Разбираемся в проблеме: OEM ноутбуки и безопасность Windows 10

Некоторые проблемы обнаружились практически мгновенно, например, проблема eDellRoot, но для выявления некоторых других проблем потребовалось больше времени и глубокий анализ.

Мониторинг сети осуществлялся за счет прослушивания соединения ноутбука при первом запуске и конфигурации. Основная идея заключалась в том, чтобы проверить безопасность ноутбука на основе сетевого трафика.

Выводы: Безопасность и конфиденциальность ноутбука

Обычно Duo Labs просто обнаруживает уязвимости, отправляет их вендору и выпускают отчет после выхода соответствующих патчей. В данном случае были обнаружены проблемы, которые не обязательно отвечают критериям отчета об уязвимостях.

Среди основных заключений:

• Многие из найденных проблем безопасности зафиксированы на всех ноутбуках. Некоторые проблемы были более серьезными, но все ноутбуки имели проблемы.
• Проблемы, связанные с сетью, затронули все ноутбуки. Они были обнаружены сразу после того, как ноутбук подключался к сети во время первоначальной загрузки.
• После обновлений вторника патчей, многие установленные настройки конфиденциальности были сброшены к параметрам по умолчанию - без уведомлений для конечного пользователя. 
• Модель OEM Microsoft Signature Edition является более желательной, поскольку она содержит меньше нежелательного стороннего ПО, что в свою очередь приводит к меньшему количеству подозрительного трафика.
• Одна конкретная проблема: антивирус McAfee использует веб-ошибки, чтобы отслеживать и обслуживать рекламу пользователям. По мнению Duo Labs это единственная цель подобных ошибок. Кроме того, это противоречит безопасности за счет доверия к сторонним сайтам и разрешения загрузки контента. Все это подвергает пользователей риску, а выигрывают от подобной ситуации только вендоры и рекламодатели.

Некоторые проблемы были настолько вопиющими, что команда Duo Labs решила разработать рекомендации по защите подобных ноутбуков. Вы можете загрузить руководство (PDF, английский), чтобы получить полное техническое объяснение исследования и реальные шаги для минимизации рисков.

Опыт реального использования: вопросы безопасности и сценарии атак

Основной рассматриваемый сценарий атаки был связан не с домашним использованием - по крайней мере с точки зрения сетевой инфраструктуры. Скорее рассматривалось событие, когда пользователь приобрел свой новенький ноутбук и отправился в кофейню, отель или любимый ресторан с “бесплатным Wi-Fi”.

Стандартные настройки ноутбука и протоколы упростили задачу прослушивания соединения, захвата, просмотра трафика и перенаправления трафика для использования в незаконных целях. Киберпреступники могут украсть пароль от интернет-банкинга, просмотреть данные компании и выполнить другие несанкционированные действия благодаря стандартным настройкам фаервола и служб контроля сетевого соединения.

В данном сценарии не рассматривались варианты с сложными паролями, двухфакторной аутентификацией, регулярной установкой патчей безопасности и привычками безопасного веб-серфинга.

Стандартные настройки представляют серьезный риск для конфиденциальности

Существует большое количество новых функций в Windows 8 и 10, которые собирают данные о пользователе и ноутбуке. Некоторые данные загружаются на сервера Microsoft и OEM вендора. В Windows 8 мы имели пять экранов с настройками приватности, в Windows 10 их уже тринадцать.

И все из них активированы по умолчанию. Многие приложения и сервисы, привязанные к данным настройкам, начинают связываться со своими серверами сразу после подключения ноутбука к сети, еще до того, как Вы вошли в систему. Для тех пользователей, которые заботятся о приватности, идеальным вариантом стала бы возможность отключения данных функций сбора и загрузки данных.

Отключение этих функций иногда доступно только при манипуляциях с системным реестром. Обычный пользователь может не знать, как это делается.

Кроме того, когда данные приложения и службы обновляются во вторник патчей, они восстанавливают стандартные настройки без предубеждения. Это означает, что каждый вторник патчей Вам придется проверять данные параметры, чтобы убедиться, что они отключены.

Проблемы конфиденциальности при сборе данных

Зашифрованный сетевой трафик не был проанализирован, хотя после некоторых манипуляций было возможно определить куда именно передавались данные - в Microsoft или OEM вендору. В какой степени это обеспечивает уверенность, что все конфиденциальные данные зашифровываются перед передачей, но проблема заключается в том, что компании продолжают собирать данные.

Понятно желание вендоров собрать пользовательские данные для улучшения продуктов. Согласитесь, правильнее бы было спрашивать пользователя обо этом, особенно когда он уже отключил функции сбора данных.

Заключение

Для неопытных новичков, подготовленный отчет может показаться сложным, но для человека, связанного с IT сферой, никаких трудностей не должно возникать.

Является ли ноутбук достаточно безопасным, чтобы его взять на конференцию хакеров? Если Вы выполните все профилактические действия, Вы всегда будете подвергаться риску в неблагоприятных средах.

По крайней мере, после выполнения предложенных шагов, Вы будете больше защищены при использовании открытых общественных беспроводных сетей.

Выпущенное руководство Duo Labs для получения подробных инструкций по настройке параметров конфиденциальности в Windows 8 и Windows 10 в частности включает следующие рекомендации:

• Удаление антивируса McAfee и настройку Защитника Windows
• Настройка брандмауэра для остановки передачи данных
• Отключение настроек приватности в Windows
• Отключение и удаление OEM приложений, собирающих данные
• Настройка расширенных настроек безопасности: отключение Disabling LLMNR, Smart Multi-Homed Name Resolution, WPAD, Teredo Tunneling и ISATAP
• Другие низкоуровневые корректировки приватности