Der Fokus dieser Untersuchung liegt auf der Analyse des Datenschutzniveaus, das Windows 10 bietet, wenn die restriktivsten verfügbaren Datenschutzeinstellungen verwendet werden. Es wurde beobachtet, dass Windows 10 verschlüsselte Verbindungen zu Microsoft-Servern herstellt, ohne dass eine direkte Interaktion des Benutzers damit verbunden ist. softScheck hat diesen Datenverkehr bereits in einer früheren Analyse identifiziert. Unser Ziel ist es nun, die Kommunikation durch Überwachung der gesendeten Daten zu analysieren.
Inhalt
1. Setup
Da die gesamte Telemetrie-Kommunikation verschlüsselt ist, müssen wir einen Man-in-the-Middle-Angriff durchführen. Dazu haben wir einen Raspberry Pi 3 verwendet, einen Einplatinencomputer in der Größe einer Kreditkarte. Unser Fokus liegt darauf, den Datenverkehr eines Windows 10-Clients mit den restriktivsten aktivierten Datenschutzeinstellungen zu identifizieren und zu analysieren. Einige Windows 10-Versionen (Enterprise, Education und IoT Core) unterstützen eine zusätzliche Telemetrie-Ebene, Telemetrie-Ebene 0: Sicherheit. Wir verwenden einen Windows 10 Enterprise-Client (Version 1607 – Build 14393.447) und aktivieren diese Ebene. In unserem Setup verwenden wir einen neu installierten Windows 10 Enterprise-Client ohne zusätzliche Software. Die Datenschutzeinstellungen sind auf die restriktivsten Werte gemäß dem TechNet-Artikel Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation gesetzt. Unser endgültiges Setup ist in der folgenden Abbildung dargestellt:
Das Open-Source-Tool mitmproxy wird verwendet, um den Man-in-the-Middle-Angriff durchzuführen. SSL-Verkehr (Port 443) wird zu mitmproxy umgeleitet, während aller andere Verkehr direkt mittels NAT weitergeleitet wird. Um den verschlüsselten Verkehr zu entschlüsseln, verwenden wir die integrierte Zertifizierungsstelle von mitmproxy. Damit dies funktioniert, importieren wir das Root-Zertifikat von mitmproxy in unseren Windows 10-Client. Nun verhält sich mitmproxy als Server gegenüber unserem Windows 10-Client und baut (als Client) eine Verbindung zum Zielserver auf, wie in der folgenden Abbildung dargestellt.
Wir profitieren davon, dass Microsoft in diesem Fall kein Certificate Pinning verwendet, was bedeutet, dass der Client jedes Zertifikat in seinem Zertifikatsspeicher akzeptiert.
2. Ergebnisse und Bewertung
Bei einer Analyse der aufgezeichneten Netzwerkpaketspuren haben wir mehrere Verbindungen zu Microsoft-Servern identifiziert. Generell gibt es zwei Arten von Verbindungen: Bing-Anfragen und Telemetriedaten. Eine lokale Suche im Windows-Startmenü führt zu mehreren Anfragen an bing.com. Der vollständige Suchbegriff sowie mehrere Präfixe davon werden während der Eingabe gesendet. An diesem Punkt wäre keine Verbindung zu bing.com notwendig. Darüber hinaus sendet der Windows 10-Client wiederholt umfangreiche Telemetriedaten an Microsoft-Server. Eine Übersicht gibt die folgende Tabelle:
| Server | Daten |
|---|---|
| arc.msn.com | Telemetriedaten |
| arc.msn.com.nsatc.net | Telemetriedaten |
| bing.com | Bing-Anfragen + Cookies |
| g.bing.com | Cookies |
| g.live.com | Cookies |
Wir haben das Cookie Cortana AppUID in jeder Anfrage identifiziert, die der Windows 10-Client an bing.com sendet. Seit dem Anniversary Update von Windows 10 ist der persönliche Assistent Cortana integriert. Selbst wenn alle Einstellungen in Cortana-Einstellungen > Datenschutz deaktiviert sind, läuft Cortana weiterhin im Hintergrund. Microsoft hat dieses Verhalten auf seiner Website zu Cortana und Datenschutz bestätigt:
Wenn Sie sich nicht anmelden und Cortana keine Erlaubnis geben, Ihre persönlichen Cortana-Daten zu verwenden, ist Cortana dennoch da, um Ihnen bei der Suche im Web und auf Ihrem Windows-Gerät zu helfen [..] und um andere Aufgaben auszuführen, die keine Personalisierung erfordern. Wenn Sie das Suchfeld in der Taskleiste verwenden, erhalten Sie Suchvorschläge, sobald Sie mit dem Tippen oder Sprechen beginnen. Dazu sendet Windows das, was Sie eingeben oder sagen, an den Bing-Dienst, der es in Echtzeit interpretiert, um automatische Vorschläge bereitzustellen. (Quelle: https://privacy.microsoft.com/de-de/windows-10-cortana-and-privacy)
Microsoft weist darauf hin, dass in diesem Fall nur Dienste zur Verfügung gestellt werden, die keine Personalisierung erfordern. Allerdings wurden bei der Anfrage mehrere eindeutige Cookies mit Hash-Werten gesendet, wie der folgende Screenshot zeigt. Aus diesem Grund kann nicht verifiziert werden, dass Anfragen anonym bleiben. Es ist für Microsoft machbar, mit diesen Cookies und der Quell-IP eine eindeutige Identifizierung vorzunehmen.
Wie bereits erwähnt, werden die identifizierten Bing-Anfragen durch Cortana ausgelöst. Da alle datenschutzrelevanten Einstellungen deaktiviert waren (für maximalen Datenschutz), haben wir weiter gesucht. Es ist möglich, Cortana vollständig zu deaktivieren. Dazu muss der Schlüssel AllowCortana mit dem Wert 0 zum Registrierungspfad hinzugefügt werden:
HKEY LOCAL MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
Benutzer von Windows 10 Pro und Enterprise haben auch die Möglichkeit, eine Gruppenrichtlinie zu verwenden. Das Gruppenrichtlinienobjekt “Cortana zulassen” kann festgelegt werden unter
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Suche
Durch Verwendung einer dieser Einstellungen konnten die etablierten Bing-Anfragen nicht mehr beobachtet werden.
Zusätzlich zu Bing-Anfragen werden umfangreiche Telemetriedaten übertragen. Neben mehreren Identifikatoren werden Datenpunkte wie Displayauflösung und Art der Netzwerkverbindung übertragen, wie der folgende Screenshot zeigt:
3. Fazit
Wie gezeigt wurde, kann unerwünschter Datenverkehr von Windows 10 bis zu einem gewissen Grad eingeschränkt werden, was den Einsatz von Windows 10 in einem Unternehmensnetzwerk machbar macht. Es muss berücksichtigt werden, dass die Telemetrie-Ebene Sicherheit (0) nur in Windows 10 Enterprise, Windows 10 Education, Windows 10 Mobile Enterprise, Windows 10 IoT Core (IoT Core) und Windows Server 2016 verfügbar ist. Alle anderen Windows-Versionen sind auf die Telemetrie-Ebene Einfach (1) beschränkt.
Laut Microsoft werden auf dieser Ebene zusätzliche Daten über „Gesundheit & Qualität“ gesammelt. Unabhängig davon, welche Einstellungen vorgenommen werden, müssen Sie jedoch bedenken, dass Windows 10 weiterhin Telemetriedaten sendet. Eine einfache Möglichkeit, alle datenschutzrelevanten Einstellungen zu verwalten (einschließlich der vollständigen Deaktivierung von Cortana), bietet das Tool DisableWinTracking.
Lesen Sie über weitere interessante Themen in unserem Blog.