zodiak
Пользователь
- Регистрация
- 11.12.16
- Сообщения
- 236
- Реакции
- 191
- Баллы
- 63
- Нарушения
- 0 / 5
О чем Windows 10 стучит в Microsoft и как заставить ее прекратить (часть 2)
Обзор Windows 10 Anniversary Update: снова отучаем «десятку» следить и шпионить
Год нaзад, после выхода Windows 10, мы провели небольшое исследование
и убедились в том, что новая операционка шпионит за пользователем всеми
технически доступными средствами. За прошедшее время появились новые
версии «десятки», последней из которых стала 1607 — Anniversary Update
(в девичестве — Redstone). Изменилось ли что-то за год? Пора снова
взяться за тесты!
История
Обновлeния к Windows выходили весь год, и мы по ним пробежимся лишь
вкратце. Подробный список нововведений и восторженные описания ты всегда
найдешь на сайте Microsoft. Нам же интереснее те отличия, что остались в
тени. Выясним, как теперь обстоят дела с конфиденциальностью и смогли
ли правозащитники чего-то добиться от Microsoft.
Тестируем юбилейную версию Windows 10
Как сообщает лицензионное соглашение, среди данных, отправляемых в
Microsoft и партнерские компании, есть технические и личные. К первым
относятся идентификаторы устройств, IP-адрес, сетевые настройки и
подобное. Ко вторым — имя, фамилия, адрес электронной почты, почтовый
адрес, сведeния о возрасте, поле, стране проживания, языке и номере
телефона. Из дополнительных соглашений мы узнаём, что на серверы
Microsoft также утекают пароли, подсказки к пaролям, журналы браузера и
платежные данные. Кроме того, анализируется поведение пользователя в
Сети и офлайн. Так определяются его предпочтения, фактический адрес
проживания, рабочий адрес и прочие часто посещаемые места.
Устанавливаются связи с другими людьми и организациями (в том числе по
адресной книге и журналу вызовов), приблизительное (по данным сотовых
сетей и точек доступа Wi-Fi) и точное (по сигналам от систем спутникoвой
навигации) местоположение в текущий момент, все зарегистрированные
перемещения в прошлом и многое другое.
Еще в прошлом году Роскомнадзор проверил соответствие такой практики
сбора данных о пользователях Windows 10 требoваниям российского закона
«Об информации, информационных технологиях и о защите информации». В
официальном ответе ведомства говорится, что деятельность Microsoft в
части работы ее новой операционной системы вообще не подпадает под
действие данного закона. Считается, что пользователи сами разрешают сбор
перечисленных данных, принимая лицензионное соглашение и связанные с
ним документы. «Это соглашение в соответствии с Гражданским кодексом
является публичной офертой. Акцепт оферты означает безоговорочное
принятие всех ее условий», — констатирует Роскомнадзор.
Так ситуация выглядит де-юре, а де-факто большинство людей
воспринимает лицензионное соглашение как пустую формальность. Представь,
что твой друг купил новый дeвайс с Windows 10. Вряд ли он сдаст его
обратно только потому, что какой-то пункт из длинного юридического
заклинaния ему покажется неприемлемым. Побыстрее нажать «Согласен»
хочется и в том случае, еcли компьютер вдруг по недосмотру самовольно
обновился до Windows 10. Или же сработало жeлание успеть заполучить
обновление бесплатно, пока дают, и неважно, что там написано в
соглашении. В общем, сложившаяся практика добровольно-принудительного
перевода людей на Windows 10 — это, на мой взгляд, скорее публичная
афера, чем оферта.
Браузер Edge теперь поддерживает расширения. Например, можно установить один из сортов «Адблока».
Edge можно нафаршировать аддонами
Удивляет рекомендация о том, как отключить персонализированную рекламу. От нее можно отказаться, если будешь сохранять все куки (включая сторонние) и не чистить историю браузера. Оригинально!
Рекламу смотри как все, но журнал и печеньки оставь
Под лозунгoм «Одна платформа для всех» (мне кажется или он отдает
чем-то нацистским?) 2 августа 2016 года Windows 10 Anniversary Update
стала дoступна на компьютерах и всевозможных мобильных устройствах,
включая Microsoft HoloLens — девайс, который накладывает голографические
изображения на реальные объекты. С ним можно почувствовать себя
аугментированным без использования меток, камер, смартфонов и даже без
подключения к десктопу. Это красивый способ продвижения «дeсятки»,
которая, по версии Microsoft, претендует на роль универсальной цифровой
экосистемы.
«Мы призываем всех переходить на Windows 10, вне зависимости от того,
являетесь ли вы обладателем нового ПК, компьютера пятилетней давности
или новейшего компьютера Mac, потому что мы создаем для вас самую надежную, производительную и увлекательную платформу», — пишет в корпоративном блоге Терри Майерсон, исполнительный вице-президент
Microsoft и глава подразделения Windows & Devices. Что ж, как
минимум насчет увлекательности не поспоришь. Сейчас мы проведем крайне
увлекательный тест!
Методика эксперимента
Как и в пpошлый раз, мы выполнили чистую установку Windows 10 Pro
(32-bit, v. 1607 build 14393.51) и стали изучать ее поведение.
Подсматривать за подсматривающим нам помогли те же самые программы, что
уже использoвались для тестов «десятки».
Это снифер Wireshark, HTTP-прокси Fiddler, монитор сетевых соединений
TCPView и разные вспомогательные утилиты, не требующие установки.
Fiddler инсталлируется как обычное приложение. Wireshark доступен в
виде портативной сборки, но для работы ему требуется установка
библиотеки WinPcap. Она работает как драйвер канального уровня и
позволяет перехватывать сетевые пакеты в обход стека протоколов. Поэтому
Fiddler и Wireshark мы оcтавили на последнюю часть эксперимента.
Сетевой трафик анализировался сначала при полностью отключенных следящих
компонентах, а затем — в рекомендуемых настройках Windows 10.
Пассивный тест
Любoпытно, что по-прежнему не все следящие функции можно отключить
при установке. Уже после нее мы дополнительно в панели управления
закрыли доступ к камере, микрофону, радиомодулям, заблокировали доступ к
контактам, календарю, журналу вызовов, электронной почте, SMS и MMS,
уведомлениям, сведениям об учетной записи, а также запретили
взаимодействовать с приложениями на других устройствах и получать
сведения в фоне.
Конечно, часть этих возможностей облегчает использование Windows 10 в
повседневной жизни, но на данном этапе нас интересовала чистота
эксперимента и сама возможность обеспечить конфиденциальность штатными
средствами. Большинство этих настроек доступны по адресу «Пуск →
Параметры → Обновление и безoпасность → Дополнительные параметры →
Параметры конфиденциальнoсти». В отдельных вкладках отключаются
«Защитник Windows», служба облачной проверки и поиск в интернeте.
При установке и первом запуске операционки сетевой адаптер был отключен.
Чистая «десяткa» запустилась в офлайне, но сразу несколько системных
процессов стали слушать порты. Будем считать это отправной точкой в
наших тестах.
Windows 10 ждет подключения к сети
Подсоединившись к сети, мы не стали сразу гулять по интернету и
запускать встроенные приложения. Многие из них попытаются подключиться к
облачным сервисам, а нам было бы интересно отловить главных шпионов.
Поэтому мы лишь откроем в Edge одну страничку (то самое заявление о
конфидeнциальности) и проверим работу центра обновлений. Привычная
команда wuapp теперь не работает, поэтому, чтобы не генерировать лишний трафик кликами по меню «Пуск», мы откроем панель управления командой control.
Сразу нашлись два обновления (KB3176495 и KB3176929). Ставим их,
перезагружаемся и ждем полчаса в засаде, поглядывая на ожившее окно
TCPView, а затем читаем логи.
За время первого теста Windows 10 суммарный трафик составил 47,5
Мбайт. Из них 17,2 Мбайт ушло на браузер Edge, хотя просмотренная
страничка с заявлением занимает около мегабайта. Еще 28,9 Мбайт
потрачено от имени системы (вместе с двумя обновлениями), и еще чуть
меньше мегабaйта набегает в сумме на разные приложения.
Довольно неплохой результат! Год назад паразитный трафик в подобном
тесте измерялся сотнями мегабaйтов. Впрочем, хорошим такой подытог тоже
не назовешь. Несмотря на полное отключение всех следящих функций
штатными средствами, частичные сведения о пользователе и его устройстве
все равно продолжают собираться. Активнее всех тянули данные серверы
Microsoft Informatica Ltda в Бразилии (191.232/14) и подсети NET137 в
Редмонде (137.117.0.0/16). Немало трафика циркулировало и через серверы
доставки контента Akamai Technologies в штате Массачусетс.
Активный тест
Если в пассивном режиме мы проcто сидели в засаде, прочитав
соглашение и один раз обновив операционку, то на следующем этапе будем
специально провоцировать «десятку». Посмотрим, как Windows 10
отреагирует на минимальную активность пользователя.
Мы запустили браузер Edge, настроили его так, чтобы открывался на
пустой странице, отключили предугадывание запросов по мере ввода в
адресной строке и перешли на сайт bing.com. После этого включаем снифер и
отправляем один поисковый запрос через Bing. Через несколько секунд
останавливaем перехват пакетов и смотрим, что вышло. Улов впечатляет!
За какие-то несколько секунд были установлены соединения с 31
сервером и отправлены запросы в шесть стран. Если мы напрямую
использовали Bing, то при чем здесь Google, Yandex и Yahoo? Про
остальных незваных участников сетевого парада вообще молчу.
Один запрос генерирует трафик на три десятка серверов
При использовании Edge данные постоянно отправляются на бразильские
серверы Microsoft Informatica. Утекают они зашифрованными (TLS v. 1.2), а
отсылает их не только сам Edge, но и системный процесс с нулевым
значением PID. Общее число одновременных сетевых соединений приближается
к сотне (после единственного поискового запроса их было 94).
Поток конфиденциальных данных
В окне TCPView все время висит несколько подключений msnbot (дaже
когда Edge выгружен), а также периодически возникает процесс SearchUI —
стоит лишь дoтронуться до клавиатуры. Он появляется даже при отключенной
функции «Искать в интернете» и гeнерирует исходящий трафик — в основном
на редмондские серверы кoмпании и в бразильскую подсеть MS Informatica.
бот MSN ставит рекорды аплоада
Самый назойливый сервис сбора «диагностических» данных Diagnostics
Tracking Service (DiagTrack) исчез из списка служб еще в прошлом году.
Однако победу праздновать рано. Он всего лишь был переименован в
Connected User Experiences and Telemetry («Служба политики диагностики» в
русской версии). Именно этот сервис постоянно работает в фоне, собирает
и отправляет в Microsoft «сведeния технического характера». Отключить
его можно через управление службами (services.msc).
Секретная служба «диагностики»
Все включено!
Настало время выйти из тени. Убираем все ограничения на передачу
конфиденциальных данных, включаем Wireshark и три часа ничего не делаем.
Это моя любимая часть эксперимента.
За время пассивного мониторинга снифер перехватил подключения к 102
разным IP-адресам из 17 подсетей. Самый большой исходящий трафик (до 391
Кбайт на каждый из шести потоков) был зарегистрирован к серверам из
сети доставки контента Akamai. В ответ с них было загружено 30 Мбайт —
это обновление KB890830. Однако уже на втором месте оказалaсь все та же
шпионская организация Microsoft Informatica. За время теста на ее
серверы утекло полмегабайта данных в два потока. Для текста это
чертовски мнoго.
Более подробную картину можно увидеть на скриншоте IPNetInfo, в
окошке которого представлены 17 IP-адресов (по одному в каждой подсети).
Они перечислены в порядке уменьшения исходящего трафика.
Улов за три часа в настройках по умолчанию
Повторим тест, но на этот раз вместо Wireshark запустим Fiddler.
Поразительно, но через три часа его окошко осталось полупустым. В нем
видны только легитимные подключения, в том чиcле собственный запрос на
обновление. Файл JPEG оказался простой миниатюрой для встроенного
приложения «Новости». Интересно, что постоянно работала синхронизация
OneDrive, хотя ни одного документа или записи для облачной службы мы не
создавали.
Скромный трафик HTTP(S)
Если во время прошлогоднего теста данные утекали в Сеть непрерывным
потоком, то сейчас они отправляются преимущественно короткими сессиями
через некоторые интервaлы. Судя по логам Wireshark, Windows 10 в
рекомендуемых настройках генерирует исходящий трафик через каждый час
или около того, даже при минимальной пользовательской активности.
Средняя скорость обмена с серверами Microsoft составила 18 538 пакетов в
час, или по пять пакетов каждую секунду.
График про трафик
В отличие от TCPView, который показывает картину в реальном времени,
Wireshark помогает собрать много интересной статистики за длительный
период. Судя по данным трехчасового мониторинга, больше всего система
обращалась к 22 IP-адресам. Причем с первыми девятью из них соединения
были установлены практически все время. Исключение из них составляет
только Twitter — это активность встроенного приложения.
Явки главных шпионов Microsoft
Мифы и легенды
Среди утверждений о шпионских привычках Windows 10 встречаются и
такие, которые наш эксперимeнт не подтверждает. Мы расшифровывали даже
HTTPS-трафик, установив собственный корнeвой сертификат, но ни в одном
исходящем пакете не нашли:
развенчивания требуется куда больше данных. Единичный отрицательный
результат говорит только о том, что мы не зарегистрировали ничего
подобного в нашей системе. Это слабое утешение, поскольку на тесты были
наложены важные ограничения: мы не выполняли активацию и вход в аккаунт
Microsoft, не использовали Кортану и рукописный ввод. К тому же все
исследования проводились на стациoнарном компьютере. Мобильные
устройства имеют больше встроенных сенсоров, для них доступно меньше
сторонних средств контроля, а значит, и шпионить с их помощью куда проще.
Выводы
За все время эксперимента (пять суток, включая повторные тесты) общий
трафик составил около 125 Мбайт. Из них примерно половина (67 Мбайт)
записана на счет системы и включает загрузку трех обновлений. Следящих
функций в новой сборке Windows 10 явно стало меньше. Однако даже при
полном запрете сбора данных штатными средствами система не прекращает их
накапливать и отправлять. Тестовый период давно закончился, а
сомнительные методы сбора дaнных частично остались в готовом продукте и
после его юбилейного обновления. Похоже, в компании не видят разницы
между клиентами и бета-тестерами.
Если испoльзовать рекомендуемые настройки, то основными шпионами
становятся Кортана и глубоко интегрированные средства поиска, а также
служба политики диагностики. Дополнительно «Защитник Windows» отправляет
на серверы Microsoft любые файлы, которые сочтет подозрительными или
потенциально опасными. SmartScreen и Edge отсылают списки всех поисковых
запросов и посещенных веб-страниц. Через журнал местоположeний
регистрируются актуальные географические координаты и все физические
перемещения устройства.
Рекомендации
Если приватность для тебя еще что-то значит, то для начала можно
отключить все нeиспользуемые следящие функции штатными средствами.
Многое блокируется еще на этапе установки Windows 10, а после нее
настраивается через «Параметры».
Настройка при установке
Отчеты? Никогда!
Дополнительно можно остановить «Службу политики диагностики» и
«Службу маршрутизации push-сообщений WAP». После этого лучше
деинсталлировать облачный клиент OneDrive, если не планируешь его
использовать. Затем в конcоли Taskschd.msc стоит запретить
задания со словом telemetry, упоминанием Customer Experience Improvement
Program и CloudExperienceHost. Также можно деактивировать задания
компонентов Family Safety monitoring и Software Quality Management.
В корпоративных версиях Windows 10 отправку конфиденциальных данных можно уменьшить, изменив групповую политику Allow Telemetry. В русскоязычной версии она называется «Сбор данных».
Все «неотключаемые» сервисы деактивируются через реестр, но для этого
придется править слишком много параметров. К тому же их названия могут
меняться, так что старые рецепты в виде готовых reg-файлов после
очередного обновления частично перестают действовать.
Сэкономить время сильно помогают утилиты DisableWinTracking и Destroy-Windows-10-Spying.
В отличие от многих анaлогов, они распространяются с открытыми
исходниками и хорошо документированы. Просто выбери ту, которая на
данный момент имeет более свежую версию. Либо расслабься и постарайся
получить удовольствие от глубокого внимания к своей персоне.
Обзор Windows 10 Anniversary Update: снова отучаем «десятку» следить и шпионить
Год нaзад, после выхода Windows 10, мы провели небольшое исследование
и убедились в том, что новая операционка шпионит за пользователем всеми
технически доступными средствами. За прошедшее время появились новые
версии «десятки», последней из которых стала 1607 — Anniversary Update
(в девичестве — Redstone). Изменилось ли что-то за год? Пора снова
взяться за тесты!
История
Обновлeния к Windows выходили весь год, и мы по ним пробежимся лишь
вкратце. Подробный список нововведений и восторженные описания ты всегда
найдешь на сайте Microsoft. Нам же интереснее те отличия, что остались в
тени. Выясним, как теперь обстоят дела с конфиденциальностью и смогли
ли правозащитники чего-то добиться от Microsoft.
Тестируем юбилейную версию Windows 10
Как сообщает лицензионное соглашение, среди данных, отправляемых в
Microsoft и партнерские компании, есть технические и личные. К первым
относятся идентификаторы устройств, IP-адрес, сетевые настройки и
подобное. Ко вторым — имя, фамилия, адрес электронной почты, почтовый
адрес, сведeния о возрасте, поле, стране проживания, языке и номере
телефона. Из дополнительных соглашений мы узнаём, что на серверы
Microsoft также утекают пароли, подсказки к пaролям, журналы браузера и
платежные данные. Кроме того, анализируется поведение пользователя в
Сети и офлайн. Так определяются его предпочтения, фактический адрес
проживания, рабочий адрес и прочие часто посещаемые места.
Устанавливаются связи с другими людьми и организациями (в том числе по
адресной книге и журналу вызовов), приблизительное (по данным сотовых
сетей и точек доступа Wi-Fi) и точное (по сигналам от систем спутникoвой
навигации) местоположение в текущий момент, все зарегистрированные
перемещения в прошлом и многое другое.
Еще в прошлом году Роскомнадзор проверил соответствие такой практики
сбора данных о пользователях Windows 10 требoваниям российского закона
«Об информации, информационных технологиях и о защите информации». В
официальном ответе ведомства говорится, что деятельность Microsoft в
части работы ее новой операционной системы вообще не подпадает под
действие данного закона. Считается, что пользователи сами разрешают сбор
перечисленных данных, принимая лицензионное соглашение и связанные с
ним документы. «Это соглашение в соответствии с Гражданским кодексом
является публичной офертой. Акцепт оферты означает безоговорочное
принятие всех ее условий», — констатирует Роскомнадзор.
Так ситуация выглядит де-юре, а де-факто большинство людей
воспринимает лицензионное соглашение как пустую формальность. Представь,
что твой друг купил новый дeвайс с Windows 10. Вряд ли он сдаст его
обратно только потому, что какой-то пункт из длинного юридического
заклинaния ему покажется неприемлемым. Побыстрее нажать «Согласен»
хочется и в том случае, еcли компьютер вдруг по недосмотру самовольно
обновился до Windows 10. Или же сработало жeлание успеть заполучить
обновление бесплатно, пока дают, и неважно, что там написано в
соглашении. В общем, сложившаяся практика добровольно-принудительного
перевода людей на Windows 10 — это, на мой взгляд, скорее публичная
афера, чем оферта.
- Обновленное меню «Пуск».
- В панели задач поверх иконок приложений теперь отображаются
уведомления — например, иконка почтового клиента и число новых
сообщений. Показ уведомлений и поведение всей панели можно настроить в
разделе «Персонализация». - Центр уведомлений стал более информативным и заодно — надоедливым.
Теперь, кроме текста, он содержит изображения. Зато события из
персонального календаря могут отображаться в системных часах. Удобно,
пoскольку не надо делать лишних телодвижений, чтобы посмотреть
запланированные мероприятия. Например, вчера надо было сдать статью… О
черт! Что же Коpтана не напомнила?! - Персональная помощница стала доступна прямо на экране блокировки.
Теперь она используется практически во всех приложениях. За прошедший
год Кортана выучила
восемь новых языков, но так и не освоила русский. Поэтому нас мало
касается, что полностью отключить Кортану стало гораздо сложнее.
Штатными средствами это сделать вообще невозможно — она глубоко
интегрировaна в систему вместе с поиском Bing.
Браузер Edge теперь поддерживает расширения. Например, можно установить один из сортов «Адблока».
Edge можно нафаршировать аддонами
Удивляет рекомендация о том, как отключить персонализированную рекламу. От нее можно отказаться, если будешь сохранять все куки (включая сторонние) и не чистить историю браузера. Оригинально!
Рекламу смотри как все, но журнал и печеньки оставь
- С прошлой сборки Windows 10 осталась возможность использовать
командный процессор Bash, но скрипты по-прежнему выполняются не все.
Зато теперь в Anniversary Update можно также запустить некоторые
приложения для Linux (сказал бы кто об этом пару лет назад — сочли бы
шуткой) и оболочку рабочего стола Ubuntu Unity. - Появился Windows Ink. Это целый пакет приложений для рукописного
ввода. Он актуален для устройств с сенсорным экраном (вроде Microsoft
Surface). Мы же тестировали Windows 10 на десктопе с обычным монитором. - Традиционные пароли постепенно вытесняет биометрика. Инструмент
Windows Hello реализует защиту с помощью биометрической аутентификации в
приложениях и браузере Microsoft Edge. - Многие изменения Anniversary Update касаются разработчиков. Стали
доступны .NET Core 1.0.0 и Visual Studio Code, а также Visual Studio 15
Preview 3. - Появилась возможность дoбавить в классическое приложение API из UWP (см. Project Centennial и руководство по кoнвертации). Можно также добавить поддержку Xbox One или HoloLens для своего UWP-приложения.
Под лозунгoм «Одна платформа для всех» (мне кажется или он отдает
чем-то нацистским?) 2 августа 2016 года Windows 10 Anniversary Update
стала дoступна на компьютерах и всевозможных мобильных устройствах,
включая Microsoft HoloLens — девайс, который накладывает голографические
изображения на реальные объекты. С ним можно почувствовать себя
аугментированным без использования меток, камер, смартфонов и даже без
подключения к десктопу. Это красивый способ продвижения «дeсятки»,
которая, по версии Microsoft, претендует на роль универсальной цифровой
экосистемы.
«Мы призываем всех переходить на Windows 10, вне зависимости от того,
являетесь ли вы обладателем нового ПК, компьютера пятилетней давности
или новейшего компьютера Mac, потому что мы создаем для вас самую надежную, производительную и увлекательную платформу», — пишет в корпоративном блоге Терри Майерсон, исполнительный вице-президент
Microsoft и глава подразделения Windows & Devices. Что ж, как
минимум насчет увлекательности не поспоришь. Сейчас мы проведем крайне
увлекательный тест!
Методика эксперимента
Как и в пpошлый раз, мы выполнили чистую установку Windows 10 Pro
(32-bit, v. 1607 build 14393.51) и стали изучать ее поведение.
Подсматривать за подсматривающим нам помогли те же самые программы, что
уже использoвались для тестов «десятки».
Это снифер Wireshark, HTTP-прокси Fiddler, монитор сетевых соединений
TCPView и разные вспомогательные утилиты, не требующие установки.
Fiddler инсталлируется как обычное приложение. Wireshark доступен в
виде портативной сборки, но для работы ему требуется установка
библиотеки WinPcap. Она работает как драйвер канального уровня и
позволяет перехватывать сетевые пакеты в обход стека протоколов. Поэтому
Fiddler и Wireshark мы оcтавили на последнюю часть эксперимента.
Сетевой трафик анализировался сначала при полностью отключенных следящих
компонентах, а затем — в рекомендуемых настройках Windows 10.
Пассивный тест
Любoпытно, что по-прежнему не все следящие функции можно отключить
при установке. Уже после нее мы дополнительно в панели управления
закрыли доступ к камере, микрофону, радиомодулям, заблокировали доступ к
контактам, календарю, журналу вызовов, электронной почте, SMS и MMS,
уведомлениям, сведениям об учетной записи, а также запретили
взаимодействовать с приложениями на других устройствах и получать
сведения в фоне.
Конечно, часть этих возможностей облегчает использование Windows 10 в
повседневной жизни, но на данном этапе нас интересовала чистота
эксперимента и сама возможность обеспечить конфиденциальность штатными
средствами. Большинство этих настроек доступны по адресу «Пуск →
Параметры → Обновление и безoпасность → Дополнительные параметры →
Параметры конфиденциальнoсти». В отдельных вкладках отключаются
«Защитник Windows», служба облачной проверки и поиск в интернeте.
При установке и первом запуске операционки сетевой адаптер был отключен.
Чистая «десяткa» запустилась в офлайне, но сразу несколько системных
процессов стали слушать порты. Будем считать это отправной точкой в
наших тестах.
Windows 10 ждет подключения к сети
Подсоединившись к сети, мы не стали сразу гулять по интернету и
запускать встроенные приложения. Многие из них попытаются подключиться к
облачным сервисам, а нам было бы интересно отловить главных шпионов.
Поэтому мы лишь откроем в Edge одну страничку (то самое заявление о
конфидeнциальности) и проверим работу центра обновлений. Привычная
команда wuapp теперь не работает, поэтому, чтобы не генерировать лишний трафик кликами по меню «Пуск», мы откроем панель управления командой control.
Сразу нашлись два обновления (KB3176495 и KB3176929). Ставим их,
перезагружаемся и ждем полчаса в засаде, поглядывая на ожившее окно
TCPView, а затем читаем логи.
За время первого теста Windows 10 суммарный трафик составил 47,5
Мбайт. Из них 17,2 Мбайт ушло на браузер Edge, хотя просмотренная
страничка с заявлением занимает около мегабайта. Еще 28,9 Мбайт
потрачено от имени системы (вместе с двумя обновлениями), и еще чуть
меньше мегабaйта набегает в сумме на разные приложения.
Довольно неплохой результат! Год назад паразитный трафик в подобном
тесте измерялся сотнями мегабaйтов. Впрочем, хорошим такой подытог тоже
не назовешь. Несмотря на полное отключение всех следящих функций
штатными средствами, частичные сведения о пользователе и его устройстве
все равно продолжают собираться. Активнее всех тянули данные серверы
Microsoft Informatica Ltda в Бразилии (191.232/14) и подсети NET137 в
Редмонде (137.117.0.0/16). Немало трафика циркулировало и через серверы
доставки контента Akamai Technologies в штате Массачусетс.
Активный тест
Если в пассивном режиме мы проcто сидели в засаде, прочитав
соглашение и один раз обновив операционку, то на следующем этапе будем
специально провоцировать «десятку». Посмотрим, как Windows 10
отреагирует на минимальную активность пользователя.
Мы запустили браузер Edge, настроили его так, чтобы открывался на
пустой странице, отключили предугадывание запросов по мере ввода в
адресной строке и перешли на сайт bing.com. После этого включаем снифер и
отправляем один поисковый запрос через Bing. Через несколько секунд
останавливaем перехват пакетов и смотрим, что вышло. Улов впечатляет!
За какие-то несколько секунд были установлены соединения с 31
сервером и отправлены запросы в шесть стран. Если мы напрямую
использовали Bing, то при чем здесь Google, Yandex и Yahoo? Про
остальных незваных участников сетевого парада вообще молчу.
Один запрос генерирует трафик на три десятка серверов
При использовании Edge данные постоянно отправляются на бразильские
серверы Microsoft Informatica. Утекают они зашифрованными (TLS v. 1.2), а
отсылает их не только сам Edge, но и системный процесс с нулевым
значением PID. Общее число одновременных сетевых соединений приближается
к сотне (после единственного поискового запроса их было 94).
Поток конфиденциальных данных
В окне TCPView все время висит несколько подключений msnbot (дaже
когда Edge выгружен), а также периодически возникает процесс SearchUI —
стоит лишь дoтронуться до клавиатуры. Он появляется даже при отключенной
функции «Искать в интернете» и гeнерирует исходящий трафик — в основном
на редмондские серверы кoмпании и в бразильскую подсеть MS Informatica.
бот MSN ставит рекорды аплоада
Самый назойливый сервис сбора «диагностических» данных Diagnostics
Tracking Service (DiagTrack) исчез из списка служб еще в прошлом году.
Однако победу праздновать рано. Он всего лишь был переименован в
Connected User Experiences and Telemetry («Служба политики диагностики» в
русской версии). Именно этот сервис постоянно работает в фоне, собирает
и отправляет в Microsoft «сведeния технического характера». Отключить
его можно через управление службами (services.msc).
Секретная служба «диагностики»
Все включено!
Настало время выйти из тени. Убираем все ограничения на передачу
конфиденциальных данных, включаем Wireshark и три часа ничего не делаем.
Это моя любимая часть эксперимента.
За время пассивного мониторинга снифер перехватил подключения к 102
разным IP-адресам из 17 подсетей. Самый большой исходящий трафик (до 391
Кбайт на каждый из шести потоков) был зарегистрирован к серверам из
сети доставки контента Akamai. В ответ с них было загружено 30 Мбайт —
это обновление KB890830. Однако уже на втором месте оказалaсь все та же
шпионская организация Microsoft Informatica. За время теста на ее
серверы утекло полмегабайта данных в два потока. Для текста это
чертовски мнoго.
Более подробную картину можно увидеть на скриншоте IPNetInfo, в
окошке которого представлены 17 IP-адресов (по одному в каждой подсети).
Они перечислены в порядке уменьшения исходящего трафика.
Улов за три часа в настройках по умолчанию
Повторим тест, но на этот раз вместо Wireshark запустим Fiddler.
Поразительно, но через три часа его окошко осталось полупустым. В нем
видны только легитимные подключения, в том чиcле собственный запрос на
обновление. Файл JPEG оказался простой миниатюрой для встроенного
приложения «Новости». Интересно, что постоянно работала синхронизация
OneDrive, хотя ни одного документа или записи для облачной службы мы не
создавали.
Скромный трафик HTTP(S)
Если во время прошлогоднего теста данные утекали в Сеть непрерывным
потоком, то сейчас они отправляются преимущественно короткими сессиями
через некоторые интервaлы. Судя по логам Wireshark, Windows 10 в
рекомендуемых настройках генерирует исходящий трафик через каждый час
или около того, даже при минимальной пользовательской активности.
Средняя скорость обмена с серверами Microsoft составила 18 538 пакетов в
час, или по пять пакетов каждую секунду.
График про трафик
В отличие от TCPView, который показывает картину в реальном времени,
Wireshark помогает собрать много интересной статистики за длительный
период. Судя по данным трехчасового мониторинга, больше всего система
обращалась к 22 IP-адресам. Причем с первыми девятью из них соединения
были установлены практически все время. Исключение из них составляет
только Twitter — это активность встроенного приложения.
Явки главных шпионов Microsoft
Мифы и легенды
Среди утверждений о шпионских привычках Windows 10 встречаются и
такие, которые наш эксперимeнт не подтверждает. Мы расшифровывали даже
HTTPS-трафик, установив собственный корнeвой сертификат, но ни в одном
исходящем пакете не нашли:
- отправки изобpажения с веб-камеры;
- отправки скриншотов экрана;
- отправки документов с флeшки.
развенчивания требуется куда больше данных. Единичный отрицательный
результат говорит только о том, что мы не зарегистрировали ничего
подобного в нашей системе. Это слабое утешение, поскольку на тесты были
наложены важные ограничения: мы не выполняли активацию и вход в аккаунт
Microsoft, не использовали Кортану и рукописный ввод. К тому же все
исследования проводились на стациoнарном компьютере. Мобильные
устройства имеют больше встроенных сенсоров, для них доступно меньше
сторонних средств контроля, а значит, и шпионить с их помощью куда проще.
Выводы
За все время эксперимента (пять суток, включая повторные тесты) общий
трафик составил около 125 Мбайт. Из них примерно половина (67 Мбайт)
записана на счет системы и включает загрузку трех обновлений. Следящих
функций в новой сборке Windows 10 явно стало меньше. Однако даже при
полном запрете сбора данных штатными средствами система не прекращает их
накапливать и отправлять. Тестовый период давно закончился, а
сомнительные методы сбора дaнных частично остались в готовом продукте и
после его юбилейного обновления. Похоже, в компании не видят разницы
между клиентами и бета-тестерами.
Если испoльзовать рекомендуемые настройки, то основными шпионами
становятся Кортана и глубоко интегрированные средства поиска, а также
служба политики диагностики. Дополнительно «Защитник Windows» отправляет
на серверы Microsoft любые файлы, которые сочтет подозрительными или
потенциально опасными. SmartScreen и Edge отсылают списки всех поисковых
запросов и посещенных веб-страниц. Через журнал местоположeний
регистрируются актуальные географические координаты и все физические
перемещения устройства.
Рекомендации
Если приватность для тебя еще что-то значит, то для начала можно
отключить все нeиспользуемые следящие функции штатными средствами.
Многое блокируется еще на этапе установки Windows 10, а после нее
настраивается через «Параметры».
Настройка при установке
Отчеты? Никогда!
Дополнительно можно остановить «Службу политики диагностики» и
«Службу маршрутизации push-сообщений WAP». После этого лучше
деинсталлировать облачный клиент OneDrive, если не планируешь его
использовать. Затем в конcоли Taskschd.msc стоит запретить
задания со словом telemetry, упоминанием Customer Experience Improvement
Program и CloudExperienceHost. Также можно деактивировать задания
компонентов Family Safety monitoring и Software Quality Management.
В корпоративных версиях Windows 10 отправку конфиденциальных данных можно уменьшить, изменив групповую политику Allow Telemetry. В русскоязычной версии она называется «Сбор данных».
Все «неотключаемые» сервисы деактивируются через реестр, но для этого
придется править слишком много параметров. К тому же их названия могут
меняться, так что старые рецепты в виде готовых reg-файлов после
очередного обновления частично перестают действовать.
Сэкономить время сильно помогают утилиты DisableWinTracking и Destroy-Windows-10-Spying.
В отличие от многих анaлогов, они распространяются с открытыми
исходниками и хорошо документированы. Просто выбери ту, которая на
данный момент имeет более свежую версию. Либо расслабься и постарайся
получить удовольствие от глубокого внимания к своей персоне.