Τι πρέπει να ξέρετε
- Η Microsoft παρουσίασε λεπτομερώς πώς βελτιώνει την ασφάλεια του Recall με κρυπτογράφηση και έλεγχο ταυτότητας Windows Hello.
- Τα δεδομένα του Recall είναι πλέον απομονωμένα σε ένα VBS Enclave, που σημαίνει ότι δεν είναι πλέον αναγνώσιμα από εφαρμογές και χρήστες τρίτων.
- Τα στιγμιότυπα θα φιλτράρουν πλέον αυτόματα ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και στοιχεία πιστωτικής κάρτας.
- Το Recall δεν ανεβάζει ποτέ δεδομένα στο cloud και μπορεί να απεγκατασταθεί από το σύστημα, αν δεν το θέλετε.
Η Microsoft είναι επιτέλους έτοιμη να αναφέρει λεπτομερώς πώς ενημερώνει την Ανάκληση των Windows για να διασφαλίσει ότι είναι μια ασφαλής εμπειρία που δεν μπορεί εύκολα να παραβιαστεί ή να παραβιαστεί. Μετά τη μνημειώδη αποτυχία που ήταν το αρχικό ντεμπούτο του Recall, η εταιρεία είναι πλέον σίγουρη ότι το Recall είναι μια ασφαλής εμπειρία που οι χρήστες θα πρέπει να αισθάνονται άνετα να χρησιμοποιούν.
Αρχικά, η Ανάκληση των Windows ανακαλύφθηκε ότι αποθηκεύει δεδομένα σε μη κρυπτογραφημένη κατάσταση, καθιστώντας ώριμο για τους εισβολείς τρίτων να σκάσουν ευαίσθητες πληροφορίες που συλλέγονται από τη διαδικασία ανάκλησης. Η Microsoft έχει πλέον αντιμετωπίσει αυτήν την ανησυχία, προχωρώντας στην κρυπτογράφηση των δεδομένων και διασφαλίζοντας ότι ο χρήστης είναι ενεργά παρών για πρόσβαση σε αυτά.
Η εταιρεία έχει δημοσίευσε αναλυτικό άρθρο περιγράφει λεπτομερώς όλες τις βελτιώσεις ασφαλείας που κάνει στην Ανάκληση των Windows, αλλά συνοψίζεται σε τέσσερις βασικές αλλαγές:
- Τα δεδομένα ανάκλησης αποθηκεύονται πλέον σε κρυπτογραφημένη κατάσταση μεμονωμένα μέσω ενός VBS Enclave
- Τα στιγμιότυπα θα φιλτράρουν πλέον αυτόματα κωδικούς πρόσβασης, πιστωτικές κάρτες και εθνικές ταυτότητες
- Η πρόσβαση στα δεδομένα ανάκλησης απαιτεί έλεγχο ταυτότητας Windows Hello κάθε φορά
- Η ανάκληση είναι προαιρετική, απενεργοποιημένη από προεπιλογή και μπορεί να απεγκατασταθεί
Το Recall εξακολουθεί να είναι αποκλειστικό Copilot+ PC και απαιτεί NPU που μπορεί να παράγει τουλάχιστον 40 TOPS ισχύος. Αυτό σημαίνει ότι οι περισσότεροι υπολογιστές δεν θα είναι καν κατάλληλοι για χρήση της Ανάκλησης. Για τους υπολογιστές που υπάρχουν, η Microsoft έχει αντιμετωπίσει τις μεγαλύτερες ανησυχίες που είχαν οι άνθρωποι σχετικά με την Ανάκληση, συμπεριλαμβανομένου του τρόπου αποθήκευσης δεδομένων τοπικά στη συσκευή σας.
Τώρα, όλα τα δεδομένα που συλλέγει το Recall αποθηκεύονται σε κρυπτογραφημένο Θύλακας VBSη οποία είναι ουσιαστικά μια ασφαλής εικονική μηχανή που είναι απομονωμένη από το υπόλοιπο σύστημα, που σημαίνει ότι τα δεδομένα που είναι αποθηκευμένα μέσα σε αυτό δεν είναι προσβάσιμα χωρίς κλειδί αποκρυπτογράφησης, το οποίο παρέχει η εφαρμογή Ανάκληση όταν ο χρήστης πραγματοποιεί έλεγχο ταυτότητας με το Windows Hello.
“Οτιδήποτε ευαίσθητο είναι πάντα κρυπτογραφημένο και τα κλειδιά για αυτό προστατεύονται πλήρως” δήλωσε ο αντιπρόεδρος της Microsoft για Enterprise και OS Security, David Weston, μιλώντας με το Windows Central. “Όλες οι ευαίσθητες διαδικασίες ανάκλησης, επομένως τα στιγμιότυπα οθόνης, η επεξεργασία στιγμιότυπων οθόνης, η διανυσματική βάση δεδομένων, βρίσκονται τώρα σε ένα VBS Enclave. Βασικά πήραμε το Recall και το τοποθετήσαμε σε μια εικονική μηχανή, έτσι ώστε ακόμη και οι διαχειριστές χρήστες να μην μπορούν να αλληλεπιδράσουν σε αυτό το VM ή να εκτελέσουν οποιονδήποτε κωδικό ή δείτε τυχόν δεδομένα.”
Αυτή η αλλαγή από μόνη της είναι η μεγαλύτερη βελτίωση στο Recall, διασφαλίζοντας ότι τα δεδομένα που συλλέγει αποθηκεύονται με ασφάλεια στη συσκευή σας και δεν είναι προσβάσιμα από κανέναν εκτός από εσάς. Ούτε η Microsoft μπορεί να δει τα δεδομένα που αποθηκεύονται από το Recall στο VBS Enclave, ακόμα κι αν το ήθελε. Η ανάκληση θα βαθμολογήσει επίσης τις προσπάθειες περιορισμού πρόσβασης σε κρυπτογραφημένα δεδομένα, επομένως το πιθανό κακόβουλο λογισμικό δεν θα μπορεί να επιβάλει ωμή είσοδο βίας μέσω της ίδιας της εφαρμογής Ανάκληση.
Μια άλλη σημαντική αλλαγή είναι ότι η Ανάκληση απαιτεί πλέον από τον χρήστη να είναι ενεργά παρών για πρόσβαση σε οποιαδήποτε δεδομένα μέσω του Windows Hello. Αυτό σημαίνει ότι ακόμα κι αν ένας εισβολέας έχει φυσική πρόσβαση στη συσκευή σας, τα δεδομένα του Recall δεν είναι προσβάσιμα εκτός και αν κάθεστε ενεργά μπροστά στον υπολογιστή σας. “Ο χρήστης πρέπει να είναι παρών για να ρυθμίσει την Ανάκληση, ο χρήστης πρέπει να είναι παρών για να αποκρυπτογραφήσει οτιδήποτε. Στην πραγματικότητα, η ταυτότητά του είναι αυτή που απελευθερώνει το [encryption] κλειδιά.”
Ο Weston συνεχίζει: “Τα πραγματικά κλειδιά κρυπτογράφησης αποθηκεύονται στο TPMκαι απελευθερώνονται μόνο μέσω βιομετρικής αντιστοίχισης. Δεν απελευθερώνονται ποτέ έξω από τον θύλακα, τα κλειδιά προστατεύονται όλα μέσα στον θύλακα. Τα στιγμιότυπα οθόνης σας, η διανυσματική βάση δεδομένων σας, οτιδήποτε θεωρείτε ευαίσθητο είναι εκεί και κυκλοφορεί μόνο εκτός αυτού σε μικρές ποσότητες βάσει ερωτήματος, μετά την εξουσιοδότηση του χρήστη.”
Εκτός από τη διασφάλιση του τρόπου αποθήκευσης των δεδομένων στον υπολογιστή σας, η Microsoft έχει προσθέσει επίσης μια νέα δυνατότητα στη διαδικασία στιγμιότυπου που θα φιλτράρει τοπικά και αυτόματα ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, εθνικά αναγνωριστικά και αριθμούς πιστωτικών καρτών χρησιμοποιώντας το Purview. Έτσι, ακόμα κι αν ένας εισβολέας ήταν σε θέση να αποκτήσει για λίγο πρόσβαση στο VBS Enclave, δεν θα μπορούσε να βρει πολλά σχετικά με ευαίσθητες πληροφορίες.
Είναι επίσης σημαντικό να τονιστεί ότι τα στιγμιότυπα και τα δεδομένα που συλλέγονται από αυτά δεν μεταφορτώνονται ποτέ στο cloud. Η ανάκληση λειτουργεί εξ ολοκλήρου στη συσκευή. Αυτή είναι μια υπόσχεση που έδωσε η Microsoft όταν ανακοινώθηκε αρχικά το Recall τον Μάιο, και παραμένει προσηλωμένη σε αυτήν την υπόσχεση σήμερα.
“Δεν στέλνουμε καμία από αυτές τις πληροφορίες πουθενά” μου λέει ο Γουέστον. «Η Microsoft δεν θα μπορούσε ποτέ να το αποκρυπτογραφήσει αυτό [data] ακόμα κι αν το θέλαμε. Το μόνο πράγμα που στέλνουμε πίσω είναι η βασική διαγνωστική χρήση για τη διόρθωση σφαλμάτων και τα σχόλια που ελέγχονται από τους χρήστες.” Η εταιρεία θέλει πραγματικά να γνωρίζετε ότι τα δεδομένα που συλλέγει η Ανάκληση δεν μετακινούνται ποτέ από τη συσκευή σας και μπορούν να φιλτραριστούν και να διαγραφούν εύκολα.
Η τελευταία μεγάλη αλλαγή στην Ανάκληση είναι ότι ολόκληρη η εμπειρία είναι πλέον εντελώς προαιρετική και είναι απενεργοποιημένη από προεπιλογή. Οι χρήστες θα κληθούν να το ενεργοποιήσουν κατά τη ρύθμιση ενός υπολογιστή Copilot+, αλλά αν επιλέξουν να μην το κάνουν, η υπηρεσία Ανάκληση θα παραμείνει απενεργοποιημένη. Επιπλέον, η Microsoft λέει ότι θα μπορείτε να αφαιρέσετε την Ανάκληση από το σύστημά σας εάν δεν αισθάνεστε άνετα με την παρουσία της στο λειτουργικό σύστημα.
Αν ανησυχείτε ότι η Microsoft μπορεί να επιχειρήσει να ενεργοποιήσει αυτόματα το Recall down the line, δεν φαίνεται να είναι κάτι που ενδιαφέρεται να κάνει η Microsoft. είπε ο Γουέστον “Δεν υπάρχουν σχέδια για τα οποία γνωρίζω για να το ενεργοποιήσω από προεπιλογή ή να ζητήσω από τους χρήστες να το ενεργοποιήσουν ξανά. Αυτό δεν σημαίνει ότι αυτά τα σχέδια δεν μπορούν να αλλάξουν στο μέλλον, αλλά σίγουρα προς το παρόν, αυτό δεν είναι στα σχέδια .”
Ο Weston μου επιβεβαίωσε επίσης ότι το Windows Recall δεν είναι εγκατεστημένο από προεπιλογή στα Windows 11 Enterprise. Η ανάκληση είναι ένα προαιρετικό στοιχείο που οι επιχειρήσεις μπορούν να επιλέξουν να συμπεριλάβουν, αλλά από προεπιλογή η Ανάκληση δεν υπάρχει στην εικόνα του λειτουργικού συστήματος. “Στο Enterprise SKU τα bit για την ανάκληση δεν υπάρχουν καθόλου. Είναι ένα προαιρετικό στοιχείο που πρέπει να εγκαταστήσετε. Στην πραγματικότητα δεν είναι στο μηχάνημα από προεπιλογή.”
Εάν μια επιχείρηση επιλέξει να χρησιμοποιήσει το Recall σε εταιρικούς υπολογιστές, η Weston με διαβεβαιώνει ότι οι εργοδότες δεν θα μπορούν να το χρησιμοποιήσουν ως εργαλείο για να δουν τι κάνουν οι εργαζόμενοι κατά τη διάρκεια της εργάσιμης ημέρας. “Όχι, ένας εργοδότης δεν μπορεί να δει αυτές τις πληροφορίες. Είναι πλήρως κρυπτογραφημένες, [accessible] μόνο στον συνδεδεμένο χρήστη.”
Η Microsoft είναι σχεδόν έτοιμη να ξεκινήσει τις δοκιμές του Windows Recall ανοιχτά και σκοπεύει να αρχίσει να το κάνει με τα Windows Insiders τον Οκτώβριο σε υπολογιστές Copilot+ με επεξεργαστή που βασίζεται σε Arm. Οι υπολογιστές Copilot+ με επεξεργαστές που βασίζονται σε Intel και AMD θα μπορούν να συμμετέχουν στην προεπισκόπηση της Ανάκλησης σύντομα μετά.
Φυσικά, μένει να δούμε πόσο αλεξίσφαιρα είναι πραγματικά οι νέες λύσεις της Microsoft για την αποθήκευση δεδομένων Ανάκλησης. Μόλις κυκλοφορήσει η προεπισκόπηση σε λίγες εβδομάδες, σχεδόν σίγουρα θα υπάρχουν ερευνητές κυβερνοασφάλειας παντού που θα προσπαθήσουν να εισβάλουν στον ασφαλή θύλακα. Θα πρέπει να περιμένουμε να δούμε πώς θα γίνει αυτό.
VIA: WindowsCentral
