Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Ekran Görüntüsü Yakalama Özelliği ve Microsoft’un Güvenlik Uygulamaları Konusunda Endişeler Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
10 Haziran 2024
Microsoft’un liderliği, Windows için yakında çıkacak Geri Çağırma özelliğinin ilk tanıtımını güvenlik ve gizlilik açısından nasıl bu kadar yanlış yapmayı başardı?
Ayrıca bakınız: Siber güvenlik iş gücü gelişimi: Öğrencilere uygulamalı SOC deneyimi sunarken siber güvenliği artıran bir Kamu/Özel Ortaklığı
Copilot+ için Geri Çağırma, kullanıcının daha sonra tekrar oynatılabilmesi için Windows PC’sinde yaptığı her şeyin ekran görüntülerini yakalamak üzere tasarlanmıştır.
Microsoft’a şüphe avantajı sağlamak için Recall belki de hayrete düşürecektir. Şirket, 18 Haziran’da piyasaya sürülecek olan Windows Copilot+ dizüstü bilgisayarlarının Apple’ın MacBook’larıyla daha iyi rekabet etmesine yardımcı olmak için kesinlikle buna ve diğer yapay zeka özellikli özelliklere güveniyor.
Aynı zamanda, bilgisayar korsanlarının düzenli olarak hedef aldığı bir cihazda, yani Windows PC’de, tüm bu bilgilerin tek bir yerde toplanması, işverenlerin yanı sıra cihaz kullanıcıları için de riskli görünüyor. Bir kullanıcının sisteminin ekran görüntüsünü almak, yalnızca casus yazılımlarda değil, aynı zamanda bilgi çalan kötü amaçlı yazılımlarda da uzun süredir yerleşik olan bir özelliktir; çünkü hırsızlar, özellikle banka hesaplarına ve diğer hassas bilgilere erişmek için, hedeflerin şifrelerini veya diğer hassas bilgilerini kurtarmanın yollarını ararlar. özel bilgi.
Dublin merkezli BH Consulting’e başkanlık eden siber güvenlik uzmanı Brian Honan, “Eski güvenlik atasözü, ‘Eğer saklamazsanız, güvence altına almanıza da gerek kalmaz’, Recall açısından çok doğru geliyor” dedi. “Bir cihazdaki Recall veritabanı artık saldırganlara kaynaklarını odaklayabilecekleri çok değerli bir hedef sunuyor ve araçların ve saldırı yöntemlerinin hızla bu verileri tehlikeye atacak şekilde geliştiğini şüphesiz göreceğiz.”
Silikon Vadisi, mühendislik zihniyetinin gizlilik hususlarını gölgede bırakmasına sıklıkla izin verdi. 2012 yılında bir mühendis, arama devinin Street View programının bir parçası olarak bunu “ileriye dönük” bir uygulamaya dönüştürmeye ve araçlarının tüm şifrelenmemiş Wi-Fi verilerini yakalamaya karar verdikten sonra, Google’ın ABD Federal İletişim Komisyonu ile zor durumda kalmasına neden olan da buydu. daha sonra yararlı olabileceği ihtimaline karşı karşılaşıldı. Çoğu zaman, işlevsellik, orada olup olmaması gerektiği ya da bu tür özelliklerin ilk olarak nasıl güvence altına alınması gerektiği sorusuna kimse düzgün bir yanıt vermeden önce eklenir.
Geri çağırma güvenlik sorunu, Microsoft’un zaten bilgilendirilmesi nedeniyle ortaya çıktı. Nisan ayında, ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik İnceleme Kurulu, Çinli casusluk korsanlarının Microsoft’un bulut tabanlı ürünlerini kullanan hükümet kullanıcılarına yönelik saldırılarının “önlenebilir olduğu ve asla gerçekleşmemesi gerektiği” sonucuna varan endişe verici bir rapor yayınladı.
Buna yanıt olarak Microsoft CEO’su Satya Nadella daha iyisini yapma sözü verdi ve 3 Mayıs tarihli bir notta çalışanlara “her şeyden önce güvenliğe” öncelik vermeleri gerektiğini ve “güvenlik ile başka bir öncelik arasında bir tercihle karşı karşıya kalırsanız cevabınız açıktır” dedi. : Güvenliği sağlayın.”
O halde Microsoft neden Recall’a sonradan eklediği güvenlik korumalarını bozdu?
Windows’un şefi Pavan Davuluri, Microsoft’un yapay zeka tarafından yönlendirilen yeni tekliflerinin temel taşı olan bu özellikten olumsuz tepki aldıktan sonra Cuma günü birkaç değişiklik duyurdu:
- Varsayılan olarak devre dışıdır: Geri çağırma artık devre dışı bırakılacak. Davuluri, “Proaktif olarak açmayı seçmezseniz, varsayılan olarak kapalı olacaktır” dedi. Microsoft daha önce kullanıcıların Recall’ın belirli uygulamaların veya web sitelerinin ekran görüntülerini almasını da engelleyebileceğini söylemişti.
- Ekstra kontroller: Geri Çağırma’ya erişim, kullanıcının öncelikle ek kimlik doğrulama kontrolü olarak yüz tanıma, parmak izi veya PIN kodu kullanan Windows Hello’ya kaydolmasını gerektirecektir.
- Daha fazla şifreleme: Microsoft, “arama dizini veritabanının şifrelendiğini” ve ayrıca “Anlık görüntülerin geri çağrılmasının yalnızca kullanıcı kimliğini doğruladığında şifresinin çözüleceğini ve erişilebilir olacağını” söylüyor.
Recall’ın duyurulmasından bu yana önde gelen eleştirmenlerinden biri olan İngiliz siber güvenlik uzmanı Kevin Beaumont, en son garantileri kutladı. Sosyal medyada “Açıkçası ayrıntılarda şeytanlar (potansiyel olarak büyük şeytanlar) olacak, ancak burada bazı iyi unsurlar da var” diye yazdı. “Microsoft’un gelecekte bunu etkinleştirmeleri için kullanıcıları gizlice kandırmaya çalışmayacağını taahhüt etmesi gerekiyor ve Grup İlkesi ve İşletmeler için Intune’da varsayılan olarak kapatılması gerekiyor.” Ayrıca, prime time için “hazır değil” diyerek Geri Çağırma’nın yakın zamanda etkinleştirilmemesi konusunda da uyardı.
Microsoft’un hiçbir ileri garantisi, bu özelliklerin saldırganlar tarafından teknolojik araçlarla veya hile yoluyla nasıl kötüye kullanılabileceğine güvenilir bir şekilde yanıt veremez (bkz.: Microsoft Güvenlik İçin Geri Çağırma Tweaks).
Ticari gözetim firması FinFisher’ın eski yöneticilerinden biri olan Alexander Hagenah, geçen hafta bir Windows PC’den Geri Çağırma veritabanını çıkarmak için “TotalRecall” adlı bir kavram kanıtlama aracı yayınladı.
Şu anda İsviçreli finans piyasası altyapı şirketi Six’in saldırı siber güvenlik ekibinin başkanı olan Hagenah, Microsoft’un düzeltmelerinin en azından “kağıt üzerinde harika” göründüğünü ve aracının çalışmasını engellemesi gerektiğini söyledi.
Hagenah Cuma günü Bilgi Güvenliği Medya Grubu’na şunları söyledi: “Benim asıl endişem, son üç ila dört gün içinde her şeyi uygulamaya karar vermeleri ve hâlâ 18 Haziran’da yayınlanmayı hedeflemeleri. Bu da onlara iyice tehdit etmek için yaklaşık 11 gün bırakıyor.” modelleyin, geliştirin ve test edin. Bunun güvenli, yüksek kaliteli bir sonuçla sonuçlanacağını hayal etmek zor.”
Microsoft’un çok abartılı yeni özelliği ve dağıtım zaman çizelgesi, önemli kurumsal ve gizlilik sorularının yanıtsız kalmasıyla birlikte piyasaya sürülecek gibi görünüyor.
“Açıkçası, Recall’ın Microsoft tarafından hayata geçirilme şekli ve çeşitli siber güvenlik ve gizlilik uzmanları tarafından dile getirilen endişelere verilen bu aceleci yanıt, Microsoft CEO’su Satya Nadella’nın yakın zamanda yaptığı ‘güvenliğe her şeyden önce öncelik verilmesi’ duyurusuyla çelişiyor. “Honan bana söyledi.
Bu özelliğin aynı zamanda AB Genel Veri Koruma Yönetmeliği veya Ödeme Kartı Sektörünün Veri Güvenliği Standartları gibi “uyması gereken katı düzenleyici gerekliliklere sahip kuruluşlar için büyük baş ağrısına” yol açabileceğini söyledi. “Bir cihazda Geri Çağırma özelliğinin etkinleştirilmesi gerekiyorsa, kuruluş kişisel verilerin, kredi kartı bilgilerinin ve diğer hassas verilerin güvenliğinin sağlanması, saklanması, silinmesi ve saklanması konusunda hangi kontrolleri ve uyumluluk politikalarını uygulayabilir?”
Düzenleyicilerin yakında Microsoft yöneticilerine tasarım gereği içerdikleri güvenlik ve gizlilik korumaları hakkında kesin sorular sormasını bekliyoruz; “hatırlayamıyoruz” ifadesi muhtemelen kabul edecekleri bir cevap olmayacaktır.