neprihlásený Streda, 26. apríla 2017, dnes má meniny Jaroslava   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Windows 10 podľa Francúzska zbiera nadbytočné dáta a porušuje zákon o ochrane osobných údajov

Značky: Windows 10ochrana údajovochrana súkromiaFrancúzsko

DSL.sk, 20.7.2016
       


Operačný systém Windows 10 spoločnosti Microsoft podľa francúzskeho úradu na ochranu osobných údajov CNIL porušuje francúzsku legislatívu o ochrane osobných údajov.

Úrad to oznámil dnes a Microsoftu dal na nápravu tri mesiace.

Úrad okrem iného konštatuje, že Windows 10 respektíve Microsoft zbiera dáta nepotrebné pre funkčnosť samotného softvéru a ide tak o nadbytočne zbierané dáta s ohľadom na účel zberu. Medzi týmito dátami sú dáta o používaní Windows Store užívateľom, o nainštalovaných aplikáciách a čase používania jednotlivých aplikácií.

Analyzovať skutočne odosielané dáta operačným systémom Windows 10 bez toho aby to operačný systém zaregistroval je ale ťažké až nemožné, keď väčšina komunikácie je šifrovaná. Ani CNIL podľa zverejnených informácií nezistil informácie o zbere nadbytočných dát zrejme analýzou dátovej komunikácie, v dokumente hovorí že bol na túto skutočnosť upozornený a typy odosielaných dát cituje z podmienok ochrany súkromia samotného Microsoftu. K zberu takýchto dát sa verejne priznala ale samotná spoločnosť Microsoft, keď v minulosti niekoľkokrát zverejnila štatistiky o využívanosti niektorých aplikácií.


Sekcia nastavení ochrany osobných údajov vo Windows 10, kliknite pre zväčšenie



Že je posielanie takýchto telemetrických dát ale nadbytočné rovnako v podstate preukázal sám Microsoft. V edíciách napríklad Education a Enterprise sa používa totiž iná úroveň telemetrických dát Security, kde sa neposielajú všetky dáta ako u Home a Pro edícií.

CNIL zistil aj ďalšie porušenia legislatívy. Windows 10 automaticky vytvára tzv. reklamné ID, na základe ktorého môžu aplikácie užívateľa identifikovať. Robí tak podľa CNIL ale bez súhlasu užívateľa.

Windows 10 má zároveň odosielať dáta aj do USA, po októbrovom rozhodnutí Súdneho dvora EÚ to ale nie je dovolené.

CNIL tiež konštatuje, že Microsoft potenciálne nedostatočne zabezpečuje Microsoft účty. Tie je možné chrániť aj PIN-om o dĺžke štyri bez limitovania množstva skúšaní.

CNIL zároveň v oznámení informuje, že Windows 10 prešetrujú aj úrady na ochranu osobných údajov v ďalších krajinách EÚ. CNIL samozrejme posudzoval porušovanie francúzskej legislatívy, legislatíva v tejto oblasti je ale v členských štátoch harmonizovaná a veľmi podobná.

Ako sme detailne informovali v tomto článku, v štandardnom nastavení Windows 10 odosiela Microsoftu množstvo dát, viaceré z nich potenciálne citlivé a viaceré potenciálne citlivé minimálne podľa popisu funkčnosti. Hoci presná podoba všetkých týchto odosielaných dát nie je známa, užívatelia by zrejme mali dobre zvážiť ktoré štandardne predvolené nastavenia nechajú zapnuté a ktoré vypnú. Veľkú časť zbieraných dát je totiž možné ovplyvniť nastaveniami.

Vzhľadom na prakticky nemožnú pasívnu analýzu dát odosielaných Windows 10 bez toho, aby takúto analýzu Windows zaregistroval, podľa dostupných informácií aj minimálne po viacerých mesiacoch na trhu chýbala respektíve nebola dostatočne medializovaná komplexná plne pasívna analýza obsahu komunikácie medzi Windows 10 a servermi Microsoftu za dlhšie obdobie. Zároveň ale nie je k dispozícii respektíve verejne známa ani analýza preukazujúca odosielanie výrazne citlivých dát, ktoré by operačný systém odosielať nemal. Stavu analýz obsahu komunikácie sme sa venovali vo februárovom článku.


       
      Zdieľaj na Twitteri



Najnovšie články:

Posledný diel Hviezdnych vojen o pol roka skôr ako sa čakalo
Pozor, útok trvalo ničí IP kamery a ďalšie zariadenia. Údajne už zničil 2 milióny
SSD pre PC z 3D XPoint s veľmi nádejným reálnym výkonom
Samsung Galaxy S8 má častý problém s načervenalým displejom, reakcia firmy opäť nedostatočná
Tesla zdvojnásobí počet rýchlonabíjacích staníc, aj na Slovensku
Lietajúci hover bike sa začne predávať ešte v 2017, je za ním zakladateľ Google
Registrátori .sk domén pozor, prejsť do nového systému treba do 30. apríla
Tvorca BitTorrentu pripravuje novú kryptomenu, úplne iného typu ako Bitcoin
Akty X budú mať pokračovanie
Apple údajne investuje do poskytovania pripojenia zo satelitov, zamestnala expertov


Diskusia:
                               
 

Chapem ze to uradom trvalo dlhsie.
Kazdopadne co teraz s tym idu urobit?
Ja by som donutil MS to co urobil v cine. Cize OS bez akychkolvek spehovacich nastrojov.
Odpovedať Známka: 6.1 Hodnotiť:
 

Myslíš OS so špehovacími nástrojmi trojpísmenkáčov alebo OS bez špehovacích nástrojov a šifrovania, kde trojpísmenkáči urobia špinavú robotu za Mrkvosoft?
Odpovedať Známka: -3.0 Hodnotiť:
 

to je jedno co chceli pozbierali co nechceli zahodili , sami ako sa uz niekde spomina BETA * AJ * (NE)BETA , dobrovolinici im to poslali ... asi tak a hlavne FREE ( ZADARMIKO ) ci po kábliku , ci cez WiFiNku :)
Odpovedať Známka: -4.5 Hodnotiť:
 

windows iba offline
Odpovedať Známka: 6.7 Hodnotiť:
 

Ja chcem windows v cloude!
#bomb #enigma #usa #spy #alah #fico
Odpovedať Známka: 4.5 Hodnotiť:
 

po tychto tagoch si v cloude cely :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Jeho ritný otvor bude v cloude nafotený prvý raz čo bude letieť lietadlom :D
Odpovedať Známka: -5.0 Hodnotiť:
 

Pises ako debil a kreten z posranej mrdky
Odpovedať Známka: 0.0 Hodnotiť:
 

Vsak to vies napisat este menej zrozumitelne. Dam ti este jeden pokus.
Odpovedať Známka: 7.8 Hodnotiť:
 

Myslis vymenit MS spehovacie nastroje za spehovacie nastroje Baidu,Quihoo360,Huawei a dalsich ?
Odpovedať Známka: 2.0 Hodnotiť:
 

myslis OS, kde akurat presmerovali odosielanie tych udajov do cinskej spehovacej sluzby? vid. velky cinsky firewall a dalsie praktiky cinskej diktatury
Odpovedať Známka: 7.3 Hodnotiť:
 

Jaj, to domyslanie milujem. Ako keby boli len dve moznosti.
Odpovedať Hodnotiť:
 

A som zvedavý, kedy to zavedú konečne aj na ostatné OS. nech mi nikto netvrdí, že handroid nezbiera nič o užívateľoch. Tam sa to dokonca ani vypnúť nedá.
Odpovedať Známka: 0.7 Hodnotiť:
 

Android sám o sebe nie. Ale tie sracky co si doň das ako Google play napríklad tak tie ťa sledujú to áno.
Odpovedať Známka: 7.3 Hodnotiť:
 

Blbost
Odpovedať Známka: -6.0 Hodnotiť:
 

"o dĺžke štyri "

čoho štyri ? lakťov ? prstov ? kilometrov ?
Odpovedať Známka: 10.0 Hodnotiť:
 

Samozrejme že siahy.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ano
Odpovedať Známka: 7.1 Hodnotiť:
 

Mali na mysli centimetre. Cize kazdy, kto ma vacsi nez 4 centimetre, nemoze pouzivat PIN.
Odpovedať Známka: 10.0 Hodnotiť:
 

štyri dĺžky predsa
Odpovedať Hodnotiť:
 

staci ak mate nejakey firewall ktory sleduje ktory proces sa pripaja na ake ip....

svchost bezne pri necinnosti komunikujer s roznymy ip zrejme z nejakeho zoznamu ak je dlhodobo zablokovanu komunikacia na danu ip skusa dalsiu... druha vec je ze ma inak nastavene dns spravanie po prvykrat windows 10 komunikuje z dns serverami cez svchost... cize ak v minulych verziach windows stacilo blokovat full komunikaciu mimo lokalnej siete v 10 to nie je mozne pretoze nepojde ani internet treba manualne povolit dns ip a nasledne vsetko ostatne blokovat--... dost sa tomu venujem a je to nadlho riadne zablokovat komunikaciu... este firewall ako smart secur alebo endpoint sec nepouzivat pusta komunikaciu s ms servermi aj po rucnom zablokovani...
Odpovedať Známka: 4.3 Hodnotiť:
 

Zopar bodov:

1) DNS cache/forwarder mozes mat aj v lokalnej sieti ;)

2) svchost je presne to, co sa pise na plechovke: service host. Je to jednoduchy shell, ktory spusta sluzby implementovane vo forme dll. Preto ho mas pospustany X-krat a pritom kazdy z nich robi nieco ine. Aby to nebolo tak jednoduche, jedna instancia svchost.exe moze hostovat niekolko servisov. Pusti si process explorer, pozri si kazdy z nich a da ti vediet, aky konkretny servis sa skryva pod ktorym svchostom.

Akurat ze pre firewall je to dost naprd, ked sa riadi cestou k exe. Budes musiet zohnat trocha inteligentnejsi, ktory vie zistit, ktory servis sa kde skryva a urcit pravidla podla toho.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ked sa mu nechce riesit firewall, co vie riesit jednotlive DLLka v SVCHOSToch, moze to urobit aj brutalne:

Nie je problem vymenit v nastaveni sluzieb SVCHOST.EXE za napriklad SVCHOST-DNSCACHE.EXE. Ked to takto spravis pre vsetkych cca 200 servicov, kde na beznom Windows bezi cca 80 z nich, zmizne ti cca 10 SVCHOST.EXE procesov a pribudne ti cca 80 novych typu SVCHOST-<servicename>.EXE procesov. Kazda sluzba samostatny proces a samostatne EXE.

Potom vidis vsetko co potrebujes a dokonca pad jednej sluzby neovplyvni dalsie s rovnakymi pravami, ktore bezia normalne v jednej SVCHOST.EXE instancii.

Ale Task Manager je potom brutalny a zozerie to trochu pamate.
Odpovedať Známka: 10.0 Hodnotiť:
 

este jedna zaujimavost na workshope v prahe v microsofte som dal na prednaske o bezpecnosti otazku ohladne komunikacie exploreru, ktory odosiela na pozadi sifrovane data... a komunikuje aj so servermi usa , aj pri tvrdej vypnutej auto aktualizacii win a vypnuti vsetkych ms standard nastavceni o ochrane sukromia.... bola na to taka ,,anonymna" nastenka premietana cez projektor... po zobrazeni asi 5s ju vymazali a nikto na to nechcel reagovat ... islo sa na dalsiu ...
Odpovedať Známka: 6.7 Hodnotiť:
 

nj, sú to ku*vy... Na nich len dlhý bič a krátky dvor.
Odpovedať Známka: 6.7 Hodnotiť:
 

este ak pouzivate qip-a tam sa zasadne zmenila komunikacia s autorizacnym serverom... v starych verziach sa pripajal priamo na ruske ip serveri v novej verzii iba na USA DC ... neviem ci teda qipa predali do usa alebo si tam rusi dobrovolne dali autorizacny server ...
Odpovedať Hodnotiť:
 

Pred par mesiacmi som QIP definitivne vymenil za trilian. Ci som spravil dobre neviem, ale aspon uz funguje. Zacali tam padat protokoly, takze som ho definitivne zavrhol.
Odpovedať Hodnotiť:
 

MS nikoho nenúti používať ich OS. Komu sa nepáči, môže voliť z desiatok lunexových distribúcií, Apple, alebo si vyvinúť niečo vlastné. Množstvo funkcií Windows 10 je podmienených funkciami, ktoré hateri označujú za špehovacie, ale bez nich by jednoducho nefungovali. Pokiaľ viem, systém neodosiela meno, priezvisko, adresu, rodné číslo a dátum narodenia :) Rovnako to robí Android, Chromý, MacOS... Bez lokácie sa nedá určiť poloha zariadenia a ani len miestne počasie, bez zoznamu HW a SW sa nedajú sledovať chyby systému... Navyše, všetko sa dá povypínať. Nech Frantíci začnú používať aspoň Wikipediu - ak nemajú podozrenie, že ich špehuje :)
Odpovedať Známka: -6.8 Hodnotiť:
 

1) Android ako OS neodosiela nic. Odosielaju to kraviny, ktore si doinstalujes. Tvojimi slovami, nikto ta nenuti to instalovat.

2) MacOS X sa ta spyta pri prvom spusteni. Ked povies nie, nic neodosiela a ani ta uz s tym neotravuje. Keby si niekedy zmenil nazor a chcel to zapnut/vypnut, je to checkbox v systemovych nastaveniach. Hovori sa tomu, ze respektuje rozhodnutie pouzivatela - na rozdiel od Windows.

3) Nie, neda sa vsetko vypinat, urcite nie v bezne dostupnych ediciach. Za vypnute sa da povazovat vtedy, ked si necvrlika so svojimi servermi (okrem pouzivatelom iniciovanych akcii), co je nedosiahnutelne.
Odpovedať Známka: 5.6 Hodnotiť:
 

Lenže ľuďom už tak hrabe, že namiesto toho aby použili svoje peňaženky a hlavu a prestali používať W10 aj keď ich špehuje, tak radšej použijú silu (štát) na to aby ich donútili to nerobiť.
No ale to že ich sleduje vlastný štát už neriešia...
To že ich bude W10 špehovať aj ďalej ale nebudú o tom vedieť tiež nikto nerieši...
Odpovedať Známka: 3.3 Hodnotiť:
 

Zjavne nemas ani ponatia, ako je nastavena legislativa ohladom ochrany osobnych udajov (OOU). Osobny udaj je cokolvek, cim je konkretna osoba urcena alebo urcitelna. Jednoduchy priklad: Ze mas cervenu skodovku v Bratislave, nie je tvoj osobny udaj. Ze mas cervenu skodovku s spz XXX osobny udaj je, lebo si urceny resp. urcitelny. Rovnako, ze mas maseratti moze byt osobnym udajom same o sebe, ak si jediny kto ho ma vo vasej dedina.

Pointa OOU je, ze si POVINNY spracuvat (zhromazdovat, zoskupovat, presuvat...) len MINIMALNE NEVYHNUTNE mnozstvo osobnych udajov potrebne na dosiahnutie ucelu (napr. poskytnutie sluzby). To MS objektivne porusuje.

Takisto je protipravne spravit nejaku "EULU" kde mas moznost iba suhlasit so neprimeranym zasahom do sukromia, alebo sluzbu nepouzivat. Totiz v zasade ti legislativa zakazuje odmietnut poskytnut sluzbu len preto, ak sa end user rozhodne neposkytnut osobne udaje nad nevyhnutne potrebny rozsah. To samozrejme implikuje povinnost DAT MU NA VYBER.

Odpovedať Známka: 6.4 Hodnotiť:
 

On je s tym pravne problem aj v amerike, ale tazko sa to vymaha resp. euly, TOS, dislaimery zneplatnuju. V jednotlivych pripadoch sa ale v nadpolovicnej vacsine pripadov stava, ze tieto podmienky na sude neobstoja. Este vacsi problem je to v europe, kde ma kazdy stat vlastny pravny system. Kazdy stat ma ale urady na OOU. Tieto by mali postupovat sychronizovane davat MS maximalne pokuty, aby to bolo citit.
Odpovedať Známka: 4.3 Hodnotiť:
 

Legislatívne implikovaná je iba povinnosť osobné údaje nežiadať. Dávanie možností je už prejavom voľby.
Odpovedať Známka: 6.0 Hodnotiť:
 

Príklad, ktorý uvádzaš je analógia ad absurdum, radi ju používajú ľudia, ktorí chcú spochybniť všetko, alebo tiež deti na ZŠ, keď chcú vykoľajiť učiteľa :) Pri dostatočnej snahe sa dá osoba určiť z IP adresy jej zariadenia, z IMEI telefónu... Tieto údaje bežne OS odosielajú na servery a vlastne to ani inak nejde. Moderný OS jednoducho musí komunikovať so servermi poskytovateľa, ak chce zabezpečiť požadovanú funkcionalitu.
Celý problém je v tom, že to je OS od MS, čo je pre ľudí populárne sa do neho navážať. Ale opakujem, nechápem, prečo títo ľudia nepoužívajú iný OS.
Mám modrý Opel Vectra, BA-897-GY, kto som? :)))
Odpovedať Známka: -6.4 Hodnotiť:
 

> Mám modrý Opel Vectra, BA-897-GY

Neplatič PZP...
Odpovedať Známka: 0.0 Hodnotiť:
 

No vidíš, takže to ako osobný údaj použiť nevieš...
Odpovedať Známka: -10.0 Hodnotiť:
 

on nie, ale monocajt vie.

Mam rodne cislo 123456/7890, kto som? Tiez nevies, a predsa je to brutalne osobny udaj, kazdy druhy urad ma identifikuje.
Odpovedať Známka: 10.0 Hodnotiť:
 

Zda sa, ze princip si pochopil. Presne ako si napisal, tvoje r.c. ta v ociach bezneho cloveka neidentifikuje,. Napriek tomu ide o ZASADNY osobny udaj, ktory ta je schopny jednoznacne identifikovat. RC je dokonca aj zakonne osobitne chraneny osobny udaj, ktory sa bez riadneho dovodu nesmie vobec spracuvat. Preto tam ide aj o "potencial" urcitelnosti v kontexte nejakej situacie. Ze mas modru astru ta aj v "spravnych rukach" sotva identifikuje. Tvoje rodne cislo ta vsak identifikuje jednoznacne.
Odpovedať Známka: 10.0 Hodnotiť:
 

Nie jednoznačne, nakoľko existujú duplikátne rodné čísla.
Odpovedať Hodnotiť:
 

Existenciu duplicitnych rodnych cisel nemozno vylucit najma u starsich rocnikov. Z hladiska verejnej moci je vsak dana implicitna existencia potreby a autoritativne ukladanie povinnosti napravy obdobnych nezrovnalosti.
Odpovedať Hodnotiť:
 

s opelom vectra, dobrodruh :-)
Odpovedať Hodnotiť:
 

a ja mám slona z vodotryskom :) kto je , jeho ešpézetka je 2A-Slon1
Odpovedať Hodnotiť:
 

Ok, obvykle nemam cas ani chut zabijat svoj cas argumentacnou paralympiadou na internete, ale pre tento krat spravim vynimku:

1. To co som napisal o principe fungovania osobnych udajov plati tak ako som to napisal.

2. Priklad, ktory som pouzil rozhodne nie je analogia. V tomto kontexte nejde ani o argumentaciu ad absurdum. Okrem toho argumentum ad absurdum je normalne a bezne pouzivane argumentacna, logicka a interpretacna metoda pouzivana napr v logike aj v prave.

3. Posielanie IP adresy je zakladna podmienka fungovania sietoveho protokolu, cize spada pod nevyhnutny osobny udaj pre poskytutie sluzby. Postacuje samotna ip, spajanie s akymikolvek inymi udajmi nemusi byt opravnene (spracuvanie OU je siroky pojem a zahrna aj neopravnene spajanie, prepajanie atd.). Bezne pri snahe by osoba nemala byt iba z IP urcitelna. Urcitelna je vylucne pri spolupraci so subjektom, ktory ma tieto udaje z dovodu charakteru svojej cinnosti (napr ISP). Poskytnut ich ma pravo iba v sulade s pravnymi predpismi.
Odpovedať Známka: 10.0 Hodnotiť:
 

Dobrovolne si tu zverejnil typ svojho auta a SPZ, otazka je ci pravdive. Ked ta stretnem pri prejazde bratislavou, viem, ze ty si ten hlupak co pise somariny na dsl.sk. Mozem na to dalej poukazat svojim znamim z okolia. Mozno ta niekto z nich spozna.
Mozno sa pozriet a uvidim ze mas to auto v najvyssej vybave. Rozhodnem sa ta sledovat az domov. Tym viem kde byvas, pripadne odcitam tvoje meno zo schranky...

Rovnako sa da zistit, ci mas pzp, stk, ek. Zamestnanec poistovne moze teraz preverit v ich systeme, ci si poisteny u nich. Podla spz si vie spojit k tomu tvoje meno, prepojenim s inym systemom ci mas u nich zivotnu poistku, poisteny byt atd. Uvidi poistne sumy a poiste plnenia, kolko nehnutelnosti pripadne ineho majetku mas poisteneho.
Zamestnanec stk, u ktorych si si dal kontrolu spravit, si vie opat v systeme s tou spz spojit tvoje meno.


Odpovedať Známka: 6.7 Hodnotiť:
 

Policajt vie v systeme dohladat, na koho je to vozidlo pisane. Mestsky policajt vie pozriet, ci si dostal niekedy pokuty od nich.... Opat vedia spojit tvoje meno.

To su priklady zneuzitia, ktorym sa ma zabranit. Pointa nie je ze si ich tu zverejnil ty, ale ze napr. zamestnanec poistovne, policajt a pod. nimi nemaju co mimo svojej pracovnej naplne disponovat alebo nedajboh zverejnit suvisiace info.

Ilustrujem, ze vo virtualnom svete robia velke firmy nieco podobne a doslova nekontrolovane spajaju info o ludoch vyuzivajucich ich sluzby. Neda sa vylucit zneuzitie, pritom bezdovodne hromadenie takychto udajov je v rozpore s pravnymi predpismi a jednotlivec by nad tym mal plnu a transparentnu kontrolu.
Odpovedať Známka: 6.7 Hodnotiť:
 

Toto fakt nemá zmysel :)

1) OK, ty si fakt inteligent, ktorého čas si veľmi vážim a ďakujem, že si ho venoval tejto diskusii.

2) Zjavne ti robí problém pochopiť, čo som písal, čomu sa pri tvojej ohromnej inteligencii divím.

3) Všimol si si v niektorých mojich príspevkoch, že by som ťa urážal? No ty zjavne nemáš problém s označovaním iných za hlupákov, čo píšu somariny :)

4) Sledovanie niekoho za účelom zistenia a následného zneužitia údajov je tiež upravené zákonom :)

Maj sa pekne :)
Odpovedať Známka: -10.0 Hodnotiť:
 

Este k tej IPcke... Ak si subjekt, ktory komercne poskytuje online sluzby (pre ilustraciu dajme tomu prevadzkujes komercnu VPN): Vies zistit pod akou IP sa klient pripaja k tvojim sluzbam. Dalej mas jeho fakturacne udaje kvoli vyuctovaniu. Osobne udaje ti sluzia na vystavenie faktury, mas zakonnu oporu preco to potrebujes. IP mas kvoli charakteru poskytovanej sluzby, kde to inak nejde (otazka je ci mas pravo resp. povinnost tuto ip aj logovat). Zasadne vsak nemas co prepajat tieto dve veci, pretoze ide o dva oddelene systemy osobnych udajov (fakturacny a pre poskytovanie sluzieb). Bez suhlasu a vedomia klenta nemas co priradovat jeho IP k jeho fakturacnym udajom.
Odpovedať Známka: 6.0 Hodnotiť:
 

Vnutrostatne kvoli funkcnosti sluzieb si s mojou ip a imei aj vytapetuj izbu, kludne. Ale ked si tuknem google.sk, naco im je moje telefonne cislo?
Odpovedať Hodnotiť:
 

ja mam moderny OS a nekomunikuje bez mojej vole so servermi poskytovatela, ani s nikym inym.

Inac kto by tak mohol byt "poskytovatelom" napr. Debianu? Cely si ho nainstalujem z ftp.antik.sk a jedina komunikacia s nim bude stiahnutie instalacnych balikov. Debian.org, alebo kto je tym poskytovatelom... o mne ani netusi, ze mam novy deb.
Odpovedať Hodnotiť:

Pridať komentár