Original-URL des Artikels: https://www.golem.de/news/windows-10-die-anatomie-der-telemetrie-1903-140185.html    Veröffentlicht: 22.03.2019 11:36    Kurz-URL: https://glm.io/140185

Windows 10

Die Anatomie der Telemetrie

Microsoft sammelt in Windows 10 an etlichen Stellen sogenannte Telemetrie-Daten - und kann sogar weitere anfordern. Forscher haben auf der Sicherheitskonferenz Troopers gezeigt, wie das System funktioniert, und wie es sich trotz fehlender Option deaktivieren lässt.

Wie E.T. in Steven Spielbergs Kinofilm aus den 1980ern will auch Windows nach Hause telefonieren. Doch weder der Außerirdische E.T. noch Microsoft erklären, welche Daten auf welche Art und Weise übertragen würden. Das will das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit der Sicherheitsfirma ERNW in dem Forschungsprojekt Sisyphus herausfinden. Auf der Sicherheitskonferenz Troopers stellten die drei Sicherheitsforscher Maximilian Winkler, Dominik Phillips und Aleksandar Milenkoski vor, wie das Telemetrie-System funktioniert, und wie es sich deaktivieren lässt. Auch ihre weiteren Forschungsvorhaben sowie das aktuelle Windows 10 1809 waren Thema.

"Es gibt einen Trend zur Telemetrie," sagte Winkler. Diese finde sich in immer mehr Programmen. Mit ihr sammeln die Hersteller der Software Daten über den Zustand von Geräten oder Software. "Telemetrie ist nicht per se böse." Allerdings stelle sich die Frage, wer das Verhalten der Telemetrie steuere, und wo die Daten landeten. Aus diesem Grund untersuchen die Sicherheitsforscher das Telemetrie-Verhalten von Windows 10 seit zwei Jahren und können mittlerweile recht genau nachvollziehen, was dort passiert.

Viele Messpunkte im System

In ihrer Analyse der Windows-Telemetrie setzen sie auf die Windows 10 Version 1607, die von Microsoft länger supportet wird und bei der keine strukturellen Veränderungen vorgenommen werden (Long Term Service Branch). Alle Daten werden durch das Betriebssystem eingesammelt. Die Sicherheitsforscher unterscheiden zwischen einer primären Datensammlung und einer sekundären. Erstere ist in das System intergriert und sammelt die Daten an verschiedenen Messpunkten, die von den Entwicklern in verschiedene Programme und Dienste integriert wurden. Anschließend überträgt sie diese an Microsoft-Server. In einer Standardinstallation waren über 1.000 solcher Messpunkte aktiv - an denen wiederum verschiedene Daten ermittelt und an Microsoft gesendet werden.

Das System dahinter heißt Event Tracing for Windows oder kurz ETW. Ursprünglich wurde es für das Debugging von Software entwickelt, also für die Fehlersuche in Software. Entsprechend ausführlich und weitreichend sind die Informationen. Der USB-Messpunkt könne letztlich sogar als eine Art Keylogger missbraucht werden und die Tastatureingaben mitlesen, sagte Phillips.

Microsoft kann weitere Daten anfordern

Für weitaus kritischer halten die Forscher jedoch die zweite Variante, die sie sekundäre Datensammlung nennen. Wie ein Update-Mechanismus fragt Windows 10 in regelmäßigen Abständen im Microsoft-Backend nach Konfigurationsdateien und lädt diese - sofern vorhanden - herunter. Über diese werden weitere Informationen angefordert, beispielsweise zusätzliche Informationen über die Netzwerkkonfiguration oder ein Memory-Dump einer Software. "Das Ausführen von Tools oder zusätzlichen Funktion ist ein Risiko bezüglich Integrität und Kontrolle," sagte Phillips. Unter welchen Umständen das Backend welche Daten anfordere, sei nicht bekannt. Es ließen sich nur Vermutungen auf Basis der Forschungen anstellen - einen "Educated Guess" fasst Milenkoski zusammen.

Mit der neuen Windows-10-Version mit Langzeitsupport habe sich im Bereich der primären Datensammlung kaum etwas verändert. Die sekundäre Datensammlung sei jedoch ausgeweitet worden, was Umfang und Möglichkeiten angehe, sagte Winkler. Beispielsweise begrüßte die Sicherheitsforscher in 1607 noch die Meldung "Live-Kernel-Dumps sind im Moment noch nicht vorhanden. Das ist ein Platzhalter. Freu Dich". Mit 1809 ist der Platzhalter verschwunden und Live-Kernel-Dumps können von Microsoft angefordert werden. Genaueres könne man noch nicht sagen, die Forschung gehe weiter, erklärte Winkler. Dabei soll ihnen auch ein selbstentwickeltes Tool helfen.

"Wir bauen eine Telemetrie, um die Telemetrie zu überwachen"

Momentan arbeiten die Sicherheitsforscher an zwei Viewern, die sie für ihre Analysen bereits einsetzen. Beide sollen an unterschiedlichen Punkten die Daten sichtbar machen, die Microsoft sammelt. Zudem wollen sie mit einer Korrelation der Daten herausfinden, unter welchen Umständen Microsoft weitere Daten anfordert. "Wir bauen eine Telemetrie, um die Telemetrie zu überwachen," fasste Phillips zusammen. "Am Ende brauchst du die Daten, um die Telemetrie zu analysieren." Nur so könne bewertet werden, wie kritisch die gesammelten Daten und das Verhalten seien.

Wenn die Tools fertig sind, wollen die Sicherheitsforscher sie als Open-Source-Software veröffentlichen. "Wir veröffentlichen jedes Tool und Dokument", sagte Winkler. Letztlich habe das ja auch der Steuerzahler bezahlt. "Wir hoffen, dass Sicherheitsforscher daran weiterarbeiten. Daher veröffentlichen wir auch auf Englisch", sagte Winkler.

Opt-Out

Ausschalten lässt sich die Datensammlung nicht ohne weiteres. Ein Administrator kann zwar zwischen den Optionen Basic, Enhanced und Full wählen - ganz ausschalten lässt sie sich jedoch nicht. Auch die Anzahl der Messpunkte unterscheiden sich nur geringfügig. In der Windows-Enterprise-Version steht zusätzlich das niedrigste Level Security zur Verfügung.



Die Sicherheitsforscher haben mehrere Varianten entwickelt, um die Datensammlung dennoch zu unterbinden oder zumindest einzuschränken. Beispielsweise könnten die Messpunkte deaktiviert werden. Dadurch lasse sich der Datentransfer zwar reduzieren, der Aufwand sei jedoch hoch - zudem änderten sich die Messpunkte immer wieder. Nachhaltig sei diese Methode nicht, konstatierten die Sicherheitsforscher. Wird dem Betriebssystem der Zugriff auf die Server von Microsoft verwehrt - beispielsweise durch eine Firewall -, lasse sich die Übertragung von Daten reduzieren oder sogar komplett deaktivieren. Doch auch dort ändert Microsoft immer wieder die Server und URLs - eine kontinuierliche Pflege wäre notwendig.

Die einzig sichere Methode sei es, das Betriebssystem zu isolieren und ihm den Zugang zum Internet zu nehmen. Das erfordere wenig Pflege und sei nachhaltig - bedeute allerdings nicht, dass auch alle Programme nicht mehr auf das Internet zugreifen könnten, erklärte Winkler. Mit dem Bundesclient, eine standardisierte Plattform, über die in Zukunft Verwaltung und Behörden ihre Computerarbeiten verrichten sollen, soll genau dies umgesetzt werden. Gesurft wird dann über einen virtualisierten Browser oder ein Terminal.

"Aus Gründen der Transparenz wäre es wünschenswert, wenn Microsoft den Menschen erklärt, was mit ihren Daten geschieht, und wofür sie eingesetzt werden - und welchen Mehrwert der Endanwender dafür erwarten kann", sagte Phillips. Noch wichtiger sei jedoch eine Option, mit der die Telemetrie einfach ausgestellt werden könne. Bei Microsoft Office sei dies mittlerweile möglich.  (mtr)


Verwandte Artikel:
Datenschutz-Ärger: Microsoft sammelt bis zu 25.000 Ereignistypen bei Office   
(20.11.2018, https://glm.io/137815 )
Windows 10: Datensammeln geht nach Deaktivieren weiter, meinen Nutzer   
(17.12.2018, https://glm.io/138281 )
Browser: Mozilla veröffentlicht Datenauswertung zur Firefox-Nutzung   
(28.08.2018, https://glm.io/136235 )
Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher   
(22.03.2018, https://glm.io/133456 )
Troopers 2018: "Responsible Disclosure hilft nur dem Hersteller"   
(16.03.2018, https://glm.io/133362 )

© 1997–2019 Golem.de, https://www.golem.de/