C’t Magazine

Windows Defender blokkert wijziginge­n in hosts-file

- Jan Schüßler en Noud van Kruysberge­n

Als je aanpassing­en aan het hosts-bestand in Windows 10 gedaan gedaan had om te voorkomen dat de telemetrie­functies berichten doorsturen, kwam je begin augustus voor een verrassing te staan: de virusbesch­ermer Defender verbiedt nu om daar Microsoft-hosts in te voeren. Gelukkig zijn er andere en betere manieren om Windows 10 tot zwijgen te brengen.

Begin augustus heeft Microsoft het gedrag van de standaard virusbevei­liging Defender zodanig veranderd dat hij alarm slaat als de gebruiker of een programma hostnamen van Microsofts­ervers invoert in het hostsbesta­nd, zoals update.microsoft.com. Maar wat betekent dat? In de folder c:\windows\system32\drivers\etc staat een eenvoudig tekstbesta­nd genaamd hosts (zonder extensie), waarmee je voor Windows de bij IPadressen behorende hostnamen kunt aangeven. Windows gaat van de namen in dit bestand dan niet bij een DNSserver om het bijbehoren­de IPadres vragen, maar gebruikt rechtstree­ks het IPadres dat in het hostsbesta­nd wordt genoemd.

Elke keer dat een hostnaam moet worden omgezet naar een IPadres, scant Windows eerst de items in het hostsbesta­nd. Als de lijst extreem lang is, heeft dat niet alleen gevolgen voor de netwerktoe­gang, maar ook voor het opstarten van het systeem – vooral op oudere, minder snelle pc’s.

Het hostsbesta­nd is vooral nuttig als er geen DNSservice beschikbaa­r is of als servers geen vermelding hebben in het DNS. Je kunt bijvoorbee­ld individuel­e hostnamen definiëren voor computers of netwerkops­lag in het bedrijfs of thuisnetwe­rk. Maar aanvallers kunnen misbruik maken van het hostsbesta­nd. Zo kan een actieve malware die nog niet door je antivirus gevonden is, proberen omleidinge­n in te stellen naar het ongeldige IPadres 0.0.0.0 in het hostsbesta­nd voor hostnamen die horen bij antivirus of Windows updateserv­ers. Als gevolg daarvan zal het antivirusp­rogramma of Windows zelf geen updates meer ontvangen, omdat alle updatepogi­ngen in het nirwana uitkomen – een van de manieren waarop malware zich verbergt voor detectie.

Op dezelfde manier zou een bankingtro­jan kunnen proberen de online bankadress­en van de gangbare banken om te leiden naar nepwebsite­s. Dit soort aanvallen worden idealiter gedetectee­rd door antiviruss­oftware.

WAT IS ER NU ANDERS?

Sinds kort schaalt Defender verschille­nde items in het hostsbesta­nd in als kwaadaardi­g, die van invloed zijn op Microsoftg­erelateerd­e hostnamen. En Defender gaat daar ver in: het voorkomt die vermelding­en niet alleen, maar zet het bestand ook terug naar de standaardi­nstellinge­n en verwijdert alle individuel­e vermelding­en. Ook komen hiermee allerlei aanpassing­en onder vuur te liggen die voorheen werden beschouwd als een goede manier om de communicat­ie van de Windowstel­emetriefun­cties naar Microsofts servers te blokkeren. Hoewel het nooit het doel van het hostsbesta­nd is geweest om als blokkeerde­r te dienen, is dat toch heel handig: buig de ongewenste telemetrie­doelen om naar 0.0.0.0 en klaar is kees.

Bij onze tests greep Defender niet in bij alle hostnamen die Microsoft zelf als telemetrie­doelen gedocument­eerd heeft (zie de tabel op de volgende pagina). Dat komt ook doordat je er nooit zeker van kunt zijn dat er geen andere servers zijn die ook geblokkeer­d zouden moeten worden.

Enerzijds is de wens van Microsoft begrijpeli­jk om interventi­es te voorkomen die van invloed zijn op haar servers. Men wil ervoor zorgen dat het besturings­systeem zonder problemen met het thuisfront kan communicer­en – om ervoor te zorgen dat je updates kunt krijgen, maar ook om een soepele werking van allerlei cloudgebas­eerde diensten zoals online malwaresca­nners, OneDrive en het Microsoft gebruikers­account te garanderen.

Aan de andere kant wekt zo’n beschermin­g van telemetrie­adressen natuurlijk ook argwaan. Microsoft wil de vrijgave van telemetrie­gegevens blijkbaar ook afdwingen bij gebruikers die het versturen ervan tot nu hebben verhinderd via het hostsbesta­nd. Er bestaan databesche­rmingstool­s zoals W10Privacy, die op verzoek de juiste gegevens in het hostsbesta­nd instellen.

Het ligt voor de hand om het hostsbesta­nd uit te sluiten van controle door Defender. Dat zou echter het nadeel hebben dat het bestand niet langer beschermd zou zijn tegen daadwerkel­ijke kwaadwilli­ge veranderin­gen. Als je desondanks die weg toch wilt (blijven) bewandelen, klik dan op de Windowsmel­ding ‘Bedreiging­en gevonden’ en dan bij de bedreiging ‘SettingsMo­difier:Win32/HostFileHi­jack’ bij Acties ‘Toestaan op apparaat’.

TELEMETRIE DE NEK OMDRAAIEN

Het aanpassen van het hostsbesta­nd is slechts één van de manieren om de telemetrie­analyse stil te leggen – en waarschijn­lijk niet eens de meest praktische. Je kunt bijvoorbee­ld ook de Windowstel­emetrieser­vice DiagTrack en de bijbehoren­de eventtraci­ngsessie genaamd DiagtrackL­istener uitschakel­en. Om de service af te sluiten, open je het Servicesbe­heer door op de Windowstoe­ts te drukken, ‘services’ in te typen en de bijbehoren­de app te starten. Dubbelklik op het item ‘Connected User Experience­s and Telemetry’. Selecteer bij Opstarttyp­e de optie Uitgeschak­eld, klik dan op Stoppen en daarna op OK.

Naar onze mening is het niet absoluut noodzakeli­jk om de genoemde eventtraci­ngsessie ook te stoppen – zie ook [1]. Voor de volledighe­id kan dat echter wel. Om dat te doen, open je de Registered­itor met regedit en klik je door naar de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon­trolSet\Control\WMI\Autologger\Autologger-Diagtrack-Listener. Dubbelklik daar op het item Start en geef dit de waarde

Je kunt daarnaast ook de telemetrie­hostnamen blokkeren. Idealiter wordt dat echter niet lokaal op de betreffend­e Windowspc gedaan, maar met een interne DNSserver binnen je netwerk. Vergeleken met vermelding­en in het hostsbesta­nd heeft dat het voordeel dat Windows die aanpassing­en niet kan resetten.

Voor je thuisnetwe­rk kun je daar de reclameen trackingbl­ocker Pihole voor gebruiken, die op een Raspberry Pi draait. Je kunt daar verschille­nde kantenklar­e en ook individuee­l samengeste­lde blokkeerli­jsten aan toevoegen. Als positief bijeffect heb je dan meteen een reclameblo­kker die niet alleen voor één pc zorgt, maar ook voor alle netwerkdee­lnemers en daarnaast ook logt welke eindappara­ten welke bestemming­en op internet opzoeken. Het installere­n ervan neemt niet al te veel tijd in beslag, zie onze gedetaille­erde instructie­s in [2].

BEPERKINGE­N

Bij de meeste methoden voor het vermijden van telemetris­che datatransm­issie is er altijd een restrisico dat de transmissi­e vroeg of laat op de achtergron­d toch weer plaatsvind­t, bijvoorbee­ld omdat de namen van de telemetrie­servers veranderen of omdat Microsoft updatemech­anismen levert die gebruikers­interventi­es vanuit het oogpunt van Microsoft ‘repareren’. Dat kan in principe ook gevolgen hebben voor de DiagTrackt­elemetried­ienst. Tot nu toe hebben we een dergelijk gedrag echter nog niet opgemerkt – behalve bij functieupg­rades waarna de service in eerste instantie altijd weer actief is. De enige methode om de telemetris­che datatransm­issie permanent stil te leggen lijkt daarom de methode te zijn die door Microsoft daadwerkel­ijk ook officieel ondersteun­d wordt: het gebruik van de Enterprise­Editie in een bedrijfsom­geving met serverinfr­astructuur.

Literatuur

[1] Hajo Schulz, Windows 10: bescherm je privacy door de telemetrie lam te leggen, c’t 4/2019, p.92 [2] Ronald Eikenberg, Internetfi­lter op de Pi, Malware en reclame filteren met de Raspberry Pi en Pihole,

c’t 78/2018, p.126

 ??  ?? Defender is allergisch voor wijziginge­n in het hosts-bestand die Microsoft-hostnamen betreffen.
Defender is allergisch voor wijziginge­n in het hosts-bestand die Microsoft-hostnamen betreffen.
 ??  ?? Het uitschakel­en van de DiagTrack-service is de meest efficiënte manier om de telemetrie­kraan dicht te draaien.
Het uitschakel­en van de DiagTrack-service is de meest efficiënte manier om de telemetrie­kraan dicht te draaien.

Newspapers in Dutch

Newspapers from Netherlands