btbilgi

Eğer dokunmatik ekranlı veya kalem (stylus) ile kullanabildiğiniz bir Windows cihazınız varsa, bu haber sizin için önemli olabilir. ‘Digital Forensics and Incident Response’ (DFIR), yani adli bilişim uzmanı Barnaby Skeggs kullanıcıları bir Windows sistem dosyası hakkında uyarmakta. ‘WaitList.dat’ ismindeki dosya sadece dokunmatik ekranlı bilgisayarlarda bulunuyor ve büyük ihtimalle yıllardır ekrana yazdığınız tüm şifreleri ve parolaları depoluyor.

Skeggs bu dosyanın varlığını ve işlevini ilk olarak 2016’da keşfetmiş. Windows 8 işletim sistemi zamanında sisteme eklenen dosya aslında kendi başına zararlı değil. Bir sistem dosyası ve kullanıcıların ekrana dokunarak (veya kalemle) yazdığı kelimeleri makinenin tanıyacağı formata çevirmeye yardımcı oluyor. Ayrıca kendi başına da devreye girmiyor, kullanıcı sistemdeki ‘el yazısı tanıma’ özelliğini açtığı zaman oluşturuluyor ve çalışmaya başlıyor.

Kullanıcı dokunmatik ekrana yazı yazdıkça, yazılan kelimeler bu dosyada depolanmakta. Bu da Windows’un daha sonraki seferlerde kelimeleri kolayca tanıyabilmesi için bir karşılaştırma imkanı yaratmakta. Fakat burada iki sorun var. Birincisi, ‘WaitList.dat’ çalışmaya başladığı anda sadece el yazısı örneklerini değil, “Windows Arama Endeksleyici” (Windows Search Indexer) servisinin taradığı tüm kelimeleri, dokümanları ve e-postaları da kayda almaya başlıyor. Dosya sadece metadata bilgisini değil, tüm doküman metnini de saklayabilmekte.

İkinci sorun ise kullanıcının Windows bilgisayarına sızmayı başaran kötü niyetli bir kişinin, basit bir ‘powershell’ komutu ile bu dosyaya erişebiliyor olması. Orijinal bir metin silinmiş olsa bile, ‘WaitList.dat’ dosyanın içeriğini saklıyor ve bu da çok ciddi bir güvenlik açığına yola açabilir denilmekte. Skeggs bunu keşfettiği zaman Microsoft’a başvurmamış. Çünkü dosya aslında sistemin yasal ve geçerli bir parçası olarak işlev görüyor. Ama kendi siber güvenlik blog’una bunu yazmış. Küresel DFIR uzmanlarının bu dosyanın varlığın ve nasıl çalıştığını gizli tuttuğu iddiası da konuşulan konulardan biri.

Skeggs bu dosyanın bilgisayarlarda aşağıdaki lokasyonda bulunması gerektiğini belirtiyor. Kullanıcılar şifrelerini metin bazlı dosyalarda tutmuyor olsa bile, ‘WaitList.dat’ın başka her türlü hassas bilgi içeren metni yedekliyor olma ihtimali bulunmakta. Bu dosya silindikten sonra tekrar devreye girmesini engellemek için ise kullanıcıların “Personalised Handwriting Recognition” (Kişiselleştirilmiş Elyazıcı Tanıma) özelliğini kapatması tavsiye edilmekte.

C:\Users\%User%\AppData\Local\Microsoft\InputPersonalization\TextHarvester\WaitList.dat

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.