سوء استفاده نفوذگران از گزارش های Windows Crash Report

گزارش هایی که در زمان از کار افتادن کامپیوتر و یا بروز خطا توسط سیستم عامل Windows تهیه شده و تحت نام Crash Reports برای شرکت مایکروسافت ارسال می شوند، حاوی اطلاعات زیاد و بسیار مفیدی برای نفوذگران و سازمان های امنیتی هستند تا بتوانند کاربر مورد نظرشان را شناسایی کرده و از وضعیت سیستم او مطلع شوند. تمام این اطلاعات نیز بدون رمزگذاری بین کامپیوتر کاربر و سرورهای مایکروسافت رد و بدل می شود.

در جدیدترین شماره مجله معتبر آلمانی “اشپیگل” (Der Spiegel) اسنادی که به نظر می رسد از سوی Edward Snowden، پیمانکار سابق سازمان امنیت ملی (NSA) و افشاگر مشهور آمریکایی ارائه شده، به چاپ رسیده است که نشان می دهد سازمان امنیت ملی آمریکا (NSA) حجم عظیمی از گزارش های Windows Crash Report را در سطح جهان جمع آوری کرده و با بررسی آنها، قادر است کامپیوترهای مورد نظر خود را شناسایی و ردیابی کند. همچنین با تجزیه و تحلیل این گزارشها می تواند نرم افزارهای نصب شده، نگارش سیستم عامل و اصلاحیه های اعمال شده بر روی کامپیوتر نحت نظر را تشخیص دهد.

از کار افتادن کامپیوتر و یا بروز پیام های خطا بر روی سیستم می تواند علائمی از فعالیت بدافزار و یا وجود نقطه ضعف در سیستم عامل و یا در نرم افزارهای کاربردی باشد. با آگاهی از این اطلاعات، نفوذگران و یا سازمان های امنیتی می توانند اقدام به سوء استفاده از این نقاط ضعف و یا بهره برداری از فعالیت های بدافزار نمایند.

همچنین شرکت امنیتی Websense یک گزارش مقدماتی درباره Windows Crash Reports منتشر کرده و گزارش کامل آنرا در کنفرانس امنیتی RSA ارائه خواهد نمود.

با داشتن دسترسی به ترافیک اینترنت در شرکت های ISP و یا کابل های فیبر نوری در اعماق اقیانوس ها، سازمان هایی نظیر سازمان امنیت ملی آمریکا (NSA) قادر بوده است که حجم بسیار عظیمی از گزارش های Windows Crash Report را از میلیاردها کامپیوتر در جهان جمع آوری کند. بررسی این اطلاعات نیز کار دشواری نیست، چون گزارش های اولیه ای که از کامپیوترها به سرورهای مایکروسافت ارسال می شوند، بدون رمزگذاری و با پودمان HTTP صورت می گیرد.

با بررسی این گزارشات می توان به نقاط اشتراکی دست یافت که بسیار ارزشمند هستند. به عنوان مثال، شناسایی تمام سیستم های عامل قدیمی Windows XP که حتی مجموعه به روز رسانی Service Pack 2 را هم ندارند. این کاربران آسیب پذیرترین کاربران در دنیا هستند و می توان با شناسایی آنها، حملات موثری را علیه این سیستم ها ترتیب داد. همچنین با اطلاع از نگارش و اصلاحیه های نصب شده برای سیستم عامل و دیگر نرم افزارهای کاربردی، نظیر مرورگرها، می توان متوجه شد که چه نقاط ضعفی همچنان بر روی سیستم مورد نظر وجود دارد که قابل سوء استفاده جهت نفوذ به سیستم است.

گزینه Windows Error Reporting بطور پیش فرض بر روی سیستم های عامل Win XP / Vista / 7 / 8 / 8.1 نصب و فعال می شود. گزارش هایی که در مراحل اولیه خطا و از کار افتادن کامپیوتر به مایکروسافت ارسال می شوند، بدون رمزگذاری صورت می گیرد. ولی گزارش های تکمیلی که از سوی مایکروسافت از کامپیوتر درخواست می شود و حاوی اطلاعات خصوصی از کاربر و سیستم او می باشد، بصورت رمزگذاری شده و از طریق پودمان HTTPS ارسال می گردد.

شرکت مایکروسافت از این گزارشها برای شناسایی خطاهای نرم افزاری، به ویژه پس از انتشار نگارش های جدید، و همچنین تشخیص فعالیت های مخرب و مشکوک و شناسایی بدافزارهای جدید در همان مراحل اولیه، استفاده می کند. ولی از طرف دیگر، اطلاعات رمزگذاری نشده که از کامپیوتر کاربر به بیرون ارسال می گردد، می تواند تهدیدات جدی به همراه داشته باشد.

گزینه تهیه و ارسال گزارش Windows Crash Reports را می توان بطور دستی بر روی کامپیوترها غیرفعال کرد و یا در شبکه های سازمانی از طریق تنظیمات Group Policy تحت کنترل بیشتر درآورد. ولی همچنان نمی توان منکر فوائد این امکان و سرویس مایکروسافت شد.