Windows Defender powstrzymuje przed wyłączeniem telemetrii. Ale to dobrze
Serwis Bleeping Computer w dość alarmistycznym tonie poinformował niedawno, że najnowsza wersja programu antywirusowego wykrywa próby zablokowania systemowej telemetrii i udaremnia je. Powołując się na słowa z pewnego niemieckiego bloga i własne badania, portal zidentyfikował adresy DNS "pilnowane" przez Defendera i istotnie wszystkie dotyczą telemetrii i synchronizacji ustawień. Antywirus chroni plik hosts przed zmianami zaburzającymi łączność z serwerami telemetrii (vortex).
Szybko pojawiły się nieprzychylne opinie dotyczące tej zmiany. Posiadający złożoną historię (i koszmarny branding) Windows Defender wywodzi się wszak z programu Microsoft Antispyware i prowadzonej przez firmę w 2005 roku kampanii wymierzonej przeciwko oprogramowaniu szpiegowskiemu.
Szpiegujący antyszpieg?
Z takiej perspektywy Defender wydaje się "zdradzać ideały", na bazie których powstał. Jest to jednak niepotrzebnie romantyczne i pozbawione pragmatyzmu podejście. Zachowanie Defendera jest całkowicie uzasadnione, jeżeli weźmie się pod uwagę, przed czym tak naprawdę chroni definicja "SettingsModifier:Win32/HostsFileHijack".
Telemetria wysyła zbiór bardzo spersonalizowanych informacji, umożliwiających, w połączeniu z innymi danymi, na bardzo dokładne sprofilowanie użytkownika. Najwyższy tryb działania telemetrii Windows, stosowany obowiązkowo na przykład w programie Windows Insider, definiuje na przykład pola, z których pobierane są wszystkie naciśnięcia klawiszy, na przykład celem optymalizacji wyszukiwania.
Telemetria to dane wrażliwe!Zgromadzone i przesyłane dane da się przeglądać (!), a ich transmisja jest szyfrowana. Szyfrowanie da się jednak pokonać, instalując własne certyfikaty i/lub stosując sieciowy atak man-in-the-middle. W połączeniu ze zmianą adresata danych diagnostycznych, można prowadzić działania szpiegowskie stosując bardzo mało szpiegowskiego oprogramowania.
Defender nie chroni tu przed konkretnym atakiem, a raczej przed zachowaniem wskazującym na bycie częścią składową większego. To poprawne podejście. Nie należy opierać mechanizmów ochrony o przekonanie, że jest się atakowanym, tylko o podejrzenie, że dane zachowanie nie pasuje do wzorca.
Uzłośliwienie ruchu wykonywanego w ramach telemetrii, SQM oraz Aktualizacji Automatycznych daje teoretycznie możliwość całkowitego przejęcia maszyny i podsłuchania/kradzieży wszystkich danych. Choć takie ataki nie są dziś powszechne, nadwrażliwość Defendera jest wskazana. Wykryte zagrożenie da się też oczywiście dodać do wyjątków.