Abo
  • IT-Karriere:

Windows 10: Die Anatomie der Telemetrie

Microsoft sammelt in Windows 10 an etlichen Stellen sogenannte Telemetrie-Daten - und kann sogar weitere anfordern. Forscher haben auf der Sicherheitskonferenz Troopers gezeigt, wie das System funktioniert, und wie es sich trotz fehlender Option deaktivieren lässt.

Artikel von veröffentlicht am
Das Telemetrie-System in Windows 10 sammelt allerhand Daten.
Das Telemetrie-System in Windows 10 sammelt allerhand Daten. (Bild: manseok/Pixabay)

Wie E.T. in Steven Spielbergs Kinofilm aus den 1980ern will auch Windows nach Hause telefonieren. Doch weder der Außerirdische E.T. noch Microsoft erklären, welche Daten auf welche Art und Weise übertragen würden. Das will das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der Sicherheitsfirma ERNW in dem Forschungsprojekt Sisyphus herausfinden. Auf der Sicherheitskonferenz Troopers stellten die drei Sicherheitsforscher Maximilian Winkler, Dominik Phillips und Aleksandar Milenkoski vor, wie das Telemetrie-System funktioniert, und wie es sich deaktivieren lässt. Auch ihre weiteren Forschungsvorhaben sowie das aktuelle Windows 10 1809 waren Thema.

Inhalt:
  1. Windows 10: Die Anatomie der Telemetrie
  2. "Wir bauen eine Telemetrie, um die Telemetrie zu überwachen"

"Es gibt einen Trend zur Telemetrie," sagte Winkler. Diese finde sich in immer mehr Programmen. Mit ihr sammeln die Hersteller der Software Daten über den Zustand von Geräten oder Software. "Telemetrie ist nicht per se böse." Allerdings stelle sich die Frage, wer das Verhalten der Telemetrie steuere, und wo die Daten landeten. Aus diesem Grund untersuchen die Sicherheitsforscher das Telemetrie-Verhalten von Windows 10 seit zwei Jahren und können mittlerweile recht genau nachvollziehen, was dort passiert.

Viele Messpunkte im System

In ihrer Analyse der Windows-Telemetrie setzen sie auf die Windows 10 Version 1607, die von Microsoft länger supportet wird und bei der keine strukturellen Veränderungen vorgenommen werden (Long Term Service Branch). Alle Daten werden durch das Betriebssystem eingesammelt. Die Sicherheitsforscher unterscheiden zwischen einer primären Datensammlung und einer sekundären. Erstere ist in das System intergriert und sammelt die Daten an verschiedenen Messpunkten, die von den Entwicklern in verschiedene Programme und Dienste integriert wurden. Anschließend überträgt sie diese an Microsoft-Server. In einer Standardinstallation waren über 1.000 solcher Messpunkte aktiv - an denen wiederum verschiedene Daten ermittelt und an Microsoft gesendet werden.

Das System dahinter heißt Event Tracing for Windows oder kurz ETW. Ursprünglich wurde es für das Debugging von Software entwickelt, also für die Fehlersuche in Software. Entsprechend ausführlich und weitreichend sind die Informationen. Der USB-Messpunkt könne letztlich sogar als eine Art Keylogger missbraucht werden und die Tastatureingaben mitlesen, sagte Phillips.

Microsoft kann weitere Daten anfordern

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. eXXcellent solutions GmbH, Ulm, München, Stuttgart, Darmstadt, Berlin

Für weitaus kritischer halten die Forscher jedoch die zweite Variante, die sie sekundäre Datensammlung nennen. Wie ein Update-Mechanismus fragt Windows 10 in regelmäßigen Abständen im Microsoft-Backend nach Konfigurationsdateien und lädt diese - sofern vorhanden - herunter. Über diese werden weitere Informationen angefordert, beispielsweise zusätzliche Informationen über die Netzwerkkonfiguration oder ein Memory-Dump einer Software. "Das Ausführen von Tools oder zusätzlichen Funktion ist ein Risiko bezüglich Integrität und Kontrolle," sagte Phillips. Unter welchen Umständen das Backend welche Daten anfordere, sei nicht bekannt. Es ließen sich nur Vermutungen auf Basis der Forschungen anstellen - einen "Educated Guess" fasst Milenkoski zusammen.

Mit der neuen Windows-10-Version mit Langzeitsupport habe sich im Bereich der primären Datensammlung kaum etwas verändert. Die sekundäre Datensammlung sei jedoch ausgeweitet worden, was Umfang und Möglichkeiten angehe, sagte Winkler. Beispielsweise begrüßte die Sicherheitsforscher in 1607 noch die Meldung "Live-Kernel-Dumps sind im Moment noch nicht vorhanden. Das ist ein Platzhalter. Freu Dich". Mit 1809 ist der Platzhalter verschwunden und Live-Kernel-Dumps können von Microsoft angefordert werden. Genaueres könne man noch nicht sagen, die Forschung gehe weiter, erklärte Winkler. Dabei soll ihnen auch ein selbstentwickeltes Tool helfen.

"Wir bauen eine Telemetrie, um die Telemetrie zu überwachen" 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (Gutscheincode MSPC50) Alternate.de
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149,00€, Toshiba 240-GB-SSD für 29,00€, Sandisk...
  3. 135,00€ (Bestpreis!)
  4. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...

Tom01 02. Apr 2019

Windows ist mir zu frikelig. Das hat ja nicht mal einen vernünftigen Installer. Da ist...

vollstorno 31. Mär 2019

Folgendes via Powershell ausführen (falls Enterprise oder EDU/Core Edition): Set...

slacki 26. Mär 2019

Und anstatt aufzuklären, schreibst du einfach nur "schade, du hast kein Plan" ? Wie wäre...

Anonymer Nutzer 25. Mär 2019

... wäre somit also die beste Lösung. Da schwirren ja einige Listen durchs Netz. Muss man...

theuserbl 25. Mär 2019

Klar, die Telemetrie kann man durch besondere Tricks deaktivieren. Erst einmal. Bis zum...


Folgen Sie uns
       


iPad OS ausprobiert

Apple hat die erste öffentliche Betaversion vom neuen iPad OS veröffentlicht. Wir haben uns das für die iPads optimierte iOS 13 im Test genauer angeschaut.

iPad OS ausprobiert Video aufrufen
Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

    •  /