Windows 10: Die Anatomie der Telemetrie

Wie E.T. in Steven Spielbergs Kinofilm aus den 1980ern will auch Windows nach Hause telefonieren. Doch weder der Außerirdische E.T. noch Microsoft erklären, welche Daten auf welche Art und Weise übertragen würden. Das will das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der Sicherheitsfirma ERNW in dem Forschungsprojekt Sisyphus herausfinden. Auf der Sicherheitskonferenz Troopers stellten die drei Sicherheitsforscher Maximilian Winkler, Dominik Phillips und Aleksandar Milenkoski vor, wie das Telemetrie-System funktioniert, und wie es sich deaktivieren lässt. Auch ihre weiteren Forschungsvorhaben sowie das aktuelle Windows 10 1809 waren Thema.

"Es gibt einen Trend zur Telemetrie," sagte Winkler. Diese finde sich in immer mehr Programmen. Mit ihr sammeln die Hersteller der Software Daten über den Zustand von Geräten oder Software. "Telemetrie ist nicht per se böse." Allerdings stelle sich die Frage, wer das Verhalten der Telemetrie steuere, und wo die Daten landeten. Aus diesem Grund untersuchen die Sicherheitsforscher das Telemetrie-Verhalten von Windows 10 seit zwei Jahren und können mittlerweile recht genau nachvollziehen, was dort passiert.

Viele Messpunkte im System

In ihrer Analyse der Windows-Telemetrie setzen sie auf die Windows 10 Version 1607, die von Microsoft länger supportet wird und bei der keine strukturellen Veränderungen vorgenommen werden (Long Term Service Branch). Alle Daten werden durch das Betriebssystem eingesammelt. Die Sicherheitsforscher unterscheiden zwischen einer primären Datensammlung und einer sekundären. Erstere ist in das System intergriert und sammelt die Daten an verschiedenen Messpunkten, die von den Entwicklern in verschiedene Programme und Dienste integriert wurden. Anschließend überträgt sie diese an Microsoft-Server. In einer Standardinstallation waren über 1.000 solcher Messpunkte aktiv - an denen wiederum verschiedene Daten ermittelt und an Microsoft gesendet werden.

Das System dahinter heißt Event Tracing for Windows oder kurz ETW. Ursprünglich wurde es für das Debugging von Software entwickelt, also für die Fehlersuche in Software. Entsprechend ausführlich und weitreichend sind die Informationen. Der USB-Messpunkt könne letztlich sogar als eine Art Keylogger missbraucht werden und die Tastatureingaben mitlesen, sagte Phillips.

Microsoft kann weitere Daten anfordern

Für weitaus kritischer halten die Forscher jedoch die zweite Variante, die sie sekundäre Datensammlung nennen. Wie ein Update-Mechanismus fragt Windows 10 in regelmäßigen Abständen im Microsoft-Backend nach Konfigurationsdateien und lädt diese - sofern vorhanden - herunter. Über diese werden weitere Informationen angefordert, beispielsweise zusätzliche Informationen über die Netzwerkkonfiguration oder ein Memory-Dump einer Software. "Das Ausführen von Tools oder zusätzlichen Funktion ist ein Risiko bezüglich Integrität und Kontrolle," sagte Phillips. Unter welchen Umständen das Backend welche Daten anfordere, sei nicht bekannt. Es ließen sich nur Vermutungen auf Basis der Forschungen anstellen - einen "Educated Guess" fasst Milenkoski zusammen.

Mit der neuen Windows-10-Version mit Langzeitsupport habe sich im Bereich der primären Datensammlung kaum etwas verändert. Die sekundäre Datensammlung sei jedoch ausgeweitet worden, was Umfang und Möglichkeiten angehe, sagte Winkler. Beispielsweise begrüßte die Sicherheitsforscher in 1607 noch die Meldung "Live-Kernel-Dumps sind im Moment noch nicht vorhanden. Das ist ein Platzhalter. Freu Dich". Mit 1809 ist der Platzhalter verschwunden und Live-Kernel-Dumps können von Microsoft angefordert werden. Genaueres könne man noch nicht sagen, die Forschung gehe weiter, erklärte Winkler. Dabei soll ihnen auch ein selbstentwickeltes Tool helfen.