Windows 8 hlásí Microsoftu, né zrovna bezpečnou cestou, všechno co nainstalujete

8. září 2012 v 17:12 | Viktor Stropek |  co se dějě v trávě?

Windows 8 hlásí Microsoftu, né zrovna bezpečnou cestou, všechno co nainstalujete

Nedávno jsem použil na jednom z mých počítačů finální verzi Windows 8, vypuštěnou k výrobě, abych se pokochal, co umí. Byl jsem velmi ohromen, jak rychlá, dobře stavěná, funkční a schopná tato poslední verze Windows je. Nicméně díky mému fušování do ochrany a soukromí, jsem se na věc díval z jiné perspektivy, a co jsem uviděl mi dělá starosti.

Windows 8 má novou součást, nazvanou Windows SmartScreen, která je standardně zapnuta. Účelem Windows SmartScreenu je "zrentgenovat" každou jednu aplikaci, kterou se snažíte nainstalovat z Internetu, aby vás informovala, zda je instalace bezpečná nebo ne. Zde je posáno, jak SmartSreen funguje:
1. Stáhnete nějakou aplikaci z internetu. Řekněme například Tor Browser Bundle.
2. Spustíte instalátor. Windows SmartScreen získá několik identifikačních informací o vaší aplikaci, a zašle data Microsoftu.
3. Pokud Microsoft odpoví, že aplikace není podepsaná vhodným certifikátem, uživatel dostane chybovou hlášku, která vypadá nějak takto:
Chybová hláška
Zde je několik vážných problémů. Velkým problémem je, že Windows 8 je nakonfigurován, aby okamžitě řekl Microsoftu o každé aplikaci, kterou stáhnete a nainstalujete. Toto je opravdu závažný problém co se týče soukromí, hlavně protože Microsoft je centrálním bodem moci, sbírá a uchovává data a proto je náchylný k tomu, aby posloužil pro soudní obsílky nebo obsílky Národní bezpečnosti s úmyslem monitorovat cílené uživatele. Tato situace se zhorší, jakmile bude Windows 8 předveden na trh v zemích se zažitými politickými nepokoji nebo potlačováním politických situací.
Nicméně tento problém může být ještě více vážným: Může být možné vysledovat komunikaci mezi SmartScreenem a Microsoftem, a tak zjistit informace o každé jedné aplikaci, kterou cíl stáhne a nainstaluje. Zde je moje analýza:
Snímek rychlého paketu ukazuje následující okamžitou aktivitu, hned jak jsem se pokusil nainstalovat Tor Browser Bundle:
Aktivita SmartScreen
SmartScreen se snažil připojit přes HTTPS k serveru v Redmondu (apprep.smartscreen.microsoft.com, 65.55.184.60, provozovaný Microsoftem) s cílem předat informaci o aplikaci, kterou jsem se snažil nainstalovat.
Poté, co proběhly nějaké testy na serveru Microsoftu, objevil jsem, že díky tomu běží Microsoft IIS 7.5, aby zajistilo spojení HTTPS. Server Microsoftu je nakonfigurován, aby podporoval SSLv2, který je znám pro svou nespolehlivost co se týče bezpečí a lze přes něj snadno odposlouchávat. Povolení řetězce SSL certifikátu jde směrem od "GTE CyberTrust Global Root" k "Správě Zabezpečení serveru Microsoftu". Model povolování certifikátu je sám o sobě chytlavý k několika závažným problémům.
Neověřil jsem si, zda Windows SmartScreen ve skutečnosti SSLv2 používá, ale fakt že jej podpora serveru Microsoftu používá, je znepokojující. Mimoto, vypnout SmartScreen není vůbec jednoduché a Windows neustále varují uživatele, aby ho znovu zapnul (obrázek níže). Měli by povolit jeho vypnutí.
Varování
Shrneme-li podstatné, zde jsou závažnosti představující SmartScreen ve Windows 8:
1. Windows 8 budou, ve standardním nastavení, informovat Microsoft o každé aplikaci, kterou uživatel stáhne a nainstaluje. To staví Microsoft k možnostem uzavírat kompromisy, vševědoucím situacím, kde jsou schopni zachytávat informace o používání aplikace všech uživatelů Windows 8, tedy představuje tak závažný problém ohledně soukromí. Uživatel o tomto během instalování a nastavování Windows 8 není informován, ačkoli jim je dána možnost SmartScreen (který je standardně zapnutý) vypnout.

2. Zdá se, že Windows 8 zasílají tyto informace Microsoftu na server, který závisí na Správcích povolování certifikátů a podporuje zastaralou a nebezpečí náchylnou metodu kódováné komunikace. Je možné, že tyto bezpečnostní trhliny můžou povolit zlomyslným třetím stranám zacílit uživatele Windows 8 a zjistit, které aplikace používají. To jim umožňuje profilovat uživatele a rozhodnout, jak nejlépe zneužít jejich osobní výběr aplikací a jejich návyky při práci na počítači.
Shledal jsem rozhodnutí Microsoftu navrhnout SmartScreen ve stylu módy minimální svobody velmi špatným rozhodnutím, a opravdu doufám, že tyto obavy ze SmartScreenu, vyprchají v blízké budoucnosti v updatech.

Novinka 1: Podle Microsoftu, SmartScreen zasílá zpřeházeninu instalátoru aplikace a její digitální podpis, pokud nějaký obsahuje. Kombinace zpřeházeniny a uživatelovy IP adresy je stále dostatečná k identifikaci této IP adresy, která se snaží software nainstalovat.
Novinka 2: Další vědec objevil, že jméno aplikace, kterou se pokoušíte nainstalovat je skutečně zasílána Microsoftu. Toto jen posiluje obavy a bezpečnost soukromí.
Novinka 3: Přibližně 14 hodin po zveřejnění tohoto článku, další scan serverů Microsoftu pro SmartScreen odhalil, že byly překonfigurovány a už dále nepodporují SSLv2. Servery nyní podporují pouze spojení pomocí SSLv3.
Zdroj: Nadim Kobeissi
Publikováno: 24.8.2012

NWOO.org
 

1 člověk ohodnotil tento článek.

Komentáře

1 light7 | Web | 9. září 2012 v 12:13 | Reagovat

Já věděla, že je win. 8 další šmejd od Microsoftu fuj!

2 Homecoming Dresses 2013 | E-mail | Web | 19. dubna 2013 v 4:43 | Reagovat
3 replica omega speedmaster watches | E-mail | Web | 19. dubna 2013 v 6:32 | Reagovat
4 sexy prom dresses | E-mail | Web | 2. května 2013 v 10:17 | Reagovat
5 Jirka | 27. října 2014 v 22:17 | Reagovat

Chystáte se naučit se "Osmičky"? Připravujete se utratit vaše peníze za migraci z XPček? Počkejte, Windows 10 jsou TADY! Víc se dočtete zde: www.erada.cz/?p=1368 - třeba proč se vám ještě vyplatí chvíli počkat. Nový rok bude určitě ve znamení "desítky"!

Nový komentář

Přihlásit se
  Ještě nemáte vlastní web? Můžete si jej zdarma založit na Blog.cz.
 

Aktuální články

Reklama