Skrytá špionáž v Windows 11: TPM čipy a sledovanie
Skrytá špionáž v Windows 11: Video odhaľuje rozsiahle možnosti sledovania Microsoftu cez čip TPM. BitLocker, Recall a Endorsement Key (EK) umožňujú monitorovanie hardvéru a prístup k dátam. Ochrana súkromia vyžaduje opatrnosť!
Nedávno sa objavilo znepokojivé video od Roba Braxmana, ktoré vrhá svetlo na potenciálne riziká spojené s čipmi Trusted Platform Module (TPM) v systéme Windows 11. Zatiaľ čo tieto čipy sú marketingovo prezentované ako bezpečnostné funkcie, video odhaľuje rozsiahle možnosti sledovania a kontroly zo strany Microsoftu, ktoré ohrozujú osobné súkromie používateľov. Poďme sa na to pozrieť bližšie.
Čo je to TPM čip a prečo ho Windows 11 vyžaduje?
TPM (Trusted Platform Module) je špeciálny hardvérový čip, ktorý slúži ako bezpečná enkláva vo vnútri počítača. Jeho úlohou je chrániť kritické údaje, ako sú šifrovacie kľúče a heslá. V systéme Windows 11 je TPM 2.0 povinnou súčasťou, čo znamená, že bez neho systém nenainštaluješ. Microsoft argumentuje tým, že TPM zvyšuje bezpečnosť systému proti malvéru a útokom.
Odhalenie skrytej špionáže: Príbeh vývojára
Vývojár v jednom z videí ukazuje svoj vlastný prípad. Pokúšal sa nainštalovať alternatívny operačný systém Ubuntu na svoj nový notebook Lenovo ThinkPad X1 Carbon Gen 13 s Windows 11. Po vypnutí bezpečného spustenia (Secure Boot), čo je nevyhnutné pre prácu s vlastnými kernelmi, sa celý disk zablokoval a vyžadoval si kompletnú obnovu systému cez USB kľúč od Lenovo. Táto obnova nielenže vymazala Ubuntu, ale aj všetky dáta na disku!
BitLocker, Windows Recall a Endorsement Key (EK) – Kľúčové prvky sledovania
Táto situácia odhalila znepokojujúce detaily o prepojení medzi systémom Windows 11, čipom TPM a službami Microsoftu. BitLocker, nástroj na šifrovanie diskov, je v Copilot Plus zariadeniach automaticky zapnutý a úzko prepojený s TPM. Pri obnove systému sa používateľ musel prihlásiť pomocou Microsoft účtu a zistil, že má prístup k svojmu názvu zariadenia, 48-miestnemu BitLocker kľúču a čo je najdôležitejšie – Endorsement Key (EK).
Čo je to Endorsement Key? Je to unikátny a trvalý identifikátor, ktorý je vypálený do čipu TPM pri výrobe. Je prepojený s Microsoft ID používateľa a používa sa na rôzne účely, ako je obnova BitLockeru, cloudové služby a dokonca aj systémy proti podvodom v hrách.
Otvorená API a prístup tretích strán k EK
Microsoft vystavuje otvorené API (Application Programming Interface), ktoré umožňuje aplikáciám s administrátorskými právami pristupovať k Endorsement Key. To znamená, že herné anti-cheat systémy už túto funkciu využívajú na overovanie hráčov a ich zariadení.
Microsoft Platform Crypto Provider (PCP) – Cloudová závislosť
Všetky operácie s TPM sú smerované cez cloud Microsoftu prostredníctvom Microsoft Platform Crypto Provider (PCP). To znamená, že Microsoft má prístup ku všetkým bezpečnostným interakciám a vytvára databázu Windows 11 zariadení. Kľúče sa generujú a používajú na serveroch Microsoftu.
Platform Configuration Registers (PCRs) – Neustále monitorovanie hardvéru
Nové funkcie PCR (Platform Configuration Registers) neustále sledujú konfiguráciu hardvéru pri každom spustení systému a zaznamenávajú ju v TPM. Ak napríklad vymeníte SSD disk, zmení sa UUID a Windows 11 bootloader vymaže Grub a vráti systém do pôvodného stavu – podľa návrhu!
Diaľkové overovanie (Remote Attestation) a zhromažďovanie dát
Aplikácie môžu diaľkovo pýtať TPM na informácie o konfigurácii hardvéru prostredníctvom služby Azure attestation od Microsoftu. Microsoft tak môže zistiť verziu Windows, stav bezpečného spustenia a prítomnosť Linuxu a potenciálne obmedziť prístup na základe týchto faktorov. Podobné API sa objavujú aj inde (napríklad Google Play Integrity API).
Windows Recall – Neustále snímanie obrazovky
Windows Recall automaticky robí snímky obrazovky každé 3 sekundy a ukladá ich do šifrovaných SQLite databáz zabezpečených čipom TPM. Microsoft by mohol potenciálne využiť AI na analýzu týchto databáz a hlásiť zistenia bez toho, aby dáta opustili zariadenie.
Kľúčové poznatky:
- Bezpečnosť vs. súkromie: Existuje konflikt medzi bezpečnostnými opatreniami (TPM) a osobným súkromím.
- Microsoftova kontrola: Microsoft má rozsiahle možnosti sledovania a kontroly cez TPM čip.
- Endorsement Key (EK): Unikátny identifikátor pre každé zariadenie, ktorý je trvalo uložený v TPM.
- Cloudová závislosť: Operácie s TPM sú smerované cez cloud Microsoftu.
- Neustále monitorovanie: Hardvérová konfigurácia je neustále sledovaná a zaznamenávaná.
Odporúčania: Ako sa chrániť?
- Vyhnite sa Windows 11: Ak ste obzvlášť citliví na súkromie, zvážte používanie Linuxu ako primárneho operačného systému.
- Vypnite alebo resetujte TPM: Toto je zložitý proces a vyžaduje opatrnosť, aby ste si neobmedzili prístup k svojmu zariadeniu.
- Odmietajte attestation aplikácie: Hľadajte alternatívy, ktoré rešpektujú vaše súkromie.
- Odmietajte vstavaných AI asistentov: Buďte opatrní pri používaní služieb ako Copilot.
Dôležité odkazy:
- WhatTheZuck – Cybersecurity Reference
- Brax.Me – Platforma pre súkromnú komunikáciu a zariadenia.
Približne 159 gCO₂ bolo uvoľnených do atmosféry a na chladenie sa spotrebovalo 0.80 l vody za účelom vygenerovania tohoto článku.
Komentáre ()