Quando se trata de Windows 10 privacidade, não confiar analistas amadores

15 de fevereiro de 2015: Em uma bizarra série de atualizações, Gordon Kelly aparentemente tenha se retratado a história neste artigo, embora suas atualizações não usar as palavras “correção” ou “retração”. Esta é a atualização de hoje.

Ed Bott

Windows 10; Surface da Microsoft all-in-one PC disse a manchete lançamento hardware de Outubro; Windows 10; Windows 10 dica: Criar um fundo perfeito para seu desktop ou tela de bloqueio; Nuvem; Windows 10 Empresa já está disponível na subscrição dos parceiros de nuvem da Microsoft; empresa Software; novo modelo de negócios da Microsoft para o Windows 10: pagar para jogar

Atualizar 15/02/2016: Microsoft rejeitou os dados no segmento Voat tão completamente falho. Este substitui o ‘sem comentários’ inicialmente fornecido para esta história e todas as partes reconhecem isso muda o contexto do qual a história original foi escrita.

A atualização também referências “[a] n pedido de desculpas da agência de imprensa Microsoft UK 3MZ” sobre uma história de acompanhamento.

Gordon Kelly da Forbes está de volta, chicoteando-se um frenesi sobre o Windows 10. Desta vez, ele afirma ter encontrado provas chocante que a telemetria da Microsoft está a recolher quantidades enorme de dados de usuários do Windows 10.

Microsoft construiu um novo sistema de telemetria para os seus ‘Windows como um Serviço’ modelo de engenharia. No Windows 10, você pode discar para a coleta de dados de volta quase a zero, mas você não pode desligá-lo completamente. Aqui está o porquê.

Infelizmente, o que o Sr. Kelly pós * prova é como muito, muito pouco ele entende sobre a computação moderna ou networking. Sério, o seu artigo é puro jargão, tecnicamente. Mas mais de 100.000 pessoas tenham lido até agora, e aparentemente eles acreditam que o Sr. Kelly.

Eu sinto muito por aquelas pobres almas ignorantes.

O que torna este estado inteiro lamentável ainda pior é que o Sr. Kelly ainda nem feito qualquer de sua própria pesquisa. Em vez disso, ele está contando com … bem, eu vou deixá-lo dizer-lhe

Voat é um clone Reddit. O usuário CheesusCrust é … bem, nós realmente não tenho idéia de quem ele é.

De agora em diante, vou me referir a ele como “Mr. Crust”.

Não há nada no artigo do Sr. Kelly para indicar que ele falou com o Sr. Crust para verificar suas credenciais ou recolher quaisquer dados adicionais.

O que o Sr. Crust fez foi instalar o Windows 10 Enterprise Edition (aparentemente uma versão de avaliação) em uma máquina virtual, usando o VirtualBox livre rodando em Linux Mint. Mr. Crust diz ele executou uma instalação personalizada, onde ele “deficientes três páginas de opções de acompanhamento.”

[A nota lateral aqui: administradores de rede reais Configurando o Windows 10 Empresa tem centenas de opções de política de grupo à sua disposição, incluindo controles refinado sobre as configurações de telemetria e privacidade. Há ainda uma quarta opção, não está disponível para usuários de varejo e OEM do Windows 10 edições, que disca telemetria de volta a um mínimo absoluto. Não há nenhuma evidência que o Sr. Crust está ciente dessas opções.]

E então, o Sr. Crust relata, ele “configurado o roteador DD-WRT a cair e registrar todas as tentativas de conexão via iptables através do roteador DD-WRT pelo Windows 10 Empresa.”

Oh céus.

Mr. Crust diz que sua intenção era “analisar o tráfego de rede do Windows 10 em uma instalação limpa.” Se houver quaisquer leitores com experiência em redes na platéia, eles podem ver a falha em sua metodologia. Se o seu software precisa se conectar a um recurso externo para executar uma tarefa específica, ea conexão cai inesperadamente, você não vai obter qualquer tráfego para analisar. Pior ainda, quando o software detecta uma conexão malsucedida ele vai tentar se conectar novamente. E de novo e de novo e de novo.

Então, o que poderia ter sido uma única troca de dados, short poderia, em vez transformar-se em múltiplas tentativas de conexão.

O Sr. Kelly está indignado

Eu poderia ter de fazer uma pausa aqui por um segundo para permitir que as dos meus leitores com experiência em redes para tentar dar sentido a essas duas últimas frases. Não adianta tentar. É rabiscos.

Solícito, o Sr. Crust fornecido os dados brutos, que eu conectados a uma planilha para que eu pudesse executar minha própria investigação extensa. Os resultados são involuntariamente hilariante.

[Update: Parece que o Sr. Crust excluiu seu posto e, na verdade toda a sua conta Voat. O posto Forbes que confiou em sua dados permanece inalterado.]

Primeiro de tudo, 602 tentativas de conexão fosse para 192.168.1.255, usando a porta UDP 137. Esse é o endereço de broadcast, onde computadores Windows em uma rede local anunciar sua presença e procurar outros computadores da rede utilizando o serviço de nome NetBIOS. É o tráfego perfeitamente normal.

Outra 630 dessas tentativas de conexão eram pesquisas Domain Name System para o próprio roteador, 192.168.1.1, usando a porta UDP 53. Esse endereço é o próprio roteador.

Por que o Windows executar essas pesquisas de DNS? Uma grande razão é que é como o Windows verifica se você tem acesso à Internet. Se há um problema com sua conexão com a Internet, você tem uma sobreposição de amarelo no ícone de rede para baixo no lado direito da barra de tarefas.

Para fazer esse teste, o Windows primeiro executa uma pesquisa DNS de www.msftncsi.com. Em seguida, ele faz uma solicitação HTTP para recuperar o ncsi.txt página a partir desse site. Este arquivo é um arquivo de texto simples e contém apenas o texto “Microsoft NCSI”. (NCSI significa Network ícone Estado da Ligação). Finalmente, ele executa uma consulta DNS para dns.msftncsi.com.

Todo o procedimento é amplamente documentado.

consultas DNS não são “espionagem”. Nem são NetBIOS transmite nome em sua rede local. Até agora, isso é de 22,3 por cento do chamado tráfego que é facilmente contabilizados como “não espionagem,” a menos que você acha que há algo sinistro sobre um arquivo de texto de duas palavras que já foi baixado trilhões de vezes a partir desse servidor pobre Microsoft.

Em seguida é um escalonamento 1.619 tentativas de conexão usando a porta UDP 3544 para o endereço 94.245.121.253, que o Sr. MASSA foi incapaz de identificar, juntamente com mais cinco tentativas usando a mesma porta para outros servidores.

Esse endereço de fato pertencem a Microsoft. É um servidor Teredo, teredo.ipv6.microsoft.com. Teredo é um padrão da Internet que é usado para fornecer um endereço IPv6 a um PC que fala apenas IPv4, tornando mais fácil para realizar a comunicação segura e confiável entre dois pontos sem ter de se preocupar com a tradução de rede. Também está bem documentada e não envolve qualquer troca de informações que não sejam endereços IP.

Em suma, o Windows continua tentando fazer uma conexão simples, usando as suas capacidades IPv6, mas o router continua a cair essas tentativas de conexão. Por isso, continua tentando novamente e novamente.

Essa é outra 1.624 entradas que podem ser adicionados à lista “não espionagem”. Até agora, pela minha contagem, mais de 52 por cento das tentativas de conexão são completamente inofensivas e não envolvem a coleta de dados em tudo.

Outras três tentativas de conexão estiver usando a porta 123. Esse é o Network Time Protocol, que os dispositivos utilizam para recuperar o tempo atual de servidores autorizados na Internet. Acertar o relógio no seu computador não é “espionagem”.

lista do Sr. Crust tem mais de 549 tentativas de conexão na porta 80, que é simples HTTP de idade. O Windows não tem um servidor web instalado por padrão, então essas são todas as conexões de entrada, com o Windows tentando recuperar dados. Eles não estão enviando-o para outra direção.

Sabemos, também, a partir da documentação da Microsoft de que todas as transmissões de dados de telemetria são criptografadas, por isso é altamente improvável que qualquer uma dessas conexões HTTP não criptografado na porta 80 teriam dados de telemetria incluídos se tivessem sido autorizados.

Muitos dos endereços na lista pertencem a redes de distribuição de conteúdo (CDNs), como Akamai Technologies e CloudFlare. Alguns desses downloads são, possivelmente, tentar refrescar telhas ao vivo nos aplicativos MSN provisionados (notícias, esportes, tempo, dinheiro, e assim por diante). Há, talvez, algumas atualizações para Windows e do Windows Store em lá também.

Podemos saber mais se o Sr. Crosta tinha permitido a sua máquina para completar algumas dessas conexões para que ele pudesse realizar alguma análise de tráfego real. Mas ele não o fez, por isso, não pode.

Podemos, no entanto, concluir com segurança que nenhuma dessas ligações implicaria qualquer “espionagem”.

O que nos deixa com 2.100 tentativas de conexão em oito horas através da porta 443. Esses são conexões seguras (HTTPS) destinados a trocar dados de modo que não podem ser interceptados em trânsito.

Não temos idéia de quantas conexões seguras que a máquina teria feito em oito horas tinha Mr. Crust realmente lhes permitiu concluir. O número quase certamente teria sido menor, talvez por uma ordem de magnitude ou mesmo dois.

E, claro, essas conexões não são todos sobre a telemetria.

O mais importante é o serviço de licenciamento de Software, que verifica o estado de activação do Windows periodicamente. Ao deixar cair essas conexões, o Sr. Crust não está permitindo que esses ativação e validação cheques para ser concluído. O Windows fica muito irritada quando isso acontece, o que poderia explicar por que havia mais de 1.700 tentativas de conexão a um punhado de endereços em um único intervalo de endereços IP geridos pela Microsoft.

Outro conteúdo que é entregue de forma segura através da porta 443 inclui atualizações do Windows, atualizações do Windows Defender e as atualizações do Windows Store para aplicativos que são configurados em cada máquina Windows 10. O Windows 10 tentativas para contactar onedrive, também de forma segura, para ver se existem quaisquer configurações salvas para o usuário atual. Existem listas de sites maliciosos conhecidos que são entregues ao serviço SmartScreen em um hash e formato criptografado.

E sim, há certamente alguns dados de telemetria lá. Nós não temos idéia se o Sr. Crust alterou as configurações de diagnóstico e uso padrão para Basic. Se tivesse, provavelmente haveria um único ping para servidores da Microsoft quando a máquina começa a funcionar, o que iria revelar o que esse cenário era, se o Windows Defender foi até à data, e se a sua instalação tinha experimentado quaisquer falhas no software ou instalação do driver.

Se ele tivesse mantido as configurações avançadas ou cheio, o Windows seria periodicamente entregar um lote de dados de uso anônimos para a Microsoft. (Claro, desde que ele não estava realmente usando a máquina, não haveria dados para o intercâmbio.) Mas nós não sabemos, porque o Sr. Crust não realmente fazer qualquer análise de tráfego.

Enquanto isso, o Sr. Kelly pode querer escrever um pouco menos e estudar um pouco mais. Eu sei que alguns especialistas em redes que fizeram alguns cursos excelentes de formação de vídeo onde ele poderia aprender muito sobre TCP e UDP e HTTP. Eu poderia até mesmo recomendar alguns livros que podem ser úteis.

Mas algo me diz que ele realmente não está interessado em aprender.

* Como sempre, eu odeio a linha do bolso do Sr. Kelly com o tráfego para esse trabalho de má qualidade, mas se você insistir em leitura, o posto Forbes está aqui.

Surface da Microsoft all-in-one PC disse a manchete lançamento hardware outubro

Windows 10 dica: Criar um fundo perfeito para seu desktop ou tela de bloqueio

Windows 10 Empresa já está disponível na subscrição dos parceiros de nuvem da Microsoft

novo modelo de negócios da Microsoft para o Windows 10: pagar para jogar