Privacy - Wat niemand over je mag weten

Windows registreert je toetsaanslagen...

25-09-2018, 01:03 door [Account Verwijderd], 29 reacties
Goed gedaan weer, Microsoft. Windows is dus niet alleen een besturingssysteem, maar gewoon hartstikke ordinaire spyware. Lees het artikel hier: https://webwereld.nl/security/106752-windows-registreert-je-toetsaanslagen
Reacties (29)
25-09-2018, 09:24 door Anoniem
Door Unix4: Goed gedaan weer, Microsoft. Windows is dus niet alleen een besturingssysteem, maar gewoon hartstikke ordinaire spyware. Lees het artikel hier: https://webwereld.nl/security/106752-windows-registreert-je-toetsaanslagen
Waarom spyware?
Er wordt helemaal niets verstuurd naar Microsoft.
Daarnaast moet je handschriftherkenning aan hebben staan.

Dat het security technisch niet optimaal is (ofwel blundertje), is een ander verhaal.
25-09-2018, 09:25 door Anoniem
Het is niet bekend of er al malware is die misbruik maakt van deze feature en/of het bestand uitleest.

Met deze informatie zal dat een kwestie van tijd zijn. Het kost je slechts een handjevol regels code om het bestand met wat geschikte reguliere expressies door te ploegen en om interessante informatie door te sturen zonder medeweten van de gebruiker. Dit is niet slim ontworpen. Microsoft had moeten weten dat gevoelige gegevens (medische gegevens, persoonsgegevens, wachtwoorden etc) ingetoetst worden. Waarom zou je dat soort informatie plaintext in een bestand willen zetten?
30-09-2018, 19:29 door [Account Verwijderd]
Door Anoniem, 25-09-2018 om 09:25 uur:
Waarom spyware?
Omdat het ongevraagd, zonder dat de gebruiker het weet, toetsaanslagen worden geregistreerd.

Door Anoniem, 25-09-2018 om 09:25 uur:
Er wordt helemaal niets verstuurd naar Microsoft.
Daarnaast moet je handschriftherkenning aan hebben staan.
Dat is een aanname, maar het wordt in het artikel in elk geval niet als zodanig benoemd dat hier sprake van zou zijn in dit geval. Maar we weten nog steeds niet helemaal wàt Microsoft "naar huis" stuurt. Zolang als zij hier geen openheid van zaken over geven mag ik aannemen dat we op een bepaalde manier "besnuffeld" worden. Dus als ik jou was zou ik niet zo stellig iets beweren als je het zelf ook niet voor 100% weet.

Dat het security technisch niet optimaal is (ofwel blundertje), is een ander verhaal.
Een bestand die gewoon al je toetsaanslagen bewaart is niet "een blundertje" maar een blunder van jewelste. Dit is een serieuze veiligheidskwestie die, als je conputer in verkeerde handen valt, verstrekkende gevolgen kan hebben. Dit mag je niet te licht opvatten.
01-10-2018, 08:55 door [Account Verwijderd]
En de toetsaanslagen komen gewoon onversleuteld in een bestand te staan.

Maar dat Windows 10 spyware is naast een brak OS wisten we allang toch?
01-10-2018, 09:44 door Anoniem
Omdat het ongevraagd, zonder dat de gebruiker het weet, toetsaanslagen worden geregistreerd.

Op je eigen computer, indien je bepaalde functionaliteit aan hebt staan.

Dat is een aanname, maar het wordt in het artikel in elk geval niet als zodanig benoemd dat hier sprake van zou zijn in dit geval

Leg jij dan maar eens uit hoe deze functionaliteit zou moeten werken *zonder* het opslaan van data.

Waarom zou je dat soort informatie plaintext in een bestand willen zetten?

Dat is een beveiligingsissue, welke ze moeten oplossen. Niet slim inderdaad.

En de toetsaanslagen komen gewoon onversleuteld in een bestand te staan.

Maar dat Windows 10 spyware is naast een brak OS wisten we allang toch?

Appels en peren. Dat het onversleuteld wordt opgeslagen is fout en dom.

Het is spyware wanneer de informatie wordt doorgestuurd. En daarbij maakt versleuteld of onversleuteld in relatie tot je privacy richting Microsoft niet uit - tenzij je zelf de encryptie sleutel in handen hebt. Anders sturen ze het versleuteld door, en ontsleutelen ze het in Redmond ;)
01-10-2018, 11:51 door Anoniem
Door Anoniem: Op je eigen computer, indien je bepaalde functionaliteit aan hebt staan.
[...]
Leg jij dan maar eens uit hoe deze functionaliteit zou moeten werken *zonder* het opslaan van data.
Ik vind het helemaal niet zo evident dat schriftherkenning tekst opslaat die je intypt. Ik snap waarom ze het zo gemaakt hebben, maar het is zeker niet zo dat handschriftherkenning hier per se gebruik van maakt.
01-10-2018, 11:57 door Anoniem
Door Unix4: Goed gedaan weer, Microsoft. Windows is dus niet alleen een besturingssysteem, maar gewoon hartstikke ordinaire spyware. Lees het artikel hier: https://webwereld.nl/security/106752-windows-registreert-je-toetsaanslagen
Er valt zeker wat aan te merken op de manier waarop dit geïmplementeerd is, maar dit is gewoon het zoveelste voorbeeld van software die dingen vastlegt om zijn eigen functie op wat voor manier dan ook beter te laten werken.

Andere voorbeelden: een webbrowser heeft een cache; image viewers maken thumbnails aan; menig filesysteem staat niet toe dat data in-place wordt overschreven (waaronder ext4 en btrfs). Is dat allemaal spyware? Nee, zo noem je het pas als gegevens worden vastgelegd met als doel ze aan een ander door te spelen.
01-10-2018, 21:14 door choi
Doet me denken aan de beruchte index.dat bestanden die (pre-Win8) om onduidelijke redenen de url's van alle in IE bezochte websites lokaal opslaan (ook data van andere MS applicaties w.o Outlook en Outlook Express worden opgeslagen), en die in eerste instantie alleen middels speciale software ingelezen en opgeschoond konden worden (totdat CCleaner dat standaard mogelijk maakte).

Wat exact de functie van de index.dat bestanden is heeft volgens mij niemand ooit kunnen achterhalen. Win8/10 hebben een verborgen WebCacheV01.dat bestand (Users/UserName/AppData/Local/Microsoft/Windows/Webcache) dat soortgelijke-vage- functies heeft (onder diverse 'containers' worden bijv. ook Bing searches opgeslagen).

Of dit als spyware moet worden gezien is een semantische discussie (in mijn optiek is spyware per definitie malicieus). Ik zie het in ieder geval wel als een potentieel privacy-en securityprobleem.

https://dig4n6.blogspot.com/2012/07/attacking-webcachev24-with-esedbviewer.html
02-10-2018, 08:26 door karma4
Als we dan toch afgeven op anderen.
Tim Berners Lee heeft net het www jammerlijk gefaald. Keystroke dynamics in browsers toestaan. Hoe kun je zoiets over het hoofd zien.
Alleen met een beperkt doel als uitwisseling binnen her cern in een klein kringetje vertrouwden kun je zoiets accepteren.
02-10-2018, 08:47 door -karma4
Door karma4: Als we dan toch afgeven op anderen.
Tim Berners Lee heeft net het www jammerlijk gefaald. Keystroke dynamics in browsers toestaan. Hoe kun je zoiets over het hoofd zien.

?

Door karma4: Alleen met een beperkt doel als uitwisseling binnen her cern in een klein kringetje vertrouwden kun je zoiets accepteren.

Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
02-10-2018, 08:57 door Anoniem
Als je Windows als spyware bestempeld, hoe bestempel je dan alle websites waar je bezoek wordt bijgehouden door Facebook en Google dan? Ongeacht welke besturingsysteeem of browser je gebruikt, of je nou wel of niet een Google/Facebook account hebt, je wordt altijd geregistreerd!

Dat vind ik veel erger dan dit issue van Windows wat in een update wel opgelost gaat worden.
Google/Facebook privacy zal niet meer opgelost worden, maar moet je accepteren.
02-10-2018, 15:07 door Anoniem
Wanneer komt er nou eens eens wet die alle private softwarebakkers verplicht om me een tool te geven zodat ik in elk geval zelf kan zien wat er allemaal achter mijn rug gebeurt op al mijn devices? Dat toestemming geven voor, jaren geleden, is volstrekt onvoldoende. Ik wil gewoon kunnen zien wat ze allemaal uitspoken! Op mijn spullen. Ik hoor toch op zijn minst te moeten kunnen zien wie er gratis meekijkt met wat ik doe?
02-10-2018, 15:36 door Anoniem
Ik vind het helemaal niet zo evident dat schriftherkenning tekst opslaat die je intypt. Ik snap waarom ze het zo gemaakt hebben, maar het is zeker niet zo dat handschriftherkenning hier per se gebruik van maakt.

Moeilijk om een handschrift te herkennen, zonder dat je data hebt m.b.t. dat handschrift. Ja, dergelijke data heb je evident nodig voor die functionaliteit. Of je de functionaliteit wil, staat daar weer los van ;)

Het is net zoiets als zeggen dat het niet evident is dat je DNA nodig hebt, om een DNA test te doen.
02-10-2018, 17:28 door karma4
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Geen onzin verhaaltje, als je privacy By design wilt moet je elke mogelijke side channel attack in je ontwerp uitgesloten hebben. In een pseudo interactief iets doe je al wat in de klok timing functies bij het ontwerp. Gemiste kans....
02-10-2018, 17:38 door -karma4
Door karma4:
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Geen onzin verhaaltje, als je privacy By design wilt moet je elke mogelijke side channel attack in je ontwerp uitgesloten hebben. In een pseudo interactief iets doe je al wat in de klok timing functies bij het ontwerp. Gemiste kans....

Tuurlijk! Het is goed hoor...
02-10-2018, 18:48 door Anoniem
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Onzin. Dat weet je zelf ook. Microsoft maakt wel eens andere keuzes en daar kan je over discussiëren of het de juiste zijn. Microsoft is ook een bedrijf wat winst moet maken, maar Microsoft denk ook zeker aan privacy en security. Iets waar men ook druk mee bezig is.

Dat wil niet zeggen dat men soms betere of andere keuzes moet maken.
04-10-2018, 12:23 door Bartbartbart
dit is een handig apje welke direct de relatieve irrelevantie van keylogging illustreert: https://www.oo-software.com/en/shutup10
04-10-2018, 16:32 door Anoniem
ik zeg maar 1 ding keys.dat.. ga maar zoeken
04-10-2018, 21:50 door karma4
05-10-2018, 07:36 door -karma4
Door Anoniem:
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Onzin. Dat weet je zelf ook. Microsoft maakt wel eens andere keuzes en daar kan je over discussiëren of het de juiste zijn. Microsoft is ook een bedrijf wat winst moet maken, maar Microsoft denk ook zeker aan privacy en security. Iets waar men ook druk mee bezig is.

Dat wil niet zeggen dat men soms betere of andere keuzes moet maken.

Onder een steen geleefd? Microsoft is meermalen aangeklaagd. Altijd met veel geld geschikt, natuurlijk. En daarna gewoon doorgaan.

https://en.m.wikipedia.org/wiki/United_States_v._Microsoft_Corp.
05-10-2018, 09:42 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Onzin. Dat weet je zelf ook. Microsoft maakt wel eens andere keuzes en daar kan je over discussiëren of het de juiste zijn. Microsoft is ook een bedrijf wat winst moet maken, maar Microsoft denk ook zeker aan privacy en security. Iets waar men ook druk mee bezig is.

Dat wil niet zeggen dat men soms betere of andere keuzes moet maken.

Onder een steen geleefd? Microsoft is meermalen aangeklaagd. Altijd met veel geld geschikt, natuurlijk. En daarna gewoon doorgaan.

https://en.m.wikipedia.org/wiki/United_States_v._Microsoft_Corp.
Je bedoelt een rechtzaak uit het stenen tijdperk? 2001 is nu niet echt meer actueel in de ICT land, je kan dat zelfs niet eens meer legacy noemen. Antiek kan je beter gebruiken.

Daarnaast verwijst je artikel naar de rechtszaak was begonnen in 1992. Dus dat is nog voor het stenen tijdperk.

En Ja MS heeft zeker problemen in het verleden gehad, en zal ook zeker nog wel wat issues krijgen in de toekomst, al is in de toekomst kijken altijd lastig. Iemand kan daar eigenlijk iets over zeggen.

Maar tegenwoordig is Privacy en Security heel belangrijk en Microsoft doet daar ook aan mee. Of jij moet ook onder een steen geleeft hebben?

Welkom in de wereld zie tegenwoordig heel lastig en complex is.
05-10-2018, 10:15 door Anoniem
npou dasar heb je geen lang onderzoek voor nodig het staat in je instellingen, zoek naar handschrift herkenning en zie daar je kunt opgeslagen gegevens zelf verwijderen, was een onderzoek van minder dan een minuut!
05-10-2018, 14:57 door -karma4 - Bijgewerkt: 05-10-2018, 14:58
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door The FOSS:
Onzinverhaaltje. Plus dat het bij Microsoft gaat om een bedrijf dat veel geld verdient aan / over de ruggen van de gebruikers van haar software.
Onzin. Dat weet je zelf ook. Microsoft maakt wel eens andere keuzes en daar kan je over discussiëren of het de juiste zijn. Microsoft is ook een bedrijf wat winst moet maken, maar Microsoft denk ook zeker aan privacy en security. Iets waar men ook druk mee bezig is.

Dat wil niet zeggen dat men soms betere of andere keuzes moet maken.

Onder een steen geleefd? Microsoft is meermalen aangeklaagd. Altijd met veel geld geschikt, natuurlijk. En daarna gewoon doorgaan.

https://en.m.wikipedia.org/wiki/United_States_v._Microsoft_Corp.
Je bedoelt een rechtzaak uit het stenen tijdperk? 2001 is nu niet echt meer actueel in de ICT land, je kan dat zelfs niet eens meer legacy noemen. Antiek kan je beter gebruiken.

Daarnaast verwijst je artikel naar de rechtszaak was begonnen in 1992. Dus dat is nog voor het stenen tijdperk.

En Ja MS heeft zeker problemen in het verleden gehad, en zal ook zeker nog wel wat issues krijgen in de toekomst, al is in de toekomst kijken altijd lastig. Iemand kan daar eigenlijk iets over zeggen.

Maar tegenwoordig is Privacy en Security heel belangrijk en Microsoft doet daar ook aan mee. Of jij moet ook onder een steen geleeft hebben?

Een vos verliest wel zijn haren maar niet zijn streken:

2016: http://techrights.org/2016/06/01/microsoft-oem-shakedown-xiaomi/
2017: http://techrights.org/2017/03/31/samsung-and-microsoft-distribution-of-android/
2018: http://techrights.org/2018/04/10/microsoft-blackmail-directly-and-indirectly/
etc.
05-10-2018, 16:08 door Anoniem
Door Unix4:
Door Anoniem, 25-09-2018 om 09:25 uur:
Waarom spyware?
Omdat het ongevraagd, zonder dat de gebruiker het weet, toetsaanslagen worden geregistreerd.


Dat doet elk besturingssysteem. Sorrie, technische grap.
06-10-2018, 14:30 door [Account Verwijderd]
Door Anoniem:
Door Unix4:
Door Anoniem, 25-09-2018 om 09:25 uur:
Waarom spyware?
Omdat het ongevraagd, zonder dat de gebruiker het weet, toetsaanslagen worden geregistreerd.


Dat doet elk besturingssysteem. Sorrie, technische grap.

Ik begrijp 'm! Tja, dat moet ook wel, want anders kan je systeem geen taken meer uitvoeren. ;-)
06-10-2018, 14:35 door Anoniem
Door Anoniem: Moeilijk om een handschrift te herkennen, zonder dat je data hebt m.b.t. dat handschrift. Ja, dergelijke data heb je evident nodig voor die functionaliteit.
Alleen slaan ze toetsaanslagen op, dat zijn geen voorbeelden van iemands handschrift.
06-10-2018, 15:06 door karma4 - Bijgewerkt: 06-10-2018, 15:11
https://www.investopedia.com/ask/answers/09/att-breakup-spinoff.asp
https://en.wikipedia.org/wiki/Xerox_Alto
https://en.wikipedia.org/wiki/Apple_Corps_v_Apple_Computer
https://www.nytimes.com/1981/02/15/business/us-vsibm.html
https://www.forbes.com/sites/parmyolson/2018/07/23/google-5-billion-facebook-eu-antitrust-margrethe-vestager/#1114eb207f5e
https://en.wikipedia.org/wiki/Red_Hat,_Inc._v._SCO_Group,_Inc. . https://en.wikipedia.org/wiki/SCO_Group,_Inc._v._International_Business_Machines_Corp.{/url]https://www.theguardian.com/world/2013/oct/07/apfelkind-cafe-trademark-battle-apple-germanyDe grote lijn is dat verkregen rijkdom macht verdedigd wordt met patenten en juridische zaken en enkel een overheid paal en perk kan stellen aan misbruik van die macht.Met de open source grote commerciële belangen is men daar net zo min vies van. Helaas woord open source als niet onderscheidend iets gebruikt waar het support en kwaliteit naar achter geschoven wordt.
06-10-2018, 15:15 door -karma4 - Bijgewerkt: 06-10-2018, 15:16

Software patenten zijn een van de grootste kwaden die er zijn!

Door karma4: Met de open source grote commerciële belangen is men daar net zo min vies van. Helaas woord open source als niet onderscheidend iets gebruikt waar het support en kwaliteit naar achter geschoven wordt.

Feit is en blijft dat je met closed source als maker van software kan uitvreten wat je wil. Bij open source kan je in de source code kijken wat er wel en niet in zit. Support en kwaliteit verschilt niet met closed source.
06-10-2018, 22:24 door Anoniem
Door Anoniem:
Door Anoniem: Moeilijk om een handschrift te herkennen, zonder dat je data hebt m.b.t. dat handschrift. Ja, dergelijke data heb je evident nodig voor die functionaliteit.
Alleen slaan ze toetsaanslagen op, dat zijn geen voorbeelden van iemands handschrift.

"It is thought that most individuals produce keystrokes that are as unique as handwriting or signatures. This technique is imperfect; typing styles can vary during the day and between different days depending on the user's emotional state and energy level."

https://www.whonix.org/wiki/Keystroke_Deanonymization
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.