. Hackers facilmente roubar relatórios de falhas do Windows, diz relatório - Tudo Sobre Tecnologia


Sistema de erros e crash-relato do Windows envia uma riqueza de dados não criptografados e no claro, a informação de que os hackers de espionagem ou agências de segurança do Estado pode usar para refinar e identificar os seus ataques, disse um pesquisador.
Não por acaso, recentemente, a revista alemã Der Spiegel populares informou que a Agência de Segurança Nacional dos EUA (NSA) recolhe os relatórios do Windows acidente de suas escutas globais para farejar detalhes de PCs direcionados, incluindo o software instalado e sistemas operacionais, para baixo para os números de versão e se os programas ou sistemas operacionais foram corrigidos; aplicação e sistema operacional trava que as vulnerabilidades de sinais que poderiam ser exploradas por malwares, e até mesmo os dispositivos e periféricos que foram conectados os computadores.
"Esta informação iria dar um atacante uma vantagem significativa. Seria dar-lhes um plano da rede [alvo] ", disse Alex Watson, diretor de pesquisa de ameaças da Websense, que publicou os resultados preliminares da sua investigação do Windows erro de comunicação. Watson apresentará descoberta da Websense com mais detalhes na RSA Conference, em San Francisco em 24 de fevereiro.
Cheirando relatórios de falhas utilizando baixo volume "man-in-the-middle" métodos do clássico é um ladino hotspot Wi-Fi em uma informação pública local-não entregar o suficiente para ser valioso, disse Watson, mas uma escuta no nível de ISP, o tipo da NSA é acusado de ter em vigor em todo o mundo, seria.
"Ao nível da agência [de inteligência], onde eles podem gastar o tempo para coletar informações sobre milhares de milhões de PCs, esta é uma ferramenta incrível", disse Watson.
E não é difícil obter a informação.

Nenhuma criptografia durante o trânsito

A Microsoft não criptografar os relatórios iniciais acidente, disse Watson, que incluem tanto aqueles que solicitar ao usuário antes de serem enviados, bem como outros que não o fazem. Em vez disso, eles são transmitidos para servidores da Microsoft "em claro", ou através de conexões HTTP padrão.
Se uma agência de hacker ou inteligência pode inserir-se no fluxo de tráfego, eles podem arrancar os relatórios de falhas para análise, sem se preocupar em ter de quebrar a criptografia.
E os relatos de que a Microsoft chama de "Relatório de Erros do Windows" (ERS), mas que também é conhecido como "Dr. Watson, "contém uma riqueza de informações sobre o PC específico.
Quando um dispositivo é conectado à porta USB de um PC com Windows, por exemplo, digamos um iPhone para sincronizá-lo com o iTunes, um relatório automático é enviado para a Microsoft que contém o identificador do dispositivo e do fabricante, a versão do Windows, o fabricante e modelo do PC , a versão de BIOS o sistema e um identificador exclusivo da máquina.
Ao comparar os dados com bancos de dados publicamente disponíveis do dispositivo eo PC IDs, Websense foi capaz de estabelecer que um iPhone 5 foi conectado a um notebook Sony Vaio, e até mesmo pregar deste último máquina ID.
Se os hackers estão procurando sistemas rodando desatualizado, e assim, versões vulneráveis ​​do Windows XP SP2, por exemplo-o in-the-claro relatórios mostrarão quais não foram atualizados.
Relatório de Erros do Windows está instalado e ativado por padrão em todos os PCs com o Windows XP, Vista, Windows 7, Windows 8 e Windows 8.1, Watson disse, confirmando que as técnicas da Websense de decifrar os relatórios trabalhou em todas as edições.
Watson caracterizada a tarefa de transformar os relatórios enigmáticas em termos facilmente compreensíveis como "trivial" para os atacantes talentosos.
Relatórios de falhas mais completa, incluindo os que a Microsoft silenciosamente desencadeia a partir do fim da cadeia de telemetria, conter informações pessoais e por isso são criptografadas e transmitidas via HTTPS. "Se a Microsoft está curioso sobre o relatório ou quer saber mais, eles podem pedir ao seu computador para enviar um mini-dump de memória", explicou Watson. "Informações de identificação pessoal em que dump de memória é codificada."

Bater dados determina correções

Microsoft usa os relatórios de erros e de acidentes de detectar problemas em seu software, bem como que trabalhada por outros desenvolvedores. Relatos generalizados tipicamente levam a confiabilidade correções implementadas em atualizações não relacionadas à segurança.
A empresa de Redmond, Washington também acompanha os relatórios de falhas para a evidência de malware como-ainda-desconhecido: acidentes inexplicáveis ​​e de repente crescentes pode ser um sinal de que um novo exploit está em circulação, disse Watson.
Microsoft muitas vezes se orgulha de o valor da telemetria para seus designers, desenvolvedores e engenheiros de segurança, e com razão: Estima-se que 80 por cento dos bilhões-plus PCs Windows enviar regularmente relatórios de acidentes e de erro do mundo para a empresa.
Mas a informação não criptografado alimentado a Microsoft pela inicial e de nível mais baixo relatórios de que Watson rotulado "Stage 1" relatórios de incluir um vazamento perigoso, Watson sustentou.
"Nós fundamentado que este é um grande risco para as organizações", disse Watson.
Relatório de erros pode ser desativado manualmente em uma base de máquina-a-máquina, ou em conjuntos grandes por administradores de TI usando as configurações de Diretiva de Grupo.
Websense recomenda que as empresas e outras organizações de redirecionar o tráfego relatório sobre a sua rede para um servidor interno, onde podem ser criptografados antes de serem encaminhados para a Microsoft.
Mas, para desligá-lo completamente seria jogar fora uma ferramenta sólida de diagnóstico, Watson argumentou. ERS pode fornecer informações não só para hackers e bisbilhoteiros de espionagem, mas também os departamentos de TI.
"[ERS] faz o trabalho braçal, e pode deixar [IT] ver onde podem existir vulnerabilidades, ou se o software não autorizado ou malware está na rede", disse Watson. "Ele também pode mostrar a captação em BYOD [trazer o seu próprio dispositivo] políticas", acrescentou, referindo-se aos relatórios automáticos de dispositivos USB.

Canal seguro incitou


Microsoft deve criptografar todos os dados ERS que é enviado a partir de PCs de clientes para seus servidores, Watson afirmou.
Um porta-voz da Microsoft pediu para comentar sobre os Websense e Der Spiegel "relatórios disse:" A Microsoft não fornece qualquer governo com acesso directo ou irrestrito aos dados de nossos clientes. Teríamos preocupações significativas se as alegações sobre as ações do governo são verdadeiras. "
O porta-voz acrescentou que, "conexões Secure Socket Layer são regularmente estabelecida para comunicar detalhes contidos em relatórios de erro do Windows", que é apenas parcialmente verdade, como Fase 1 relatórios não são criptografadas, fato que a própria documentação da Microsoft deixa claro.
"O software de informação 'parâmetros', que inclui informações como o nome do aplicativo e versão, nome do módulo e versão e código de exceção, não é criptografada," Microsoft reconheceu em um documento sobre ERS.
Autor:

Gregg Keizer gkeizer@computerworld.com, Computerworld Siga-me no Google+

Gregg Keizer cobre Microsoft, questões de segurança, a Apple, navegadores da Web e tecnologia em geral notícias de última hora.


0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo