1. Зміст статті Частина 2: Як змінилася таємне життя Windows 10 за рік З моменту своєї появи Windows...
2. Спостереження за спостерігачем
3. Підготовка до пакетного шторму
4. Розкриваємо шпигунську мережу
5. Догляд в офлайн
6. Добиваємо агентів Матриці
7. підсумок

Зміст статті

Частина 2: Як змінилася таємне життя Windows 10 за рік

З моменту своєї появи Windows був природним місцем існування зловредів всіх мастей. Схоже, нова версія цієї операційки сама стала одним з троянів. Відразу після установки чиста система поводиться підозріло. Дані рікою ллються на десятки серверів Microsoft і партнерських компаній. Ми вирішили розібратися зі скаргами на шпигунські замашки «Десятки» і дізналися, що і куди вона відправляє.

Microsoft> NSA

Перші повідомлення про дивну поведінку Windows 10 з'явилися ще на етапі знайомства з Technical Preview. Значний трафік в ній створюється постійно - навіть коли не запущене ні один додаток для роботи в мережі. Тоді така поведінка списували на збір статистики, необхідної для налагодження. У Microsoft вивчали поведінку нового продукту на різних конфігураціях, а користувачі грали роль бета-тестерів. Начебто, все логічно. Однак з виходом релізу нічого не змінилося, і скарг стало тільки більше.

«У минулі вихідні я оновив Windows 8 на лептопі мого сина до Windows 10. Сьогодні в перший робочий день мені прийшов лист з Microsoft з темою« Щотижневий звіт про активність ». У ньому були докладні відомості про дії сина за ноутбуком: коли і скільки він за ним сидів, які програми використовував і як довго, що шукав в мережі, які сайти відвідувала, і багато іншого. Я був вкрай обурений, оскільки не збирався стежити за своєю дитиною. У Microsoft мені відповіли, що якщо я не хочу отримувати подібних листів, то мені слід вказати це в налаштуваннях сімейного аккаунта через свій обліковий запис. У Windows 8 такої проблеми не було ». Це уривок з листа одного відомого письменника і активіста Корі Доктороу, опубліковане в блозі Boing Boing . Багато оглядачів стверджують, що ці відомості про користувачів як і раніше збираються - незалежно від налаштувань облікового запису. Якщо щось і можна відключити, то це звіти, які приходять на пошту.

Заява про відсутність конфіденційності

Найцікавіше, що збір різної інформації вбудованими засобами Windows 10 докладно описаний в «Заяві про конфіденційність». Звичайно, більшість не стане його читати, а серед ознайомилися буде багато здивованих. Формулювання в об'ємному тексті використовуються хитрі і розмиті. З них важко зрозуміти, що саме зміниться в плані приватності з переходом на Windows 10. Якщо коротко, то про неї можна буде забути. Правозахисники сходяться на думці, що система відразу починає збирати всі дані, які тільки може отримати. Ось список їх основних типів.

біометричні:

• зразок голосу і вимови певних слів;
• зразок почерку (рукописного введення);
• зразки набираються текстів будь-якої програми.

геолокаційні:

• інформація про поточне місцезнаходження;
• історія пунктів з вказівкою тимчасових міток.

Технічні:

• дані про обладнання, включаючи ідентифікатори пристроїв;
• відомості про підключених мережах (проводових та безпроводових);
• відомості телеметрії;
• дані від будь-яких вбудованих датчиків.

Поведінковий аналіз:

• історія пошукових запитів;
• історія відвіданих веб-сторінок;
• час старту Windows і завершення роботи;
• час запуску і закриття кожної програми.

Купівельна активність:

• завантаження додатків з фірмового магазину;
• перехід по посиланнях контекстної реклами;
• перехід по посиланнях персоналізованої реклами.

Перелік можна продовжити, але і такого набору досить, щоб почати власне дослідження. Забігаючи наперед, відзначимо, що частина звинувачень на адресу Windows 10 все-таки не підтвердилася. Наприклад, чеське видання AE News передбачає, що ОС виконує відправку зображення з веб-камери на сервери Microsoft. У нашому тесті система відреагувала на підключення камери лише установкою драйверів - ніяких сторонніх дій з нею зареєстровано не було ні відразу, ні потім.

Спостереження за спостерігачем

Звичних інструментів в арсеналі хакера предостатньо для вивчення будь-якого софта. Тестовий комп з чистим SSD, віртуальна машина, сниффер Wireshark, HTTP-проксі і дебагер Fiddler, монітор мережевих з'єднань TCPView, а також програми для створення знімків реєстру і дрібні допоміжні утиліти. Ми намагалися використовувати версії, які не потребують установки. Виняток склали лише Wireshark і Fiddler через специфіку їх роботи. Ці програми залишили наостанок, щоб більша частина тестування виконувалася на абсолютно чистою системі. Мережевий трафік аналізувався як в настройках Windows 10 за замовчуванням, так і після поетапного відключення всіх стежать функцій.

З офіційних документів випливає, що за користувачем стежать: сама Windows, глибоко інтегрований пошук Bing, голосовий помічник Cortana, служба MSN, пакет Office, клієнт хмарного сховища OneDrive, поштовий клієнт Outlook, а також Skype, Silverlight і Xbox Live. Детальніше про це написано на сайті Microsoft . Подивимося, як саме відбувається збір даних.

Перший старт Windows 10

Виконавши чисту установку збірки 10240, ми стали спостерігати за її мережевим поведінкою за допомогою TCPView. Ніяких інших дій при цьому не виконувалося. Спочатку все було тихо - як в «Сімці». Лише фірмовий магазин додатків показував готовність отримати дані через мережу доставки контенту від Akamai Technologies.

Затишшя перед бурею

Коли вже стало набридати сидіти в засідці, раптово ожив системний процес \ Windows \ System32 \ svchost.exe. Він встановив підключення до віддаленого вузла 191.232.139.254 і відправив на нього 7,5 КБ.

перший буревісник

Можна було дізнатися приналежність IP-адреси через сервіс WHOIS, але питати Shodan інформативніше.

BingBot попався

Як стало зрозуміло з опису, це робот пошукової системи Bing. Якби в тесті був зроблений хоч один пошуковий запит (навіть локальний), тоді з'єднання не викликало б ніяких заперечень. Однак ми просто сиділи і дивилися в TCPView на те, як комп'ютер починає шпигувати за нами.

Підготовка до пакетного шторму

Сплячі служби можна чекати довго. Пора розбудити їх і проявити трохи активності. Натискання кнопки «Пуск» змусило ожити Інфоблоки справа. З'явився прогноз погоди, почали відображатися новини та реклама. TCPView показує, що все це вантажиться через мережу Akamai і виглядає легітимно. Як тільки ми запускаємо «Блокнот» і починаємо набирати текст, картина відразу змінюється.

Запущено тільки «Блокнот»

Виникає відразу шість сполук, які швидко закриваються, - в сумі йде трохи більше сотні пакетів. Відключивши функцію «шукати в інтернеті», ми залишили тільки локальний пошук Windows. Знову запустили «Блокнот» і почали набирати довільний текст. Все одно з'явився процес SearchUI і став передавати дані в мережу.

Пошук в інтернеті відключений

Напевно, ми якось не так зрозуміли "Декларація про конфіденційність». Подивимося його ще раз. Це проста текстова сторінка, яка відкривається в браузері Edge. Якою вона може створити трафік? Приблизно такий, як на картинці.

Відкрита одна сторінка в браузері

Перелік з'єднань так швидко оновлювався, що просто так і не встежиш. Тому ми приступили до другої частини дослідження. Закрили всі додатки, поставили сниффер Wireshark і записали активність Windows за півгодини. Щоб зімітувати хоч якусь активність, ми просто дивилися деякі настройки в панелі управління, але не змінювали їх.

Windows передає безперервно - не важливо робиш щось чи ні

За півгодини в мережу пішло близько восьми тисяч пакетів. Як показало вивчення логів, більшість з'єднань встановлювалося за адресами в межах однієї з великих підмереж. У належних їм айпішніков часто змінювалися два-три останніх октету. Це говорить про те, що Microsoft розгорнула величезну мережу для обробки всієї стікається від користувачів Windows інформації. Якщо відсіяти однотипні адреси, то в сухому залишку вийде підбірка як на картинці.

За півгодини нашої бездіяльності Windows встиг розіслати звіти по всьому світу

В очі кидається бразильський сервер, але це черговий BingBot (можливо, якийсь особливо спеціалізований), але питання викликає далеко не тільки він. Наприклад, якого біса виконувалося з'єднання з сервером Facebook в Нідерландах? Хто просив підключатися до хмарного сховища CloudFlare? Жодного файлу ще не створено. Навіть обліковий запис Microsoft була активована.

Розкриваємо шпигунську мережу

Після пошуку Bing головна шпигунка в Windows - Кортан. З нею якось відразу склалися напружені відносини. Спершу вона сама наполягла на знайомстві, а потім раптом заявила, що не розуміє російську мову і навіть вчитися цьому не збирається.

Кортан звикла знайомитися першою

Навіть змінивши мову на англійську, а регіон - на США, ми так і не домоглися її розташування. У базі знань Microsoft про це йдеться просто - встановіть відповідне виправлення через службу оновлень. Шкода тільки, що користувач тепер позбавлений можливості ставити апдейти на свій розсуд. Вони викачуються і встановлюються Windows автоматично. Користувач може вибрати лише скасування перезавантаження і задати відкладену інсталяцію.

Кортан динаміт російських

Велика частина прихованого трафіку Windows йде через мережу доставки контенту Akamai, тому не відображається в логах HTTP-проксі. Однак це не означає, що дивитися їх марно. Запустивши Fiddler, можна виявити цікаві речі. Наприклад, з'ясувати, що ідентифікація користувача відбувається ще до активації копії Windows.

Фрагмент балки HTTP-проксі

При погляді на вікно Fiddler видно характерну форму / usercard /? Id =, звернення до облікового запису через службу Microsoft Live і багато іншого. Звідки взялися запити до visualstudio.com і соціальних сервісів Microsoft - загадка.

Fiddler зібрав 29 веб-адрес

Трафік по HTTP за півгодини бездіяльності виявився настільки великим, що стало проблемою наочно відобразити його на екрані. Ми зробили пару скріншотів, а потім склали список засвітилися хостів. Можна б відразу занести їх в файл hosts, але ми поки відкладемо це, щоб не порушувати хід експерименту.

Улов Fiddler годує localhost

З цього списку очікуваним виглядає тільки URL windowsupdate.com, який ми не стали включати в список блокування. Згідно з журналом установки, за весь час експерименту автоматично було інстальовано 21 оновлення загальним обсягом близько 150 МБ. В ході тесту крім «Блокнота» ми запускали тільки «Калькулятор» і свої утиліти для аналізу активності Windows, в яких було відключено автооновлення. При цьому загальний мережевий трафік перевищив полгигабайта. Забагато для «службових даних, що збираються з метою поліпшення враження від роботи програм»!

Полгіга даних витекли в мережу

Враження виявилося сильно зіпсованим. Стежать функцій в Windows 10 дійсно вкрай багато. Відключення інтегрованого пошуку і звільнення Кортан допомагає лише частково. «Захисник Windows» відправляє в Microsoft образи файлів, які вважатиме підозрілими або шкідливими. Фільтр SmartScreen не тільки перевіряє веб-контент, а й формує список відвіданих сторінок. Журнал розташування протоколює все фізичні переміщення (особливо актуально, якщо Windows 10 встановлена ​​на мобільному пристрої). Звіт про взаємодію з користувачем відсилають і багато додатків в новому стилі, а в розділі «дані діагностики та використання» взагалі не можна заборонити відправку звіту - можна лише вибрати менш докладний варіант.

Догляд в офлайн

Ми вирішили повністю відключити всі узаконені засоби шпигунства штатними засобами Windows. В основному настройки міняються через вкладки «Конфіденційність», «Пошук» і «Оновлення та безпека» в панелі управління. Перемикачів там з півсотні, ось тільки чи буде від них толк?

Ми відключили все, що тільки можна і запустили Wireshark знову. На цей раз не користувалися ніякими вбудованими додатками і навіть не чіпали мишку. Повернувшись через годину, бачимо в логах сніффер до болю знайомі IP.

Змія міняє шкіру, але не змінює вдачі

Прогрес є. Загальна кількість запитів зменшилася на порядок. Приблизно втричі скоротилося і число віддалених вузлів, до яких виконується підключення без відома користувача. Однак серед них з'явилися нові. Якщо в першому балці Wireshark раптово знайшовся сервер Facebook, то тепер засвітився дата-центр Amazon з Ірландії.

Ряди шпигунів порідшали

Раз вже Fiddler допоміг здобути список IP, то їх масове додавання в файл hosts має допомогти припинити стеження. Перевіримо, створивши список блокування, і знову запустимо Wireshark.

Скромний улов Wireshark

У порівнянні з першим балкою цей виглядає нудно. На дисплеї не вмістився лише один айпішник, а їх загальний список складається всього з чотирьох. Два з них належать до мережі доставки контенту і не можуть ефективно блокуватися в hosts - занадто багато підмереж належить Akamai. Третій IP-адреса належить службі Windows Update, яку не блокували. Найстійкішим шпигуном виявився BingBot. Його зв'язок з бразильською Microsoft Informatica не знає перешкод. Мабуть, процес містить вбудовані засоби обходу обмежень.

Добиваємо агентів Матриці

Справитися з рештою агентами Microsoft допомагає ряд додаткових заходів. Потрібно поставити в брандмауері блокування підключень до всіх IP-адресами, виявленим Wireshark. У нас їх вийшло 47, але напевно при більш тривалому моніторингу список збільшиться. Ще є шанс, що при черговому автоматичному оновленні в системних файлах пропишуться нові айпішники, але поки разом з модифікацією файлу hosts це забезпечує більшу частину захисту від стеження.

Відключити «відключаються» функції можна через реєстр:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ DataCollection

Задавши нульове значення цього параметру, заборонимо відправку «технічних» даних.

Бажано видалити файл сервісу DiagTrack з уже зібраними даними. Ось шлях до нього:

C: \ ProgramData \ Microsoft \ Diagnosis \ ETLLogs \ AutoLogger \ AutoLogger-Diagtrack-Listener.etl

Відключити самі сервіси DiagTrack і dmwappushsvc можна через управління службами або гілку реєстру:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \

У планувальнику завдань варто подивитися чергу завдань і відключити всі регулярні відправки даних, якщо вони ще залишилися.

Рекомендується видалити хмарний клієнт OneDrive, якщо ти все одно не збирався їм користуватися.

Всі ці дії можна виконати вручну, але заощадити час сильно допомагає утиліта DisableWinTracking . На відміну від багатьох аналогів, вона поширюється з відкритим вихідним кодом і добре документована.

підсумок

Після виконання всіх описаних дій Windows 10 позбулася шпигунських звичок. Разом з ними, правда, зникли майже всі нові фішки, які покликані підвищити зручність роботи і забезпечити безпеку. Втім, як говорив Франклін: «Ті, хто готові пожертвувати нагальною свободою заради малої дещиці тимчасової безпеки, не гідні ні свободи, ні безпеки».

WWW