Проблемы безопасности вновь откладывают запуск Microsoft Recall.
В июне Microsoft отложила выпуск своей спорной функции Recall на фоне каскада серьёзных опасений в отношении безопасности. Эта утилита на базе искусственного интеллекта, разработанная для регистрации всех действий пользователя в последние шесть месяцев, рекламировалась как решение, позволяющее пользователю отслеживать собственные действия и находить ранее посещенные веб-сайты, документы и приложения. Recall была разработана, чтобы дать пользователям возможность «повторять свои шаги», делая снимки экрана каждые пять секунд. Эти визуальные данные хранятся, систематически каталогизируются с помощью искусственного интеллекта и впоследствии предоставляются пользователям через надёжный интерфейс поиска.
Для киберследователей Recall может стать преобразующим активом в сборе и изучении доказательств, тем самым улучшая не только сам следственный процесс, но и его результаты. Тем не менее, шумиха вокруг угрозы кибербезопасности остаётся высокой – и это оправданно. Способность инструмента записывать и реплицировать данные предоставляет значительный риск раскрытия конфиденциальной информации, которая может быть использована злоумышленниками.
Революция в криминалистика, но до совершенства далеко
Оставив в стороне проблемы безопасности, Recall обладает способностью кардинально преобразовывать криминалистические расследования после киберинцидентов. В первую очередь, поисковая архитектура этого решения обещает значительно ускорить расследования, исключив утомительный и трудоёмкий процесс просеивания огромных объемов данных.
В случаях, когда цифровые доказательства уничтожаются – будь то путём удаления истории браузера или файлов – функция захвата экрана Recall обеспечивает сохранение этих данных. Имея в своём распоряжении Recall, следователи также могут визуально подтвердить свои выводы, что повышает уверенность в точности криминалистического анализа.
Однако, несмотря на все свои достоинства, Recall демонстрирует критические уязвимости. Примечательно, что отсутствие журнала аудита делает доступ к данным Recall как злоумышленников, так и законных пользователей не отслеживаемым. Злоумышленники также могут обойти обнаружение, используя такие приложения, как режим InPrivate в Edge, который Recall не может отслеживать, есть также действия, скрытые за экраном или регулируемые настройками пользователя. Оценивая Recall в целом, его преимущества очевидны, однако нет никаких указаний на то, что он служит комплексным решением для следователей, стремящихся эффективно пресекать действия злоумышленников.
Непреднамеренное расширение прав и возможностей злоумышленников
Recall по сути своей представляет опасность раскрытия конфиденциальной информации, которую могут использовать злоумышленники, что в конечном счете и побудило Microsoft отложить развёртывание.
После анонса Microsoft Recall эксперты по безопасности разработали и представили инструмент под названием TotalRecall. Этот инструмент может находить, реплицировать и преобразовывать данные, собранные функцией Recall, в базу данных с открытым текстом, которая сразу же становится доступной для поиска. Учитывая, что злоумышленники регулярно манипулируют существующими инструментами и системами для достижения своих целей, вполне вероятно, что они включат ToralRecall в свой репертуар, используя его возможности везде, где это возможно.
Рост рисков вымогательства с помощью Recall
В конечном итоге Recall обеспечит усиление угрозы вымогательства. Получая доступ к снимкам действий пользователя и данным об использования компьютера, злоумышленники получат достаточно конфиденциальной информации, чтобы создать причины для требования выкупа. Вероятность того, что эти данные включают в себя личные данные, угрожающие частной жизни пользователя и потенциально его безопасности, существенно увеличивают опасность раскрытия.
Соблюдение нормативных стандартов
Если Recall будет работать так, как задумано, крайне важно предположить, что все данные, к которым пользователь получил доступ за предыдущие шесть месяцев, могут быть подвержены извлечению в случае утечки. Обширный массив информации, собранный с помощью этой технологии, усложняет точную классификацию конфиденциальных или подобных данных. Помимо угрозы использования этой информации злоумышленниками, Microsoft сталкивается с серьёзной проблемой обеспечения соблюдения нормативных требований и предотвращения значительных утечек данных.
Проблемы решаются, но уязвимости остаются
В ответ на опасения, связанные с TotalRecall и его возможностями, Microsoft объявила о внедрении двух новых обновлений безопасности. Во-первых, организация внедрила своевременное шифрование в базу данных. И пока это шифрование потенциально может помешать извлечению баз данных, содержащих конфиденциальную информацию, специалисты по кибербезопасности ещё не подтвердили его эффективность.
Кроме того, Microsoft установила обязательное условие для пользователей повторно проходить аутентификацию через Microsoft Hello прежде, чем получить доступ к функции Recall. Тем не менее, если злоумышленникам удастся обойти эти дополнительные уровни безопасности, несанкционированный доступ останется ощутимой угрозой, а конфиденциальность информации по-прежнему подверженной риску.
Microsoft также подчеркнула, что инструмент Azure AI, который тщательно изучает снимки, сделанные Recall, обрабатывает данные локально в папке AppData устройства, гарантируя, что конфиденциальная информация не будет передана в облако. Хотя эта мера может развеять некоторые опасения, есть конкретные доказательства того, что запросами ИИ можно манипулировать для обхода протоколов безопасности других систем ИИ. Разработчики должны сохранять бдительность в отношении возможности злоумышленников использовать эти самые запросы для получения неограниченного доступа к устройству и хранящейся на нём информации.
Признание этих проблем корпорацией Microsoft обнадёживает; однако необходимы дальнейшие превентивные меры безопасности для защиты пользователей от злоумышленников, которые активно стремятся использовать новые технологии в плохих целях.
Рекомендации по будущей реализации
В перспективе следует рассмотреть несколько превентивных стратегий безопасности для предстоящего запуска Recall, если мы хотим увидеть безопасность пользователей во главе угла. Ожидается, что соблюдение этих рекомендаций укрепит безопасность.
После активации Recall пользователи должны тщательно настроить параметры, вдумчиво определяя, какие приложения и веб-сайты следует исключить из его области действия. Тем не менее, пользователям следует понимать, что не все приложения и браузеры совместимы с конфигурациями конфиденциальности Recall.
Пользователям также рекомендуется внедрять качественные решения по борьбе с вредоносным ПО или системы обнаружения конечных точек, которые могут уведомлять о любых подозрительных попытках доступа к данным Recall.
Наконец, хотя остаётся неясным, предоставляет ли Recall возможность сократить период хранения базы данных, внедрение такой функции минимизирует объем хранимых данных и снижает вероятность их использования злоумышленниками.
Recall обещает революционный прогресс в области цифровой криминалистики, предоставляя мощный инструмент для сбора и анализа доказательств путём извлечения данных, которые в противном случае остались бы недоступны. Тем не менее, перед его развёртыванием Microsoft должна закрыть критические проблемы безопасности и поставить безопасность пользователей превыше всего. Необходимы всесторонние гарантии того, что угрозы раскрытия данных и вымогательства были искоренены, прежде чем мы сможем доверять эффективности этого инструмента.
По материалам: TechRadar