В этой статье мы попробуем разобраться со слежкой и шпионскими замашками Windows 10 и будем проверять что и куда она отправляет.
Выполнив чистую установку сборки Windows 10 10240, мы стали наблюдать за ее сетевым поведением с помощью TCPView. Никаких других действий при этом не выполнялось. Поначалу все было тихо — как в Windows 7 (без обновлений). Лишь фирменный магазин приложений показывал готовность получить данные через сеть доставки контента от Akamai Technologies. Когда уже стало надоедать сидеть в засаде, внезапно ожил системный процесс \Windows\System32\svchost. exe. Он установил подключение к удаленному узлу 191.232.139.254 и отправил на него 7,5 Кбайт.
Можно было бы конечно через сервис WHOIS узнать принадлежность IP-адреса, но спрашивать Shodan веселее. Как стало ясно из описания, это робот поисковой системы Bing. Если бы в тесте был сделан хоть один поисковый запрос (даже локальный), тогда соединение не вызывало бы никаких возражений. Однако мы просто сидели и смотрели в TCPView на то, как компьютер начинает шпионить за нами.
Подготовка к пакетному шторму
Спящие службы можно ждать долго. Пора пробудить их и проявить немного активности. Нажатие кнопки «Пуск» заставило ожить инфоблоки справа. Появился прогноз погоды, начали отображаться новости и реклама. TCPView показывает, что все это грузится через сеть Akamai и выглядит легитимно. Как только мы запускаем блокнот и начинаем набирать текст, картина сразу меняется.
Возникает сразу шесть соединений, которые быстро закрываются, — в сумме уходит чуть больше сотни пакетов. Отключив функцию «искать в интернете», мы оставили только локальный поиск Windows. Снова запустили блокнот и начали набирать произвольный текст. Все равно появился процесс SearchUI и стал передавать данные в Сеть.
Наверное, мы как-то не так поняли «Заявление о конфиденциальности». Посмотрим его еще раз. Это простая текстовая страничка, которая открывается в браузере Edge. Какой она может создать трафик? Примерно такой, как на картинке.
Перечень соединений настолько быстро обновлялся, что просто так и не уследишь. Поэтому мы приступили ко второй части исследования. Закрыли все приложения, поставили снифер Wireshark и записали активность Windows за полчаса. Чтобы сымитировать хоть какую-то деятельность, мы просто смотрели некоторые настройки в панели управления, но не меняли их.
За полчаса в Сеть ушло около восьми тысяч пакетов. Как показало изучение логов, большинство соединений устанавливалось по адресам в пределах одной из крупных подсетей. У принадлежащих им айпишников часто менялись два-три последних октета. Это говорит о том, что Microsoft развернула огромную сеть для обработки всей стекающейся от пользователей Windows информации. Если отсеять однотипные адреса, то в сухом остатке получится подборка, как на картинке.
В глаза бросается бразильский сервер, это очередной BingBot (возможно, какой-то особо специализированный), но вопросы вызывает далеко не только он. Например, какого черта выполнялось соединение с сервером Facebook в Нидерландах? Кто просил подключаться к облачному хранилищу CloudFlare? Ни одного файла еще не создано. Даже учетная запись Microsoft не была активирована.
Продолжение следует…
Всё очень печально, но с другой стороны хочу сказать Microsoft спасибо, они таки вынудили меня перейти на Linux. Как мне показалось ситуация в линуксе сейчас лучше чем была в 2010 (когда я безуспешно пытался в первый раз) Из нужного мне софта очень не хватает только фотошопа, для многих это камень преткновения при переходе, но Adobe не будут портировать свой софт пока не увидят достаточный рынок на этой платформе, поэтому первый шаг на встречу всё равно придется делать пользователям.
Полностью согласен. Уже начал осваивать Linux.
А где глубокий анализ? Тут даже простого анализа не видно. Например какие данные конкретно отправляются?
Продолжение следует.
Здравствуйте, я занимаюсь видеосъемкой и монтажом, соответственно пользуюсь Windows. Прочитав ваш сайт, подумываю снести винду, стереть учетки и поставить все заново. Но какие действия потом нужно выполнить для безопасности? Какие программы поставить в хронологии? Какие службы отключить?
Просто отключи обновления и все
у вас ведь наверняка есть смартфон. поэтому описаные вами выше действия теряют всякий смысл.
тестирнули бы утилиты по отключению шпионажа заодно. насколько они эффективны?
Я бы не рекомендовал в данный момент переходить на Windows 10. Если вы на Windows 7 может быть спокойны — это неплохая ОС, которая как преданный пес, будет еще долго радовать своих хозяев смотрящих на шпионство и слежку Windows 10.
C новыми обновлениями win 7/8/8.1 тоже начали яростно изображать из себя десятку в плане тотального сбора данных о пользователе…
https://spy-soft.net/shpionskie-obnovleniya-7-8-8-1/ :-)
Состав пакетов в студию. Сейчас статья для дебилов.
Не у видел повода так параноить, и названия статьи не соответствует. Глубину анализа не увидел, так поверхностно пробежали по дампу, какой объем и на какие ресурсы отправляются. Чтобы говорить о слежке нужно явное доказательства, а то что в сеть уходят пакеты не понятного содержания — ну и что? Вот как только опубликуете что именно в этих пакетах отправляется, тогда и можно говорить о слежке или не слежке.
Нет тут паранойи. Тупой сбор данных и их отправка. Очевидно же.
У меня на роутере, к сожалению, нет подробной статистики пакетов — показывает только сколько информации передаётся, но не показывает куда.
Так вот — каждые 5 секунд, вне зависимости того, делаю я что-то или нет на ПК, хвалёная 10-ка отправляет около 10 000 байт информации, то есть около 117 Кбайт в минуту.
С ПК на Виндоус 7 — ноль байт переданной информации. Виндоус 10 заботится о нас.
Выводы делайте сами.