Windows 10 analýza telemetrie od BIS

[glovex]

Dobrý den,

Nedávno jsem narazil na zajímavou analýzu od BIS: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html

Více něž samotná studie obecněji řečeno, mě zaujala proč BIS něco takového dělá.

Česká republika je v programu Microsoft (Government Security Program) česky Smlouva o vládním bezpečnostním programu.

A vím že v tomto programu je hodně zemí z EU ale jestli je tam Německo nevím.

Jestliže ano, proč BIS dělá takovou studii když má přístup ke zdrojovým kódům od Microsoftu a musí vidět vše co se do Microsoftu odesílá.

Jediný důvod který mě napadá, aby tím obešla smlouvu o zveřejňovaní informaci kterou má s Microsoftem v rámci toho programu.

[Reklama]

[oss]

Preco to robi... na to je jednoducha odpoved.
Pretoze dezinformacie a propaganda hybe svetm, na forach sa stale dokola objavuju informacie (vykriky do vetra) ako ta zly Microsoft sleduje a odosila tvoje nahe fotky priamo vedniu zlej fuf fuj korporacie.

Dalej, to, ze mas pristup k nejakym zdrojakom, este nemusi znamenat, ze zistis co to robi (otvor si lubovolny PHP alebo nodejs projekt). Otvorenost alebo uzavretost zdrojovych kodov nema vplyv na bezpecnost a Security inziniery to vedia. Takze je pre nich lahsie a richlejsie sa na testovany softver pozerat ako na blackbox.

[František Ryšánek]

Takze je pre nich lahsie a richlejsie sa na testovany softver pozerat ako na blackbox.

Kde jsem to četl... někde v dokumentaci strace? Že kolikrát jeden pohled do výpisu strace dává lepší informaci, "co ten software dělá", než dva dny luštění zdrojáků... Jasně, pak záleží na Vaší pečlivosti a na okolnostech, zda Vám při "pohledu zvenčí" zkoumaná černá skříňka vykecá úplně všechno, co doopravdy umí...

V jednom z několika trochu výživných PDF na tom jinak dost upovídaném webu mi jako laikovi přišel zajímavý seznam nástrojů. A pár screenshotů, kde je vidět, že používají (mj. taky) kernel debugger... respect.

Mimochodem pokud jsem správně pochopil, zkratka/přesmyčka BSI/BIS v nadpisu i těle původního dotazu je jenom clickbait... Ony ty dvě organizace dělají myslím každá něco dost jiného.

[redustin]

Asi už se to tu řešilo spoustukrát, ale je nějak zaručeno, že z těch zdrojáků MS byly opravdu zkoumané binárky zkompilované?

[oss]

Asi už se to tu řešilo spoustukrát, ale je nějak zaručeno, že z těch zdrojáků MS byly opravdu zkoumané binárky zkompilované?

Pokial si vsetko nekompilujes sam tak to nevies ani pri OSS. A to robi malokto a este menej ludi pozera zdrojove kody, z tych co ich pozera vie mizive percento najst bezpecnostnu chybu, a ked to vie ju nemusi vediet opravit aby nesposobil dve dalsie. Ked uz toto vsteko vies a si schopny, tak stale je problem v tom, ze musis verit kompilatoru, ze robi to co ma, alebo musis verit kompilatoru, ktory skompiluje kompilator... Ked sa dostanes k tomu ze si budes kompilator pisat priamo v instrukciach procesora (pozor nie ASM, ten by si musel kompilovat), tak musis verit mikrokodu procesoru a samotnemu HW, ze robi to co ma.

[Reklama]

[redustin]

Jistě, nic není ideální. I veškerá hmota ve vesmíru se za bilióny let rozpadne.

Nicméně přesto existují snahy s tím něco dělat, například dobře známý reproducible build debianu https://wiki.debian.org/ReproducibleBuilds . Proto se ptám, zda z těch binárek lze windowsy zkompilovat a zda ten build binárně sedí. To nemá s firmwarem CPU nic společného.

[redustin]

z těch binárek -> z těch zdrojáků

[oss]

To stale neriesi problem kompromitovaneko kompilatoru. Alebo toho, ze akonahle sa to rozsiri, tak sa najdu sposoby ako to obyst.

Tak stale to bude postavene len na dovere a viere, ze zamerne chyby nie su v zdrojakoch.

[redustin]

Od toho přece zdrojáky mají, aby je studovali.

A s kompilátorem to lze řešit, např. https://www.reddit.com/r/compsci/comments/3kmlwg/how_exactly_do_reproducible_builds_work/cuz68eg/

Mě zajímá, zda lze dodané zdrojáky zkompilovat a zda je build binárně shodný s verzí OS, ke které zdrojáky dodali. Předpokládám, že odpověď pro obojí je ne.

[Martin Dráb]

Mě zajímá, zda lze dodané zdrojáky zkompilovat a zda je build binárně shodný s verzí OS, ke které zdrojáky dodali. Předpokládám, že odpověď pro obojí je ne.

Pochybuji, že v MS kompilují reprodukovatelně. Navíc, po kompilaci sice dostanete binárky, ale aby opavdu fungovaly, musíte některé z nich digitálně podepsat certifikátem správné "důvěryhodnosti".

Pořád ale teoreticky mohou vykompilovanými bnárkami (po příslušném post-processingu) nahradit ty v nějakém nainstalovaném systému. S tím, že věří překladači.

[k3dAR]

[...] Pretoze dezinformacie a propaganda hybe svetm, na forach sa stale dokola objavuju informacie (vykriky do vetra) ako ta zly Microsoft sleduje a odosila tvoje nahe fotky priamo vedniu zlej fuf fuj korporacie [...]

"dezinformacie a propaganda" stoji primarni za tema vykrikama ze je vse v poradku a Windows nemuzou nic citliveho odesalt...
Pritom staci si precist EULA pro Windows a WindowsLive(? nebo jak se ten ucet ted jmenuje) ucet (jehoz zalozeni je jak pri instalaci tak pri pouzivani uzivateli neustale vnucovan a to tak ze 99% beznych uzivatelu ma pocit ze bez MS uctu nelze Windows nainstalovat a/nebo pouzivat)... dozvis se ze Microsoftu davas opravneni pokud on uzna za vhodne/potrebne k ziskani tvejch:
- dokumentu/souboru, vcetne privatnich
- kontaktu, emailu, zprav
- poznamek beznych, rucne psanych i hlasovych

[oss]

[...] Pretoze dezinformacie a propaganda hybe svetm, na forach sa stale dokola objavuju informacie (vykriky do vetra) ako ta zly Microsoft sleduje a odosila tvoje nahe fotky priamo vedniu zlej fuf fuj korporacie [...]

"dezinformacie a propaganda" stoji primarni za tema vykrikama ze je vse v poradku a Windows nemuzou nic citliveho odesalt...
Pritom staci si precist EULA pro Windows a WindowsLive(? nebo jak se ten ucet ted jmenuje) ucet (jehoz zalozeni je jak pri instalaci tak pri pouzivani uzivateli neustale vnucovan a to tak ze 99% beznych uzivatelu ma pocit ze bez MS uctu nelze Windows nainstalovat a/nebo pouzivat)... dozvis se ze Microsoftu davas opravneni pokud on uzna za vhodne/potrebne k ziskani tvejch:
- dokumentu/souboru, vcetne privatnich
- kontaktu, emailu, zprav
- poznamek beznych, rucne psanych i hlasovych

Takto EULA sa meni tazsie ako binarky...
Rovnake to bolo vsade, kde som pracoval, do licencnych podmienok sa vzdy davali aj taketo veci, aby bola firma kryta, keby daco... hoci sa to realne nikdy nerobilo. Nehovoriac o tom, ze sucastov WIndowsu je OneDrive, kde daco take potrebujes.

Microsoft nie je Google ani facebook, jeho zdroje primu nie su z tvojho sukromia.

A co keby si namiesto dohadov sa pozrel na nejake realne anlyzy. Bolo ich viac, dokonca jedna tu na Roote. Windows je spraveny tak aby siel auditovat a nehadze ti pod nohy polena.

[mfrd]

Proboha BIS a BSI je rozdíl.

Bundesamt für Sicherheit in der Informationstechnik. Spolkový úřad pro bezpečnost v Informační technice.

Zatímco BIS-ka je rozvědka resp. kontrarozvědka.

BSI je alá náš NUKIB, který bohužel vznikl odčleněním sekce z BIS-ky, s čím mají trochu problém si uvědomit, že už nejsou rozvědčíci.

Nechci úplně kecat, ale myslím, že Estonský úřad pro kybernetickou bezpečnost (alá náš NUKIB) přebírá výstupy BSI a nepokouší se vymýšlet ptákoviny jako NUKIB.

S BSI výstupem IT-Grund­schutz jsem se setkal cca před 20 lety, a stále tvrdím, že mnoho organizací (včetně NUKIB) si má projít tento dokument a až pak vymýšlet advanced věci. Pokud by NUKIB přeložil daný dokument a odkázal v otázkách bezpečnosti na něj. Tak různé úřady nebudou mít nesmyslně vysáty IT rozpočty.....

[neregistrovany]

Mimochodem pokud jsem správně pochopil, zkratka/přesmyčka BSI/BIS v nadpisu i těle původního dotazu je jenom clickbait... Ony ty dvě organizace dělají myslím každá něco dost jiného.

Ano, to je pravda. BIS je "Centralni banka vsech centralnich bank", nejakou dobu jedne jeji divizi sefoval byvaly cesky predseda vlady, ale pak u Washingtonu totalne zrusil svoje Ferarri a od te doby o nem nikdo neslysel...

www.bis.org

[OphrahHokulani]

Nedávno jsem narazil na zajímavou analýzu od BIS

Co si zistil z tej analyzy? Je bezpecne to pouzivat?