Windows Error Crash Reports hay Kho tàng lỗ hổng Zero-Day cho NSA?

Tôi chắc chắn rằng tất cả các bạn đã quen thuộc với các thông báo lỗi Hệ điều hành Window khó chịu được hiển thị ở trên, nhiều lần bật lên trên màn hình của bạn khi làm việc trên hệ thống trong trường hợp lỗi quy trình, tức là “Hệ thống đã phục hồi sau một lỗi nghiêm trọng. Nhật ký lỗi này đã được tạo. Vui lòng cho Microsoft biết về sự cố này“

Thông báo nhắc nhở yêu cầu người dùng báo cáo sự cố cho Microsoft, sau đó là các tùy chọn Gửi báo cáo lỗi hoặc Không gửi. Hầu hết thời gian, những người dùng nhẹ nhàng như bạn và tôi thường gửi các báo cáo lỗi này để Microsoft biết về sự cố. Nhưng điều gì sẽ xảy ra nếu những báo cáo sự cố này có thể bị lạm dụng để xác định các lỗ hổng trong hệ thống của bạn để làm gián điệp?

NSA đang chặn nhiều loại Lưu lượng truy cập Internet bao gồm nhiều kết nối được mã hóa và tự nhiên cũng không được mã hóa và đáng ngạc nhiên là theo mặc định, Microsoft mã hóa các báo cáo của mình, nhưng các thông báo được truyền không được mã hóa hoặc qua các kết nối HTTP tiêu chuẩn tới watson.microsoft.com.

Tiết lộ mới nhất từ ​​vụ rò rỉ tài liệu Snowden được ấn phẩm Đức tiết lộ Der Spiegel đã mô tả cách đơn vị hack bí mật của NSA gọi Đơn vị hoạt động truy cập phù hợphoặc TAO Unit, đột nhập vào máy tính windows bằng cách đạt được truy cập thụ động vào máy móc.

Microsoft có Báo lỗi Windows (còn gọi là Tiến sĩ Watson) công nghệ từ Windows XP đến các phiên bản sau. Các báo cáo sự cố của Windows cung cấp tất cả các loại thông tin về hệ thống của bạn, cho phép họ biết phần mềm nào được cài đặt trên PC của bạn, các phiên bản tương ứng và liệu các chương trình hoặc hệ điều hành đã được vá lỗi hay chưa.

Công ty Bảo mật Websense đã quan sát hệ thống Báo cáo Lỗi của Windows và nhận thấy rằng hệ thống này gửi nhật ký sự cố dưới dạng văn bản rõ ràng:

Thông tin này bao gồm:

• Ngày
• Nhà sản xuất thiết bị USB
• Mã định danh thiết bị USB
• Sửa đổi thiết bị USB
• Máy chủ – ngôn ngữ mặc định
• Máy chủ – Hệ điều hành, gói dịch vụ và phiên bản cập nhật
• Máy tính chủ – Nhà sản xuất, kiểu máy và tên
• Máy tính chủ – Phiên bản Bios và số nhận dạng máy duy nhất

Tại sao chúng ta nên quan tâm đến điều này? Bởi vì Sự cố hệ thống hoặc ứng dụng báo hiệu về nhiều lỗ hổng Zero-day có thể bị khai thác và đây là thông tin chính xác mà NSA hoặc bất kỳ ai khác cần khi điều chỉnh một cuộc tấn công cụ thể nhằm vào hệ thống của bạn hoặc khi thiết kế một số loại phần mềm độc hại để lây nhiễm vào hệ thống.

Khi TAO chọn một máy tính ở đâu đó trên thế giới làm mục tiêu và nhập các mã định danh duy nhất của nó (ví dụ: địa chỉ IP) vào cơ sở dữ liệu tương ứng, các tác nhân tình báo sau đó sẽ tự động được thông báo bất cứ khi nào hệ điều hành của máy tính đó gặp sự cố và người dùng của nó nhận được thông báo. nhắc báo cáo sự cố cho Microsoft. Một bản trình bày nội bộ cho thấy đó là công cụ gián điệp XKeyscore mạnh mẽ của NSA được sử dụng để thu thập các báo cáo sự cố này từ biển lưu lượng truy cập Internet khổng lồ.

Người phát ngôn của Microsoft được yêu cầu bình luận về các báo cáo cho biết, “Microsoft không cung cấp cho bất kỳ chính phủ nào quyền truy cập trực tiếp hoặc tự do vào dữ liệu khách hàng của chúng tôi. Chúng tôi sẽ có những lo ngại đáng kể nếu những cáo buộc về các hành động của chính phủ là đúng.“

Websense cũng khuyến nghị rằng dữ liệu báo cáo Lỗi tối thiểu phải được mã hóa bằng SSL, lý tưởng nhất là sử dụng TLS 1.2 để ngăn không cho NSA rình mò. Alexander Watson, giám đốc nghiên cứu bảo mật, Websense, sẽ trình bày những phát hiện nâng cao liên quan đến nghiên cứu này tại Hội nghị RSA 2014 ở San Francisco.

Cách vô hiệu hóa báo cáo lỗi:

Nếu bạn muốn tắt Báo cáo lỗi Windows, hãy mở Bảng điều khiển và tìm kiếm “Cài đặt báo cáo sự cố“. Mở tùy chọn đó và Chọn “Không bao giờ kiểm tra các giải pháp.” Tuy nhiên Microsoft không khuyến nghị người dùng làm như vậy, nhưng đó là sự lựa chọn của bạn, nó không gây hại cho hệ thống của bạn.