3c 00 67 00 64 00 6d 00 64 00 6d 00 69 00 _ >.<.g.d.m.d.m.i.
0390 _ 64 00 3e 00 3c 00 72 00 69 00 64 00 3e 00 32 00 _ d.>.<.r.i.d.>.2.
03a0 _ 3c 00 2f 00 72 00 69 00 64 00 3e 00 3c 00 6d 00 _ <./.r.i.d.>.<.m.
03b0 _ 69 00 64 00 3e 00 34 00 31 00 33 00 35 00 46 00 _ i.d.>.4.1.3.5.F.
03c0 _ 37 00 46 00 42 00 2d 00 38 00 41 00 43 00 37 00 _ 7.F.B.-.8.A.C.7.
03d0 _ 2d 00 35 00 35 00 39 00 44 00 2d 00 38 00 38 00 _ -.5.5.9.D.-.8.8.
03e0 _ 38 00 35 00 2d 00 45 00 36 00 41 00 42 00 30 00 _ 8.5.-.E.6.A.B.0.
03f0 _ 37 00 33 00 43 00 37 00 41 00 39 00 36 00 3c 00 _ 7.3.C.7.A.9.6.<.
0400 _ 2f 00 6d 00 69 00 64 00 3e 00 3c 00 2f 00 67 00 _ /.m.i.d.>.<./.g.
0410 _ 64 00 6d 00 64 00 6d 00 69 00 64 00 3e 00 3c 00 _ d.m.d.m.i.d.>.<.
0420 _ 2f 00 4d 00 49 00 44 00 52 00 65 00 71 00 75 00 _ /.M.I.D.R.e.q.u.
0430 _ 65 00 73 00 74 00 73 00 3e 00 3c 00 48 00 57 00 _ e.s.t.s.>.<.H.W.
0440 _ 49 00 44 00 52 00 65 00 71 00 75 00 65 00 73 00 _ I.D.R.e.q.u.e.s.
0450 _ 74 00 73 00 3e 00 3c 00 2f 00 48 00 57 00 49 00 _ t.s.>.<./.H.W.I.
0460 _ 44 00 52 00 65 00 71 00 75 00 65 00 73 00 74 00 _ D.R.e.q.u.e.s.t.
0470 _ 73 00 3e 00 3c 00 2f 00 44 00 65 00 76 00 69 00 _ s.>.<./.D.e.v.i.
0480 _ 63 00 65 00 4d 00 65 00 74 00 61 00 64 00 61 00 _ c.e.M.e.t.a.d.a.
0490 _ 74 00 61 00 42 00 61 00 74 00 63 00 68 00 52 00 _ t.a.B.a.t.c.h.R.
04a0 _ 65 00 71 00 75 00 65 00 73 00 74 00 3e 00 3c 00 _ e.q.u.e.s.t.>.<.
04b0 _ 2f 00 73 00 3a 00 42 00 6f 00 64 00 79 00 3e 00 _ /.s.:.B.o.d.y.>.
04c0 _ 3c 00 2f 00 73 00 3a 00 45 00 6e 00 76 00 65 00 _ <./.s.:.E.n.v.e.
04d0 _ 6c 00 6f 00 70 00 65 00 3e 00 _ _ _ _ _ _ _ _ _ _ l.o.p.e.>.

XML made readable (although without indenting):
<?xml version="1.0" encoding="UTF-16"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:Header>
<h:cd xmlns:h="http://schemas.microsoft.com/windowsmetadata/services/2007/09/18/dms">
<h:cv>10.0.17134
</h:cv>
<h:cc>NLD
</h:cc>
</h:cd>
</s:Header>
<s:Body>
<DeviceMetadataBatchRequest xmlns="http://schemas.microsoft.com/windowsmetadata/services/2007/09/18/dms">
<LocList>
<loc>MultiLoc
</loc>
<loc>en-US
</loc>
<loc>en
</loc>
</LocList>
<MIDRequests>
<gdmdmid>
<rid>2
</rid>
<mid>4135F7FB-8AC7-559D-8885-E6AB073C7A96
</mid>
</gdmdmid>
</MIDRequests>
<HWIDRequests>
</HWIDRequests>
</DeviceMetadataBatchRequest>
</s:Body>
</s:Envelope>

In frame 558 the same data is resent to another server (again via http).

Then the same shebang is repeated in the frames starting with 576 (just showing the XML):
<?xml version="1.0" encoding="UTF-16"?>
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:Header>
<h:cd xmlns:h="http://schemas.microsoft.com/windowsmetadata/services/2007/09/18/dms">
<h:cv>10.0.17134
</h:cv>
<h:cc>NLD
</h:cc>
</h:cd>
</s:Header>
<s:Body>
<DeviceMetadataBatchRequest xmlns="http://schemas.microsoft.com/windowsmetadata/services/2007/09/18/dms">
<LocList>
<loc>MultiLoc
</loc>
<loc>en-US
</loc>
<loc>en
</loc>
</LocList>
<MIDRequests>
<gdmdmid>
<rid>6
</rid>
<mid>72D56907-E6D0-5281-AFC6-2B32CF4597DF
</mid>
</gdmdmid>
</MIDRequests>
<HWIDRequests>
</HWIDRequests>
</DeviceMetadataBatchRequest>
</s:Body>
</s:Envelope>

W10 pro, version 1803, OS build 17134.228, latest updates installed (English interface).
Diagnostic data set to "Basic", and all settings affecting privacy as conservative as possible.
Reacties (39)
19-08-2018, 20:07 door Bitwiper - Bijgewerkt: 19-08-2018, 20:07
Note that this is not what worries me most. One of my real worries is that W10, by default, also transmits WPAD requests (see https://github.com/SpiderLabs/Responder and https://pentest.blog/what-is-llmnr-wpad-and-how-to-abuse-them-during-pentest/ for the risks), and can only (AFAIK) be disabled by editing the registry (one cannot disable "WinHttpAutoProxySvc" AKA the "WinHTTP Web Proxy Auto-Discovery Service" from services.msc). However, each W10 upgrade will re-enable autostart of that service.

I wonder how much WPAD requests are received by the DNS root servers.
19-08-2018, 20:52 door [Account Verwijderd] - Bijgewerkt: 19-08-2018, 21:01
Bitwiper, ik ga er eens wat dieper induiken.

Hartelijk dank!

Wrebra
19-08-2018, 21:02 door karma4 - Bijgewerkt: 19-08-2018, 21:05
XML kan ik lezen en vinden: https://technet.microsoft.com/en-us/ff541135(v=vs.96) elders kwam ik wat tegen over een automatische checks en installeren ontbrekende software/drivers.
https://docs.microsoft.com/en-us/windows-hardware/drivers/install/deviceinfo-xml-document
19-08-2018, 21:57 door Anoniem
L.S.

In dit verband ook een interessante discussie hier https://github.com/StevenBlack/hosts/issues/155

In dit verband ook hier deze link https://github.com/10se1ucgo/DisableWinTracking
Windows Defender en MalwareBytes Beta extension zullen wel alarm slaan, net zoals VoodooShield.
Download link is volgens VT schoon hier en krijgt nog een +1 vanwege de scangemeenschap: https://www.virustotal.com/#/url/8bce1cc364af4d2a74e381e7ef1190c93ec993931e56e2be79a2dafd8d376957/detection

Het meest kwalijke aspect van wat hierboven door Bitwiper wordt vermeld is wel, dat het verkeer over een onversleutelde en onveilige verbinding plaats vindt. Dat mag niet meer na https only wordt gepropageerd alom.
Waarom dit feitelijk zo is, zal wel weer wat negatieve stof om te overpeinzen doen oplaaien, hoop ik.
Wie het niet interesseert, verdient m.i. niet beter.

In ieder geval weer dank aan Bitwiper voor de "heads up".
Mijn bewustzijn is door Bitwipers bijdragen hier op deze site goed aangescherpt. Hulde daarvoor.

luntrus
19-08-2018, 22:15 door Anoniem
@ karma4,

Hoort eigenlijk achter een proxy, zoals deze : https://github.com/spin6lock/pydnsproxy/blob/master/website_addr
20-08-2018, 15:07 door Anoniem
Bitwiper, goed dat je dit onderzoekt. Ik heb een paar vragen. Wat is de ID die wordt genoemd in de XML? Is dat een unieke device ID op je computer?

Als je bijvoorbeeld zoekt in de registry, kom je dan deze mid (GUID) tegen? Zo ja, kun je die key met subkeys eens tonen?

Alle id's van USB keys die je ooit hebt gebruikt worden opgeslagen worden opgeslagen in de registry onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB.

Het meest kwalijke aspect van wat hierboven door Bitwiper wordt vermeld is wel, dat het verkeer over een onversleutelde en onveilige verbinding plaats vindt.

Mee eens, als het is wat ik denk dat het is, is dit een goudmijn voor inlichtingendiensten om te zien hoe operaties (zoals het neerleggen van een USB key) verlopen.
20-08-2018, 16:20 door Anoniem
Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.
"Move along, nothing to see here."
20-08-2018, 17:47 door Anoniem
Door Anoniem: Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.
"Move along, nothing to see here."

"don't jump to conclusions"

Zie jij een vendor en device ID? Ik niet.
20-08-2018, 18:04 door Anoniem
Blijft dan nog de vraag overeind- waarom niet via een veilige connectie via https, maar over http?

Anoniem van 15:07 heeft wel een vermoeden met zijn mogelijke antwoord,
waarop hij echter nooit een bewijzend antwoord zal krijgen te zien.

Het is Bitwiper's verdienste, dat ie 't tenminste onderzoekt.

Dit is nu net de reden om achter pi-hole te zitten, een zekerheid in een omgeving met veel vraagtekens.
21-08-2018, 08:20 door Bitwiper
Met omgekeerde volgorde van jouw tekst:
Door Anoniem: Alle id's van USB keys die je ooit hebt gebruikt worden opgeslagen worden opgeslagen in de registry onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB.

Als je bijvoorbeeld zoekt in de registry, kom je dan deze mid (GUID) tegen?
Beide GUID's niet gevonden. Maar ook als admin heb ik geen toegang tot de "Properties" subkey onder de door jou genoemde registersleutels (en ik had tijd noch zin om naar SYSTEM te escaleren).

Denkbaar is dat Microsoft deze GUID's "anonymiseert" door ze bijv. met 0x55 te XOR-en. Die "sleutel" kan natuurlijk langer zijn en ze zouden deze ook nog eens bijv. elke dag (aan beide zijden natuurlijk) kunnen wijzigen - waardoor het steeds meer op versleutelen gaat lijken - maar dat neemt nog steeds niet alle risico's weg.

Aangezien het totaal onzinnig is om jouw klanten GUID's te laten versturen als je daar vervolgens, als Microsoft, niets mee kunt, moet hier een reden voor zijn. Bijv. tracken op welke PC's een specifiek USB device wordt aangesloten. Dat kan best met goede bedoelingen zijn, bijv. om te onderzoeken hoe malware zich verplaatst. Maar als je die gegevens hebt, kun je natuurlijk ook verbanden tussen verschillende computers en dus gebruikers leggen. Zo zou Microsoft kunnen weten waar ik werk en wie mijn ouders zijn, want ook daar zou ik zo'n HDD kunnen aansluiten. Probleem: profilerende informatie is steeds meer geld waard - en het barst van de strontvliegen.

Gisteravond heb ik nog even op m'n W7 PC gekeken wat deze stuurt na aansluiten van dezelfde externe USB HDD: daar zat geen GUID bij, maar werden plain text gegevens verzonden (waaronder "Seagate" en andere kreten met ampersands die je in de door jou genoemde registry keys vindt).

Op de zaak is het erg druk, maar als ik even tijd vind doe ik een testje met dezelfde HDD aan een andere W10 PC (met Wireshark erop).

Door Anoniem:
Het meest kwalijke aspect van wat hierboven door Bitwiper wordt vermeld is wel, dat het verkeer over een onversleutelde en onveilige verbinding plaats vindt.

Mee eens, als het is wat ik denk dat het is, is dit een goudmijn voor inlichtingendiensten om te zien hoe operaties (zoals het neerleggen van een USB key) verlopen.

Los van wat Microsoft doet met deze info, waarvan IK niet wil dat zij deze van mijn spullen verzamelt:
- Doordat de info via http gaat kan ook iedereen onderweg profileren. Denk aan werkevers (die zo ook kunnen zien dat iemand een externe HDD aansluit, maar bij een USB geheugenstick insteken werd er, tegen mijn verwachting in, niks verzonden), ISP's, WiFi verstrekkers (zoals hoteliers) en ook verderop iedereen met toegang tot verbindingen (al dan niet "legitiem");

- Naar verluidt zou Microsoft dit systeem inzetten om ontbrekende drivers te downloaden. Maar dat is onzin in dit geval, want deze HDD is al tig keer aangesloten geweest (de gegevens ervan staan in het register). Checken of er wellicht eem updated driver voor is. is ook crap want bij mijn weten lopen alle reeds geïnstalleerde drivers mee in het reguliere updateproces. Echter, als het toch om drivers (of updates daarvan) gaat, impliceert dit een potentieel security risico. Stel een aanvaller heeft weet van een kwetsbaarheid/backoor in een willekeurige driver in de Microsoft repository. Als MITM kan zij dan zo'n http POST naar Microsoft wijzigen en wellicht mijn PC overhalen om die kwetsbare (doch signed en uit "betrouwbare bron") driver te installeren, ook al is het een driver voor een heel ander device (of niet eens een driver). Dit is enigszins vergelijkbaar met een bekende ActiveX aanvalstechniek van destijds: laat de MSIE een plugin met bekend gat downloaden en starten waarna de aanvaller de exploit stuurt.

Maar er zijn ook aanvallers die zelf drivers (met bijwerkingen naar keuze) kunnen signeren. En wellicht dat het, via deze route, ook mogelijk is om third party downloads uit te lokken.

Kortom, dat dit via http gaat is bezopen. Maar sowieso wil ik niet dat mijn PC allerlei informatie, "voor mijn eigen bestwil" of niet, naar Microsoft stuurt (en ik erger me dood aan reacties zoals van de anoniem troll gisteren 16:20). Want ik heb geen idee wie bij Microsoft en partners toegang hebben tot deze informatie, noch of al die mensen daar wel integer mee omgaan, noch of deze informatie (al dan niet verrijkt, bijv. door te zijn gekoppeld aan andere data) verder wel veilg wordt getransporteerd, bewerkt en/of opgeslagen - gezien het gebruik van http heeft Redmond de schijn volledig tegen. In Nederland mag je, als huisbaas met reservesleutel, toch ook niet ongevraagd huizen van jouw huurders betreden?
21-08-2018, 09:08 door Anoniem
Is als het goed is gewoon uit te zetten: https://forums.guru3d.com/threads/windows-10-registry-tweak-for-disabling-drivers-auto-update-controversy.418033/

Voor de rest... Adem in... Adem uit.... Adem in....Admin uit.....
21-08-2018, 11:01 door Anoniem
Handig ! =>

NSA Collects MS Windows Error Information
https://www.schneier.com/blog/archives/2017/08/nsa_collects_ms.html

Lekker sniffen, als het allemaal unencrypted is. Al kunnen ze de data vast ook bij MS opvragen (vorderen).
21-08-2018, 11:03 door Anoniem
Is als het goed is gewoon uit te zetten

Tja, maar dat maakt de design flaw dat het *unencrypted* verzonden wordt er niet minder om. Fijn dat je het ''gewoon'' uit kan zetten (wat misschien 0.0001% van de gebruikers doet); het zou gewoon veiliger kunnen.

Voor de rest... Adem in... Adem uit.... Adem in....Admin uit.....

Kom je altijd met dit soort bizarre reacties op discussies ? ;)
21-08-2018, 13:50 door Anoniem
Door Anoniem:
Door Anoniem: Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.
"Move along, nothing to see here."

"don't jump to conclusions"

Zie jij een vendor en device ID? Ik niet.

Dan moet je beter kijken, kijk eens:
<mid>4135F7FB-8AC7-559D-8885-E6AB073C7A96</mid>
21-08-2018, 13:53 door Anoniem
Door Bitwiper: Met omgekeerde volgorde van jouw tekst:
Door Anoniem: Alle id's van USB keys die je ooit hebt gebruikt worden opgeslagen worden opgeslagen in de registry onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB.

Als je bijvoorbeeld zoekt in de registry, kom je dan deze mid (GUID) tegen?
Beide GUID's niet gevonden. Maar ook als admin heb ik geen toegang tot de "Properties" subkey onder de door jou genoemde registersleutels (en ik had tijd noch zin om naar SYSTEM te escaleren).

Denkbaar is dat Microsoft deze GUID's "anonymiseert" door ze bijv. met 0x55 te XOR-en. Die "sleutel" kan natuurlijk langer zijn en ze zouden deze ook nog eens bijv. elke dag (aan beide zijden natuurlijk) kunnen wijzigen - waardoor het steeds meer op versleutelen gaat lijken - maar dat neemt nog steeds niet alle risico's weg.

Aangezien het totaal onzinnig is om jouw klanten GUID's te laten versturen als je daar vervolgens, als Microsoft, niets mee kunt, moet hier een reden voor zijn. Bijv. tracken op welke PC's een specifiek USB device wordt aangesloten. Dat kan best met goede bedoelingen zijn, bijv. om te onderzoeken hoe malware zich verplaatst. Maar als je die gegevens hebt, kun je natuurlijk ook verbanden tussen verschillende computers en dus gebruikers leggen. Zo zou Microsoft kunnen weten waar ik werk en wie mijn ouders zijn, want ook daar zou ik zo'n HDD kunnen aansluiten. Probleem: profilerende informatie is steeds meer geld waard - en het barst van de strontvliegen.

Gisteravond heb ik nog even op m'n W7 PC gekeken wat deze stuurt na aansluiten van dezelfde externe USB HDD: daar zat geen GUID bij, maar werden plain text gegevens verzonden (waaronder "Seagate" en andere kreten met ampersands die je in de door jou genoemde registry keys vindt).

Op de zaak is het erg druk, maar als ik even tijd vind doe ik een testje met dezelfde HDD aan een andere W10 PC (met Wireshark erop).

Door Anoniem:
Het meest kwalijke aspect van wat hierboven door Bitwiper wordt vermeld is wel, dat het verkeer over een onversleutelde en onveilige verbinding plaats vindt.

Mee eens, als het is wat ik denk dat het is, is dit een goudmijn voor inlichtingendiensten om te zien hoe operaties (zoals het neerleggen van een USB key) verlopen.

Los van wat Microsoft doet met deze info, waarvan IK niet wil dat zij deze van mijn spullen verzamelt:
- Doordat de info via http gaat kan ook iedereen onderweg profileren. Denk aan werkevers (die zo ook kunnen zien dat iemand een externe HDD aansluit, maar bij een USB geheugenstick insteken werd er, tegen mijn verwachting in, niks verzonden), ISP's, WiFi verstrekkers (zoals hoteliers) en ook verderop iedereen met toegang tot verbindingen (al dan niet "legitiem");

- Naar verluidt zou Microsoft dit systeem inzetten om ontbrekende drivers te downloaden. Maar dat is onzin in dit geval, want deze HDD is al tig keer aangesloten geweest (de gegevens ervan staan in het register). Checken of er wellicht eem updated driver voor is. is ook crap want bij mijn weten lopen alle reeds geïnstalleerde drivers mee in het reguliere updateproces. Echter, als het toch om drivers (of updates daarvan) gaat, impliceert dit een potentieel security risico. Stel een aanvaller heeft weet van een kwetsbaarheid/backoor in een willekeurige driver in de Microsoft repository. Als MITM kan zij dan zo'n http POST naar Microsoft wijzigen en wellicht mijn PC overhalen om die kwetsbare (doch signed en uit "betrouwbare bron") driver te installeren, ook al is het een driver voor een heel ander device (of niet eens een driver). Dit is enigszins vergelijkbaar met een bekende ActiveX aanvalstechniek van destijds: laat de MSIE een plugin met bekend gat downloaden en starten waarna de aanvaller de exploit stuurt.

Maar er zijn ook aanvallers die zelf drivers (met bijwerkingen naar keuze) kunnen signeren. En wellicht dat het, via deze route, ook mogelijk is om third party downloads uit te lokken.

Kortom, dat dit via http gaat is bezopen. Maar sowieso wil ik niet dat mijn PC allerlei informatie, "voor mijn eigen bestwil" of niet, naar Microsoft stuurt (en ik erger me dood aan reacties zoals van de anoniem troll gisteren 16:20). Want ik heb geen idee wie bij Microsoft en partners toegang hebben tot deze informatie, noch of al die mensen daar wel integer mee omgaan, noch of deze informatie (al dan niet verrijkt, bijv. door te zijn gekoppeld aan andere data) verder wel veilg wordt getransporteerd, bewerkt en/of opgeslagen - gezien het gebruik van http heeft Redmond de schijn volledig tegen. In Nederland mag je, als huisbaas met reservesleutel, toch ook niet ongevraagd huizen van jouw huurders betreden?

Wat betreft "Doordat de info via http gaat kan ook iedereen onderweg profileren", dat kan ook als het over HTTPS gaat, https laat nog steeds zien WAAR je heen gaat.
En in dit geval kunnen ze dan alsnog zien dat Windows een hardware check doet voor een extern apparaat.
21-08-2018, 20:23 door Bitwiper - Bijgewerkt: 21-08-2018, 20:25
Door Anoniem: Wat betreft "Doordat de info via http gaat kan ook iedereen onderweg profileren", dat kan ook als het over HTTPS gaat, https laat nog steeds zien WAAR je heen gaat.
En in dit geval kunnen ze dan alsnog zien dat Windows een hardware check doet voor een extern apparaat.
Nogmaals, het gaat om een HDD die al tig keer aangesloten is geweest en waar nooit een driver voor gedownload hoefde te worden. Wat Microsoft doet is ordinair bespioneren, en omdat ze dat in dit geval hersenloos via http doen, kan ik eenvoudig zien wat ze uitvreten.

Ik heb allang het plan om ook het https verkeer naar Microsoft te gaan inspecteren, maar dat is een stuk lastiger, maakt mijn PC's kwetsbaarder en kost tijd. Tijd die, met een drukke baan en een privé leven (ja echt) niet onbeperkt voorradig is. Het is te triest voor woorden dat ik mijn OS en KA leverancier niet kan vertrouwen, ondanks recent aangescherpte wetgeving.

Door vendor lock-in komt zij hier, helaas, mee weg. Ik vind Microsoft een respectloze, inovatiefloze en qua beveiliging ernstig falende club zakkenvullers en kan niet wachten tot er bruikbare en klantvriendelijke alternatieven (graag meer dan 1) voor desktops en notebooks verschijnen (en nee, die combinatie van eigenschappen bestaat momenteel nog niet).
21-08-2018, 20:35 door karma4
Door Bitwiper: ...
Door vendor lock-in komt zij hier, helaas, mee weg. Ik vind Microsoft een respectloze, inovatiefloze en qua beveiliging ernstig falende club zakkenvullers en kan niet wachten tot er bruikbare en klantvriendelijke alternatieven (graag meer dan 1) voor desktops en notebooks verschijnen (en nee, die combinatie van eigenschappen bestaat momenteel nog niet).
Dat is de negatieve houding die niemand goed doet.
Ik heb nog een hele waslijst van leveranciers waar het zelfde gezegd van kan worden. Ik weet zeker dat in dat lijstje jij persoonlijk beledigd bent.
21-08-2018, 22:32 door Anoniem
Voor wat betreft die WPADs meen ik me te herinneren dat ik eens heb gezien dat het leek alsof ze door de router werden gegenereerd, omdat op het local netwerk hier niets van te zien was.

Normaal meet je met Wireshark op je local network, maar meestal niet achter de router wat er uit gaat.
Dat is ook ietsje lastiger omdat je op die plek niet eenvoudig een netwerkhub kan hangen op het aansluitpunt van je provider en met computer met Wireshark er even bijgezet. Daar heeft je provider wel een stokje voor gestoken want je krijgt geen 2 provider IP-adressen tegelijk op 1 internetaansluiting.

Dus ik heb 2 routers achter elkaar gezet en daartussenin kan je de output van de 1e router zien,
want op dat punt kan je wel een netwerkhub oid toevoegen als je ze goed configureert.
En dan zie je dus met Wireshark wat er werkelijk uit de router naar buiten komt.
21-08-2018, 22:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.
"Move along, nothing to see here."

"don't jump to conclusions"

Zie jij een vendor en device ID? Ik niet.

Dan moet je beter kijken, kijk eens:
<mid>4135F7FB-8AC7-559D-8885-E6AB073C7A96</mid>

Dat is geen vendor of device type ID. Weet je hoe die eruit zien?

Als je reageert, doe dat dan met onderbouwing. Met niet onderbouwde bewering komen we niets verder.
21-08-2018, 22:57 door Anoniem
@Bitiper en @karma4,

Maar als we dit nu eens kunnen stellen als een algemener gegeven en men er ook "in het algemeen gesproken" steeds weer mee weg weet te komen, zit er dan niet iets goed structureel fout? Dat is mijn vraag.

Het is net als met DNS manipulatie in China, Iran & Indonesië en DNS manipulatie via ISPs in Nieuw-Zeeland & Turkije bijvoorbeeld. Het is bekend, het is gemeten en onderzocht door wetenschappers van de Berkely Uni via het Iris programma, maar de gevolgtrekkingen van wat men er mee doet, komt niet bij een groot publiek over.

Men weet niet dat het censureren via DNS manipulatie aangaande de vrijheid van meningsuiting veel en veel vaker voorkomt dan voor een onderdeel als porno bij voorbeeld en anderszins DNS manipulatie van P2P diensten en bij voorbeeld tor veel meer gewicht in de schaal legt in veel meer landen dan de 16 meest censurerende naties globaal.

Zo is het met telemetrie onderzoeken voor de grote Big Tech monopolisten ook, maar deze niet alleen. Op de een of andere manier hebben wij niet kunnen aantonen en/of overbrengen aan het grote publiek hoe onbetrouwbaar het wereldwijde web, waarop ze zoveel tijd doorbrengen geworden is. Op diensten, op domeinen, op IPs, op CDNs, op platforms, OS, vooral op code enz. enz. We worden echt met open ogen technisch om het op z'n goed Hollands maar eens uit te drukken constant vern**kt & verkl**t.

Jammer dat de mensen er niet naar kunnen kijken met de wetenschap van iemand, die op een groot forum platform al jarenlang met 3rd party cold reconnaissance website security scanning bezig is. Ik heb allerlei onveiligheid gezien.
Het is niet om vrolijk van te worden en wat het ergste nog is - er wordt maar mondjesmaat iets fundamenteels aan gedaan.

Ook de bewustwording bij degenen die het veiliger moeten kunnen maken, is vaak belabberd, of ze weten het wel, maar hebben geen stem in het kapittel. Heel frustrerend, zoals Bitwiper terecht aangeeft. Het probleem is helaas breder als alleen bij Windhoos van Micro$oft en op Android van G*ggle. Het is het niet serieus nemen van de eindgebruiker vaak. Arrogantie van de monopolie-macht. Deus vult kennelijk.
22-08-2018, 00:37 door Anoniem
Door Anoniem:

Dit is nu net de reden om achter pi-hole te zitten, een zekerheid in een omgeving met veel vraagtekens.

Dat begrijp ik niet.

Had de indruk dat een Pi-Hole op DNS niveau adverteerders en trackers een voet dwars zet, namelijk door die domeinen uit te filteren. Hoe is Pi-Hole dan ook in staat zijn om een Win10 calling home te dwarsbomen?
22-08-2018, 10:05 door karma4
Door Anoniem: @Bitiper en @karma4,
Maar als we dit nu eens kunnen stellen als een algemener gegeven en men er ook "in het algemeen gesproken" steeds weer mee weg weet te komen, zit er dan niet iets goed structureel fout? Dat is mijn vraag.
...

Het probleem is helaas breder als alleen bij Windhoos van Micro$oft en op Android van G*ggle. Het is het niet serieus nemen van de eindgebruiker vaak. Arrogantie van de monopolie-macht. Deus vult kennelijk.
Anoniem (? Ik zie een bekende formulering) Je stelt goede vragen. Het is maar net waar je de focus op legt.
Voor thuis wil ik het eenvoudig houden, he moet goed genoeg werken. Alles van tracking data lekken moet via regulering aangepakt worden. Met auto-update heb je balans, je wilt dat zoiets vanzelf gaat en door de leverancier onderhouden wordt.

Het centraal verzamelen van data wat niet nodig is, daar zit je veel meer met de cultuur hoe aan bedrijfskant enterprises gedacht wordt. Dan zit je veel meer op de informatie zelf en de daaronder liggende servers. Desktops kun je isoleren en als je dat nodig vindt netwerkverkeer filteren en blokkeren. Mijn focus ligt op die hoek waar de bewustwording wat er gebeurt en waarom en dan de overwegingen om dat veiliger te maken fnuikend is.


Voor webverkeer vind ik het eigenlijk ongelooflijk de hoeveelheid trackers die er overal ingebouwd worden met externe services en crossdomain links.
22-08-2018, 11:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.
"Move along, nothing to see here."

"don't jump to conclusions"

Zie jij een vendor en device ID? Ik niet.

Dan moet je beter kijken, kijk eens:
<mid>4135F7FB-8AC7-559D-8885-E6AB073C7A96</mid>

Dat is geen vendor of device type ID. Weet je hoe die eruit zien?

Als je reageert, doe dat dan met onderbouwing. Met niet onderbouwde bewering komen we niets verder.

Een door hun samengesteld UUID welke wordt gecontroleerd in hun driver/update database.
22-08-2018, 11:22 door -karma4
Door Bitwiper: ... Kortom, dat dit via http gaat is bezopen. Maar sowieso wil ik niet dat mijn PC allerlei informatie, "voor mijn eigen bestwil" of niet, naar Microsoft stuurt (en ik erger me dood aan reacties zoals van de anoniem troll gisteren 16:20).

Natuurlijk wil je dit niet! En zeker niet over http.

Door Bitwiper: Want ik heb geen idee wie bij Microsoft en partners toegang hebben tot deze informatie, noch of al die mensen daar wel integer mee omgaan, noch of deze informatie (al dan niet verrijkt, bijv. door te zijn gekoppeld aan andere data) verder wel veilg wordt getransporteerd, bewerkt en/of opgeslagen - gezien het gebruik van http heeft Redmond de schijn volledig tegen. In Nederland mag je, als huisbaas met reservesleutel, toch ook niet ongevraagd huizen van jouw huurders betreden?

Met de AVG/GDPR in de hand zou hier toch iets aan gedaan moeten kunnen worden! Ik vermoed dat dit (nog) te weinig bekendheid heeft gekregen om voor grote publieke verontwaardiging te zorgen.
22-08-2018, 11:24 door Anoniem
Door Bitwiper: In antwoord op vragen in de thread https://www.security.nl/posting/573853/Usb-beveiligingsleutel+aangekondigd+die+volledig+open+source+is. Het volgende is in het Engels zodat ook niet-Nederlandstaligen dit kunnen lezen (onder voorwaarde dat ze Engels snappen natuurlijk).

Bedankt!

DTM
22-08-2018, 11:48 door Anoniem
@ anoniem van 00:37

Bij Pi-Hole staat Windows10 Spying & Telemetry Blocking per default uit en moet op aan gezet worden.

Lees: https://discourse.pi-hole.net/t/windows-10-spying-telemetry-blocking/8001

Je kunt dus bij Pi-Hole diverse lijsten toevoegen:
https://github.com/pi-hole/pi-hole/wiki/Customising-sources-for-ad-lists

Bij voorbeeld deze enorme NoTrack lijst:
https://raw.githubusercontent.com/quidsup/notrack/master/trackers.txt

Er kan met Pi-Hole al naar gelang van je behoefte heel wat getweaked worden.

luntrus
22-08-2018, 13:03 door karma4
Door The FOSS: ...
Met de AVG/GDPR in de hand zou hier toch iets aan gedaan moeten kunnen worden! Ik vermoed dat dit (nog) te weinig bekendheid heeft gekregen om voor grote publieke verontwaardiging te zorgen.
Veel schokkender website trackers:
- https://www.security.nl/posting/559223/Verzekeraar+Websites+op+%27Privacy%27+vergeleken
Het heet standaard en gaat gepaard met het argumenten gratis en open source.
22-08-2018, 13:52 door -karma4 - Bijgewerkt: 22-08-2018, 13:53
Door karma4:
Door The FOSS: ...
Met de AVG/GDPR in de hand zou hier toch iets aan gedaan moeten kunnen worden! Ik vermoed dat dit (nog) te weinig bekendheid heeft gekregen om voor grote publieke verontwaardiging te zorgen.
Veel schokkender website trackers:
- https://www.security.nl/posting/559223/Verzekeraar+Websites+op+%27Privacy%27+vergeleken

Nee, dat is helemaal niet veel schokkender! Met een anonieme browser sessie of een blocker ben je er zo vanaf en sinds de AVG/GDPR is het aan voorwaarden gebonden. Dat geldt blijkbaar nog niet (genoeg) voor de hier besproken Windows telemetrie.

Door karma4: Het heet standaard en gaat gepaard met het argumenten gratis en open source.

Windows 10 heet toch ook gratis te zijn? En met open source heeft het illegalle en verwerpelijke verzamelen van gegevens gewoon helemaal niets te maken!
22-08-2018, 15:59 door Anoniem
Dit is gewoon Windows die zoekt naar drivers voor specifieke USB apparaten.

De data moet unencrypted over het internet verstuurd worden ? Je beseft je dat het risico's met zich mee brengt, wanneer je allerlij zaken m.b.t. de configuratie van een systeem unencrypted over het internet verstuurt ? Ken je de informatie welke bijvoorbeeld via Snowden naar buiten kwam, over het onderscheppen van Windows Error Reporting van mogelijke doelwitten, door de NSA, om mogelijke zwakheden op systemen te identificeren ?

"Move along, nothing to see here."

Tja, als je niet snapt waarom dit soort zaken onwenselijk zijn ? De vraag of informatie wel/niet verstuurd moet worden naar Microsoft staat los van de vraag of dit op een veilige manier gebeurt.
22-08-2018, 18:19 door karma4
Door Anoniem: ..
De data moet unencrypted over het internet verstuurd worden ? Je beseft je dat het risico's met zich mee brengt, wanneer je allerlij zaken m.b.t. de configuratie van een systeem unencrypted over het internet verstuurt ? Ken je de informatie welke bijvoorbeeld via Snowden naar buiten kwam, over het onderscheppen van Windows Error Reporting van mogelijke doelwitten, door de NSA, om mogelijke zwakheden op systemen te identificeren ?
......
Je voorbeeld heeft niets met desktops van doen. Snowden kon alle data zo meenemen met toegang en downloaden vanuit SERVERS.
Dit verkeer van een desktop zullen bij de NSA en geblokkeerd en als onbelangrijk afgedaan hebben. Het datalek Snowden hebben ze te laat opgemerkt.
22-08-2018, 21:08 door Anoniem
Hebben jullie wel eens de verbinding na je router gesniffed? ;) dan zullen jullie pas echt verbazen dat de webcam beelden die verstuurd worden niet sniffbaar zijn in de OSes, maar daarna wel. Ze maken gebruik van een ander protocol
22-08-2018, 21:21 door Anoniem
Door karma4:
Door Anoniem: ..
De data moet unencrypted over het internet verstuurd worden ? Je beseft je dat het risico's met zich mee brengt, wanneer je allerlij zaken m.b.t. de configuratie van een systeem unencrypted over het internet verstuurt ? Ken je de informatie welke bijvoorbeeld via Snowden naar buiten kwam, over het onderscheppen van Windows Error Reporting van mogelijke doelwitten, door de NSA, om mogelijke zwakheden op systemen te identificeren ?
......
Je voorbeeld heeft niets met desktops van doen. Snowden kon alle data zo meenemen met toegang en downloaden vanuit SERVERS.
Dit verkeer van een desktop zullen bij de NSA en geblokkeerd en als onbelangrijk afgedaan hebben. Het datalek Snowden hebben ze te laat opgemerkt.
Je verbindt de verkeerde dingen met elkaar.
https://threatpost.com/unencrypted-windows-error-crash-reports-a-treasure-for-nsa-hackers-alike/103363/
Snowden heeft deze waarheid aan het licht gebracht door documenten te lekken waarin dit wordt vermeld.
In dat opzicht heeft het alles met Snowden te maken. Zonder hem was het misschien niet aan het licht gekomen.
dat is overigens maar bijzaak. De kern van de boodschap is dat data via onversleutelde verbindingen hackers met kwade bedoelingen kan helpen om bijv. in te breken op je computer. (en dan heb ik het niet per se over de nsa)
22-08-2018, 21:35 door karma4
Door The FOSS: ...
Nee, dat is helemaal niet veel schokkender! Met een anonieme browser sessie of een blocker ben je er zo vanaf en sinds de AVG/GDPR is het aan voorwaarden gebonden. Dat geldt blijkbaar nog niet (genoeg) voor de hier besproken Windows telemetrie. ...
Je krijgt die websites niet werkend met een actieve blokker op alles. En need de GDPR heeft er niets aan veranderd en het AP doet er niets aan. Die zien de problematiek niet eens. Het probleem is bij de ontwerpers bouwers bekend:
https://www.commondreams.org/news/2018/05/03/utopia-dystopia-and-back-again-internet-pioneer-tim-berners-lee-calls-new-web


Wel lachen met je. Eerst klagen dat het de licentie kosten zijn (bestaan nog steeds) en dan nu klagen dat het gratis zou zijn.
Open Source wordt door groter commerciëlen misbruikt in hun verdienmodel, zoek maar eens goed naar de sponsors en de dure commerciële producten. Je laat je gebruiken in een commercieel spel en gelooft nog ergens in dat iedereen gratis en voor niets iets doet.
22-08-2018, 22:35 door Anoniem
Door Anoniem: Hebben jullie wel eens de verbinding na je router gesniffed? ;) dan zullen jullie pas echt verbazen dat de webcam beelden die verstuurd worden niet sniffbaar zijn in de OSes, maar daarna wel. Ze maken gebruik van een ander protocol

BS wireshark sniffed bijv ethernet frames. IP protocal agnostisch. knappe jonge om zonder laag 2 te ethernetten hoor!
24-08-2018, 08:20 door -karma4
Door Bitwiper: ... Kortom, dat dit via http gaat is bezopen. Maar sowieso wil ik niet dat mijn PC allerlei informatie, "voor mijn eigen bestwil" of niet, naar Microsoft stuurt (en ik erger me dood aan reacties zoals van de anoniem troll gisteren 16:20).

Natuurlijk wil je dit niet! En zeker niet over http.

Door Bitwiper: Want ik heb geen idee wie bij Microsoft en partners toegang hebben tot deze informatie, noch of al die mensen daar wel integer mee omgaan, noch of deze informatie (al dan niet verrijkt, bijv. door te zijn gekoppeld aan andere data) verder wel veilg wordt getransporteerd, bewerkt en/of opgeslagen - gezien het gebruik van http heeft Redmond de schijn volledig tegen. In Nederland mag je, als huisbaas met reservesleutel, toch ook niet ongevraagd huizen van jouw huurders betreden?

Met de AVG/GDPR in de hand zou hier toch iets aan gedaan moeten kunnen worden! Ik vermoed dat dit (nog) te weinig bekendheid heeft gekregen om voor grote publieke verontwaardiging te zorgen
24-08-2018, 10:04 door Anoniem
Door The FOSS:
Door Bitwiper: ... Kortom, dat dit via http gaat is bezopen. Maar sowieso wil ik niet dat mijn PC allerlei informatie, "voor mijn eigen bestwil" of niet, naar Microsoft stuurt (en ik erger me dood aan reacties zoals van de anoniem troll gisteren 16:20).

Natuurlijk wil je dit niet! En zeker niet over http.

Door Bitwiper: Want ik heb geen idee wie bij Microsoft en partners toegang hebben tot deze informatie, noch of al die mensen daar wel integer mee omgaan, noch of deze informatie (al dan niet verrijkt, bijv. door te zijn gekoppeld aan andere data) verder wel veilg wordt getransporteerd, bewerkt en/of opgeslagen - gezien het gebruik van http heeft Redmond de schijn volledig tegen. In Nederland mag je, als huisbaas met reservesleutel, toch ook niet ongevraagd huizen van jouw huurders betreden?

Met de AVG/GDPR in de hand zou hier toch iets aan gedaan moeten kunnen worden! Ik vermoed dat dit (nog) te weinig bekendheid heeft gekregen om voor grote publieke verontwaardiging te zorgen

Beste,

Alsof een bedrijf als Microsoft of Google of o.a. Facebook zich ook maar iets aantrekt van de AVG/GDPR. Als er een boete komt betalen ze die gewoon. En we hebben het over Microsoft en die hebben zo ie zo schijt aan de eindgebruiker in ieder opzicht. De software is van hun en hun doen ermee waar ze zin in hebben. Snap het geeuvel zo ie zo niet van dat Telemetry. Je kan het via je host bestand gewoon blocken of anders via een pi-hole of een ander product. En als je je er zo druk om maakt installeer dan een ander OS. De gemiddelde gebruiker gooit zijn hele leven al op Facebook en bij iedere notificatie of een app of stuk software nog meer gegevens van ze mag jatten drukken ze hersenloos op Ja akkoord. Dus een beetje Telemetry van W10 is het laatste waar ik me zorgen over zou maken.

Groetjes
24-08-2018, 14:51 door Anoniem
@ anoniem van 10:04

Wat dient er dan te gebeuren? Weinig. Of iedereen wordt bewust en gaat open android op z'n mobiele "enkelband" zetten etc. en dat valt niet te verwachten of men gaat allemaal gebruik maken van non-propriety software, wat ook geen optie is.

Men gaat de Big Tech 5 alsnog opdelen met de wet in de hand, maar dat wil het huidige politieke roofdier kapitalistisch systeem in Murica niet.

Dus het gaat net zo lang door tot de wal het schip keert, m.n. bij het totale instorten van het huidige systeem. Dat dat een keer komt is gewis, maar alleen weten we niet wanneer. Wat we wel weten is, dat dat dan voor veruit de meeste eindgebruikers ook geen pretje zal zijn, want wat voor hel op aarde komt er voor in de plaats?

Ergo, ik zie geen definitieve oplossing van het probleem, zeker geen technische. Jammer, helaas pindakaas.
24-08-2018, 15:11 door Anoniem
Door Anoniem: 21-08-2018, 22:57

Op de een of andere manier hebben wij niet kunnen aantonen en/of overbrengen aan het grote publiek hoe onbetrouwbaar het wereldwijde web, waarop ze zoveel tijd doorbrengen geworden is.

mundus vult decipi, ergo decipiatur

De boodschap is wel doorgekomen. Alleen misschien niet aan het soort publiek wat je in gedachten had. Heb geduld. De bewustwording van de ontstane surveillance maatschappij en de risico's daarvan gaat mondjesmaat en langzaam:

"Leven zonder digitale sporen" door Frank Mulder 18 december 2013
https://www.groene.nl/artikel/versleutel-je-mail-en-mijd-albert-heijn

Leerzaam om terug te lezen. De elite heeft het inmiddels wel begrepen. Nu het alleen het winkelend publiek van De Telegraaf en het Algemeen Dagblad nog. De grote schare aan mensen dat liever naar RTL7 dan naar de VPRO kijkt.
25-08-2018, 14:09 door Anoniem
We weten inmidels al langere tijd dat NSA MS Windows Error informatie verzameld:
https://www.schneier.com/blog/archives/2017/08/nsa_collects_ms.html

Microsoft was ook een van de eerste Big Tech bedrijven dat vrijwillig hier aan mee hielp en staat hierin helaas niet alleen.

We weten dat via zulke bug rapport informatie NSA staatshackers devices kunnen binnendringen en zero-days kunnen ontwikkelen.

DrWatson denkt mee voor de NSA! Leuker kan de surveillance staat, Imperium Americanum, het helaas niet voor u maken.

Welk groot Silicon Valley bedrijf werkt er eigenlijk - under gag order of niet - niet mee met de Amerikaanse veiligheidsdiensten om later dit andere veiligheidsdiensten weer in de schoenen te kunnen schuiven (deel van Russian collusion). Waarom werd Kaspersky en Huawei van Amerikaanse regeringscomputers verbannen.
"Zo de waard is vertrouwt hij zijn gasten" immers wellicht?

We weten dit kennelijk allemaal, maar toch zakt het steeds weer weg van onze bewustzijnsradar, dissociatieve associatie?
Alles werd geridiculiseerd via het buzz word "conspiracy"& "conspiracy theory" en op die manier blijven "Crooks In Action" e.d. bezig zonder een "outcry". Hoorzittingen in de States en EU hierover zijn eigenlijk maar een soort circus en show en zullen hieraan echts nooit iets echt fundamenteels veranderen. Business as usual. Take it or leave it - verhaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search