Windows Defender powstrzymuje przed wyłączeniem telemetrii. Ale to dobrze

Serwis Bleeping Computer w dość alarmistycznym tonie poinformował niedawno, że najnowsza wersja programu antywirusowego wykrywa próby zablokowania systemowej telemetrii i udaremnia je. Powołując się na słowa z pewnego niemieckiego bloga i własne badania, portal zidentyfikował adresy DNS "pilnowane" przez Defendera i istotnie wszystkie dotyczą telemetrii i synchronizacji ustawień. Antywirus chroni plik hosts przed zmianami zaburzającymi łączność z serwerami telemetrii (vortex).

Windows Defender powstrzymuje przed wyłączeniem telemetrii (fot. Couleur, Pixabay)
Windows Defender powstrzymuje przed wyłączeniem telemetrii (fot. Couleur, Pixabay)
Kamil J. Dudek

06.08.2020 | aktual.: 07.08.2020 00:06

Szybko pojawiły się nieprzychylne opinie dotyczące tej zmiany. Posiadający złożoną historię (i koszmarny branding) Windows Defender wywodzi się wszak z programu Microsoft Antispyware i prowadzonej przez firmę w 2005 roku kampanii wymierzonej przeciwko oprogramowaniu szpiegowskiemu.

Szpiegujący antyszpieg?

Z takiej perspektywy Defender wydaje się "zdradzać ideały", na bazie których powstał. Jest to jednak niepotrzebnie romantyczne i pozbawione pragmatyzmu podejście. Zachowanie Defendera jest całkowicie uzasadnione, jeżeli weźmie się pod uwagę, przed czym tak naprawdę chroni definicja "SettingsModifier:Win32/HostsFileHijack".

Telemetria wysyła zbiór bardzo spersonalizowanych informacji, umożliwiających, w połączeniu z innymi danymi, na bardzo dokładne sprofilowanie użytkownika. Najwyższy tryb działania telemetrii Windows, stosowany obowiązkowo na przykład w programie Windows Insider, definiuje na przykład pola, z których pobierane są wszystkie naciśnięcia klawiszy, na przykład celem optymalizacji wyszukiwania.

Telemetria to dane wrażliwe!Zgromadzone i przesyłane dane da się przeglądać (!), a ich transmisja jest szyfrowana. Szyfrowanie da się jednak pokonać, instalując własne certyfikaty i/lub stosując sieciowy atak man-in-the-middle. W połączeniu ze zmianą adresata danych diagnostycznych, można prowadzić działania szpiegowskie stosując bardzo mało szpiegowskiego oprogramowania.

Opis zagrożenia w glosariuszu Defendera
Opis zagrożenia w glosariuszu Defendera

Defender nie chroni tu przed konkretnym atakiem, a raczej przed zachowaniem wskazującym na bycie częścią składową większego. To poprawne podejście. Nie należy opierać mechanizmów ochrony o przekonanie, że jest się atakowanym, tylko o podejrzenie, że dane zachowanie nie pasuje do wzorca.

Uzłośliwienie ruchu wykonywanego w ramach telemetrii, SQM oraz Aktualizacji Automatycznych daje teoretycznie możliwość całkowitego przejęcia maszyny i podsłuchania/kradzieży wszystkich danych. Choć takie ataki nie są dziś powszechne, nadwrażliwość Defendera jest wskazana. Wykryte zagrożenie da się też oczywiście dodać do wyjątków.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (92)