Zero
Se siete una delle persone che possiedono uno stilo o un touchscreen in grado Windows PC, quindi c’è un’alta probabilità c’è un file sul computer che lentamente ha raccolto dati sensibili per gli ultimi mesi o addirittura anni.
Questo file è denominato in Lista d’attesa.dat, e secondo Digital Forensics e di Risposta agli Incidenti (SCOMPOSIZIONE) esperto Barnaby Skeggs, questo file si trova solo sul touchscreen capace di Windows il Pc dove l’utente ha abilitato la funzionalità di riconoscimento della grafia [1, 2] che traduce automaticamente stilo/touchscreen scarabocchi in testo formattato.
La grafia in testo formattato funzione di conversione è stato aggiunto in Windows 8, il che significa che la Lista d’attesa.file dat è stato intorno per anni.
Il ruolo di questo file è quello di memorizzare il testo per consentire a Windows di migliorare la sua funzionalità di riconoscimento della grafia, per riconoscere e suggeriscono correzioni o le parole di un utente utilizza più spesso di altri.
“Nel mio test, la popolazione di Lista d’attesa.dat inizia dopo si inizia ad utilizzare i segni di grafia,” Skeggs detto a ZDNet in un’intervista. “Questo ‘colpi di frusta l’interruttore’ chiave del registro di sistema per attivare il testo harvester funzionalità (che genera in Lista d’attesa.dat)”.
“Una volta che è in, testo completo di ogni documento e-mail che è indicizzata per la Ricerca di Windows servizio Indicizzatore è memorizzato in Lista d’attesa.dat. Non solo i file che hanno interagito tramite il touchscreen caratteristica di scrittura,” Skeggs dice.
Dal momento che Windows Indicizzatore di Ricerca servizio di poteri a livello di sistema di Windows funzionalità di Ricerca, questo significa che i dati da tutti i file di testo trovato su un computer, come ad esempio messaggi di posta elettronica o documenti di Office, è raccolto all’interno della Lista d’attesa.file dat. Questo non include solo i metadati, ma il vero e proprio documento di testo.
“L’utente non è anche necessario aprire il file/email, così a lungo in quanto vi è una copia del file su disco, e il formato del file è supportato da Microsoft servizio Indicizzatore Ricerca,” Skeggs detto a ZDNet.
“Sul mio PC, e in tanti casi di test, in Lista d’attesa.dat contenuto di un testo estratto da ogni documento o e-mail di file sul sistema, anche se il file di origine era stato eliminato”, il ricercatore aggiunto.
Inoltre, Skeggs dice in Lista d’attesa.dat può essere utilizzato per recuperare il testo da documenti eliminati.
“Se il file di origine viene eliminato, l’indice rimane in Lista d’attesa.dat, mantenendo un indice di testo il file”, dice. Questo fornisce cruciale di prova legale per gli analisti di come Skeggs che un file e il suo contenuto era una volta esisteva su un PC.
La tecnica e l’esistenza di questo file sono state uno dei segreti meglio custoditi del mondo di SCOMPOSIZIONE e infosec esperti. Skeggs ha scritto un post sul blog la Lista d’attesa.file dat indietro nel 2016, ma la sua scoperta ha poca copertura, soprattutto perché la sua prima analisi si è concentrata sulla DFIR aspetto e non sui problemi di privacy che possono derivare da questa esistenza del file su un computer.
Ma il mese scorso, Skeggs twitter su di uno scenario interessante. Per esempio, se un utente malintenzionato ha accesso a un sistema o a ha infettato il sistema con malware, e ha bisogno di raccogliere le password che non sono stati memorizzati all’interno del browser database o gestore di password volte, in Lista d’attesa.dat fornisce un metodo alternativo di recupero di un gran numero di password in un unico rapido gesto.
Skeggs dice che invece di cercare l’intero disco per i documenti che possono contenere le password, un utente malintenzionato o malware ceppo può facilmente afferrare la Lista d’attesa.dat e di ricerca per le password utilizzando semplici comandi di PowerShell.
Skeggs non ha contattato Microsoft per i suoi risultati, come lui stesso ha riconosciuto che questa era una parte di una funzionalità del sistema operativo Windows, e non una vulnerabilità.
Questo file non è pericoloso a meno che gli utenti di abilitare la funzionalità di riconoscimento della grafia, e anche in quei casi, a meno che una minaccia attore compromette il sistema dell’utente, sia attraverso il malware o tramite accesso fisico.
Mentre questo non può essere un reale problema di sicurezza, gli utenti concentrati sulla loro riservatezza dei dati dovrebbe essere consapevoli del fatto che utilizzando la funzionalità di riconoscimento della grafia, possono essere inavvertitamente la creazione di un enorme database di tutti i file basati su testo trovato sul loro sistemi in una posizione centrale.
Secondo Skeggs, il percorso predefinito del file:
C:Users%User%AppDataLocalMicrosoftInputPersonalizationTextHarvesterIn Lista D’Attesa.dat
Non tutti gli utenti possono memorizzare le password e-mail o file di testo sui loro Pc, ma quelli che lo fanno si consiglia di eliminare il file o disattivare Personalizzate per il Riconoscimento della scrittura” nel loro sistema operativo, le impostazioni del pannello.
Indietro nel 2016, Skeggs anche pubblicato due applicazioni[1, 2] per l’analisi e l’estrazione di dettagli sul testo raccolto in Lista d’attesa.i file dat.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0