Windows 10 ja sen tietoliikenne – kaikkien aikojen haittaohjelma?

 

windows-10-logo-700x394

Pitäkää kiinni foliohatuistanne. Tämä artikkeli saattaa heilutella niitä rajusti.

Huomasin kaverini seinällä päivityksen joka herätti ajatuksen siitä kuinka paljon meitä oikeasti seurataan tietämättämme. Evästeet (cookiet) ovat olleet jo vuosikausia riesanamme tallentaen tietoa visiiteistämme eri nettisivuistoihin sekä analysoimassa muuta nettikäyttäytymistä. En väitä, että tästä artikkelista pitää vetää piuhat irti koneesta, mutten myöskään pois sulje sitä että meitä vakoillaan tehokkaasti.

Olen vuosien varrella varoitellut useista eri haittaohjelmista ja myös erilaisista urkintatavoista. Nyt täytyy kyllä myöntää, että mikäli tsekkiläisen kaverin tutkimukset dataliikenteestä pitää paikkansa on Microsoft onnistunut rakentamaan todellisen haittaohjelman, jota laaja käyttäjäkunta lataa ympäri maailman kun sitä ilmaiseksi saa.

Asian tekee erittäin mielenkiintoiseksi se, että ystäväni tiedustellessa asiaa Microsoftin tuelta oli tuloksena tämä:

Kävin tästä aiheesta yksi päivä useamman tunnin chat keskustelun ms:n tuen kanssa. Lopputulemana oli että virallisen kannan mukaan tietojenkalastelua ei saa pois päältä eikä mistään ole mahdollista nähdä selkokielisenä mitä tietoa kone lähettää. Vaikka kovasti vakuutteli että tietoja ei voida liittää keneenkään ei voinnut selittää miksi myös mac, ip ja kirjautumistietoja kerätään. Summasummarum byebye dualboot tulkoon linuksin yksinvaltius.

Korostan, että alla oleva analyysi on yksityishenkilön tekemä eikä edusta millään tavoin virallista tietoa. En myöskään suosittele pidättäytymään päivityksestä tai vetämään foliohattuja poskiin saakka. Artikkelillani on tarkoituksena herätellä keskustelua siitä, että omaa yksityisyyttämme saatetaan rikkoa tietämättämme.

t. Jari Väli-Klemelä

Alkuperäinen artikkeli: http://aeronet.cz/news/analyza-windows-10-ve-svem-principu-jde-o-pouhy-terminal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu/

ALLA OLEVA TEKSTI ON KOPIOITU KAVERINI PÄIVITYKSESTÄ

-on mielenkiintoista että Microsoftin valinnat ovat ajaneet kosolti käyttäjiä Linux maailmaan

Näin kävi myös tuttavalleni. Hän luki seuraavan analyysin, jonka muuan tsekkiläinen yksityishenkilö on hiljan toteuttanut. Sivustolla mainittiin, että korjaukset tai kumoamiset olisivat tervetulleita. Sellaisia ei ole ainakaan vielä kuulunut…

Tässäpä koko hoito:
”Windows 10 ja sen tietoliikenne ulos”.
_____________________________________________

–Tiedot joita lähetetään–

Kaikki näppäimistöllä kirjoitettu teksti varastoidaan väliaikaisiin tiedostoihin ja lähetetään kerran 30 minuutissa kohteisiin:

oca.telemetry.microsoft.com.nsatc.net
pre.footprintpredict.com
reports.wes.df.telemetry.microsoft.com

Ei ole selvää miksi näin toimitaan, ottaen huomioon että joissakin kentissä käyttöjärjestelmän sisällä on tekstinkorjaus, ja että sillä väitetään vain parannettavan automaattisen korjauksen toimintoja kaikkien laitteiden välillä. Se, onko koko näppäinpainanta-loki välttämätön lähetettäväksi, eikä vain korjatut sanat, on kyseenalaista. Lisäksi, tämä näyttää tapahtuvan vaikka käyttäjä ei olisi edes kirjautunut Microsoft-tililleen, joka eliminoi laitteiden välisen hyödyn.

Ehkäpä on olemassa ”globaali automaattikorjaus sanakirja” joka hyödyttäisi kaikkia käyttäjiä, mutta viitteet yksityisyysasetuksissa sijaitsevasta *aina päällä olevasta* näppäinpainallustallentimesta (keylogger), jota ei voi asettaa pois päältä, kumoaa tuollaisen oletetun hyödyn.

Viittaukset tällaiseen ovat merkittäviä. Koska kyseessä on käyttöjärjestelmänlaajuinen näppäinpainallustallennin, kaikki data jota käyttäjä yrittää lähettää tietoturvamielessä, istuu jo jollakin Microsoftin palvelimista. Tähän sisältyy salasanat, enkryptatut (”salatut”) keskustelut sekä ruutunäppäimistö, joten ei ole mahdollista tunnistautua verkkosivustoille ilman että Microsoft ottaisi vastaan myös salasanasi.

Telemetriaa (laitetietojen lähettämistä) lähetetään joka 5 minuutin välein näihin:

vortex.data.microsoft.com
vortex-win.data.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net

Moni kuvittelee tai ehkä lähinnä toivoo, että telemetrialla olisi tekemistä käyttöjärjestelmän kanssa vain ”yleisellä tasolla”, mutta on osoittautunut ilmeiseksi itse käyttäjään liittyvä telemetria: esim. puhelinnumeron kirjoitus missä tahansa Edge selaimen sisällä lähettää ne ylläoleviin.

Jos taas kirjoitat jonkin valtavirtaelokuvan nimen paikalliseen tiedostohakuun, aloittaa telemetria-prosessin joka indeksoi kaikki media-tiedostot kiintolevylläsi / tiedot lähetetään seuraaviin:

df.telemetry.microsoft.com
reports.wes.df.telemetry.microsoft.com
cs1.wpc.v0cdn.net
vortex-sandbox.data.microsoft.com
pre.footprintpredict.com

Tähän on vaikea kuvitella mitään muuta tarkoitusta kuin ilmeinen piratismin-vastainen järjestelymahdollisuus.

Seuraava taso: kun nettikamera kytkeytyy päälle, ~35 megatavua dataa lähtee matkaan välittömästi kohteisiin:

oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
vortex-sandbox.data.microsoft.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net

Päälle kytketty mikrofoni taas lähettää kaiken puhutun seuraaviin:

oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
vortex-sandbox.data.microsoft.com
pre.footprintpredict.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.urs.microsoft.com
cs1.wpc.v0cdn.net
statsfe1.ws.microsoft.com

Mikäli tämä ei vielä ole tarpeeksi jäätävää, kyseinen käyttäytyminen jatkuu edelleen vaikka Cortana olisi kytketty täysin pois päältä tai POISTETTU (!).

On spekuloitu että tämän toiminnon tarkoitusperä siintää massiivisen äänitietokannan rakentamisessa, jonka jälkeen nuo äänitiedot sidottaisiin yksittäisiksi identiteeteiksi. Lopulta mahdollistettaisiin jokaisen käyttäjän yksilöllinen tunnistus, poimien se vain äänestä. Olipa se sitten vaikkapa mikrofonin kautta julkisella paikalla.

On myös mielenkiintoista, Cortanan ollessa käytössä; puhe muunnetaan ensin TEKSTIKSI (!), jonka jälkeen tuo kirjallinen muoto lähtee matkaan seuraaviin:

pre.footprintpredict.com
reports.wes.df.telemetry.microsoft.com
df.telemetry.microsoft.com

Jos taas käyttäjä jättää koskematta Windowsiin ~15 minuutin ajaksi, suuri määrä tietoliikennettä aloittaa toimintansa siirtämismielessä lukuisille palvelimille. Esim. paremminkin raaka-audio dataa kuin esim. pieniä näytteitä.

Välitön reaktio tähän kaikkeen voi monella olla kaikkien yllä olevien palvelinosoitteiden estäminen HOSTS -tietueen kautta, mutta käykin ilmi, että kyseinen keino ei tässä kohtaa toimi: Microsoft on ottanut huomioon raakakoodata tietyt IP-osoitteet, tarkoittaen että ei ole olemassa DNS etsintää eikä HOSTS konsultaatiota.

Mutta kuitenkin, jos kyseessä olevat palvelimet estetään HOSTS:ia muokkaamalla, Windows on koodattu lähettämään tietoa ”rampautumisestaan”, toteuttaen alati virhe-ilmoituksia, keräten silti silläkin välin tietoa taustalla. Mitään muuta kuin virhemäärän lisääntyminen HOSTS-esto menetelmän kautta ei tapahtunut niin osiossa kuin datan määränkään lähetyksessä.

Kommentit

  1. […] Microsoft on alkanut tarjota Windows 10 päivitystä käyttäjille. Samalla hyväksytetään lisenssiehdot, jotka sallivat Microsoftin kerätä jokseenkin mitä tahansa tietoja. Ja niin se todellakin tekee: http://www.verkonvaarat.fi/windows-10-ja-sen-tietoliikenne-kaikkien-aikojen-haittaohjelma/ […]

Read previous post:
Muutoksia FB-yksityisasetuksissa – suosittelen muuttamaan oletusasetuksen

Facebook yksityisasetuksissa on näköjään tullut ainakin uusi asetus. Oletuksena kuka tahansa voi hakea henkilöä puhelinnumeron perusteella. Mikäli et halua tämän ominaisuuden...

Takkuileeko nettiyhteytesi – tässä mahdollinen syy

Windows 10-päivityksen jälkeen olen ihmetellyt miksi oma nettiyhteyteni on välillä todella hidas. Modeemin uudelleen käynnistäminen on auttanut hetkellisesti, mutta muutaman...

Close