- •Лекция 7. Защита пользователя от утечек информации при работе в операционных системах
- •1. Протоколирование действий пользователя в операционных системах
- •Основной перечень данных, которые накапливаются при работе пользователя в операционных системах
- •Журналы событий в Windows
- •Свойства событий
- •2. Официальные утечки в операционных системах Специальные коды доступа для спецслужб
- •Официальная слежка за пользователем
- •Скрытая функция в Windows 8 под названием Windows SmartScreen
- •3. Защита операционных систем от утечек информации
- •«Заморозка» на время работы пользователя
- •Применение портативного программного обеспечения
- •Признаками, по которым приложение можно отнести к классу ппо, являются:
- •Классификация пПо по назначению:
- •Применение сетевых экранов
- •Разновидности сетевых экранов
- •Типичные возможности сетевого экрана
- •Защита компьютера пользователя от вредоносного программного обеспечения.
- •Очистка операционной системы от следов работы пользователя
- •Источники информации для самостоятельной подготовки:
2. Официальные утечки в операционных системах Специальные коды доступа для спецслужб
Неосторожная ошибка программистов Microsoft показала, что специальные коды доступа, подготовленные агентством национальной безопасности США тайно встроенны в Windows. Доступ к системе встроен в каждую версию операционной системы Windows, которая в настоящее время используется [64].
В рамках программного обеспечения Microsoft организован доступ исходным кодам, что делает его легким для модификации и без ведома даже соответствующих продакт-менеджеров.
Выводы исследователей неутешительны. В результате имея доступ к открытому коду операционной системе Windows “заключается в том, что это чрезвычайно облегчить для АНБ для загрузки несанкционированного ПО на все копии Microsoft Windows и как только это ПО будет загружено, оно может эффективно нарушить безопасность всей операционной системы.
Официальная слежка за пользователем
Операционная система Windows 10 собирает и отправляет в Microsoft все нажатия клавиш. Кроме этого, она отправляет адрес электронной почты пользователя, информацию о его предпочтениях и интересах, историю телефонных звонков и даже текст SMS [65].
Опции отключения передачи данных и остановки тотального контроля за пользователем нет.
Информация о том, что Windows 10 собирает данные о пользователях, не нова. Еще в 2014 году компания Microsoft опубликовала заявление о конфиденциальности, из которого следует, что на ее серверы может передаваться информация об использованных программах, устройстве и сетях, в которых они работают. Эти данные могут объединяться с идентификатором пользователя (учетная запись Microsoft), также собирается информация об адресе электронной почты, предпочтениях, интересах местоположении, и многом другом:
В официальном тексте лицензионного соглашения на использование Windows 10 Preview. указывается, что пользователь дает право Microsoft собирать данные о нем, а Microsoft использует персональные данные для повышения качества своей продукции:
«Microsoft collects information about you, your devices, applications and networks, and your use of those devices, applications and networks. Examples of data we collect include your name, email address, preferences and interests; browsing, search and file history; phone call and SMS data; device configuration and sensor data; and application usage».
Перевод: «Microsoft собирает информацию о вас, ваших устройствах, приложениях, сетях и о том, как вы используете эти устройства, приложения и сети. Собираемые данные содержат ваше имя, адрес электронной почты, предпочтения и интересы (историю поиска в браузере и по файлам), информацию о звонках, SMS, данные сенсоров и т.п.»
Расследование ИТ-специалистов, по сбору данных в Windows 10 показало, что наиболее активным «сборщиком» данных в новой ОС является голосовой помощник Cortana [114]. Эксперимент чешского исследователя показал, что все голосовые запросы, переданные в динамик устройства, Windows 10 отправляет на следующие серверы:
vortex.data.microsoft.com, vortex-win.data.microsoft.com, telecommand.telemetry.microsoft.com, telecommand.telemetry.microsoft.com.nsatc.net, oca.telemetry.microsoft.com, oca.telemetry.microsoft.com.nsatc.net, sqm.telemetry.microsoft.com, sqm.telemetry.microsoft.com.nsatc.net, watson.telemetry.microsoft.com, watson.telemetry.microsoft.com.nsatc.net, redir.metaservices.microsoft.com, choice.microsoft.com, choice.microsoft.com.nsatc.net, df.telemetry.microsoft.com, reports.wes.df.telemetry.microsoft.com, wes.df.telemetry.microsoft.com, services.wes.df.telemetry.microsoft.com, sqm.df.telemetry.microsoft.com, telemetry.microsoft.com, watson.ppe.telemetry.microsoft.com, telemetry.appex.bing.net, telemetry.urs.microsoft.com, telemetry.appex.bing.net:443, settings-sandbox.data.microsoft.com, vortex-sandbox.data.microsoft.com, survey.watson.microsoft.com, watson.live.com. watson.microsoft.com, statsfe2.ws.microsoft.com, corpext.msitadfs.glbdns2.microsoft.com, compatexchange.cloudapp.net, cs1.wpc.v0cdn.net, a-0001.a-msedge.net, statsfe2.update.microsoft.com.akadns.net, sls.update.microsoft.com.akadns.net, fe2.update.microsoft.com.akadns.net, diagnostics.support.microsoft.com, corp.sts.microsoft.com, statsfe1.ws.microsoft.com, pre.footprintpredict.com, i1.services.social.microsoft.com, i1.services.social.microsoft.com.nsatc.net, feedback.windows.com, feedback.microsoft-hohm.com, feedback.search.microsoft.com, rad.msn.com, preview.msn.com, ad.doubleclick.net, ads.msn.com, ads1.msads.net, ads1.msn.com, a.ads1.msn.com, a.ads2.msn.com, adnexus.net, adnxs.com, az361816.vo.msecnd.net, az512334.vo.msecnd.net.
Информация отправляется на указанные серверы один раз в 15 минут (примерно по 80 мегабайт). Это слишком много для метаданных, поэтому он предположил, что сначала Cortana преобразовывает голосовые записи в текст, а затем отправляет на серверы Microsoft еще и wav-файлы с голосом (включая записи разговоров через SIP). Собранная текстовая информация хранится внутри встроенного в Cortana блокнота.
Если запретить коммуникацию с серверами из списка выше через файл hosts, то в дальнейшем программа будет выдавать ошибки. При этом Cortana продолжает работать в фоновом режиме, даже если ее отключить в настройках.
Если пользователь отключит функцию поиска в интернете из меню «Пуск», осуществление такого поиска все равно приведет к отправке запроса на сервер Bing, который вернет файл threshold.appcache, в котором также содержится некая информация Cortana, включая ID-устройства, который сохраняется при перезагрузке.
Для того, чтобы передавать меньше персональных данных, пользователь может не связывать Windows 10 с учетной записью Microsoft. В таком случае Cortana не будет работать, но поиск будет функционировать.
Также ОС отслеживает поисковые запросы пользователя, анализирует почтовую переписку, чтобы узнать предпочтения и расписание владельца компьютера. Кроме того, данные также передаются и поисковому движку Bing. Собранная текстовая информация хранится во временных файлах, которые один раз в 30 минут передаются на следующие серверы:
oca.telemetry.microsoft.com.nsatc.net, pre.footprintpredict.com, reports.wes.df.telemetry.microsoft.com.
Сервер телеметрии собирает информации о географическом положении, IP-адресе. Footprintpredict передает данные движку Bing. При этом используется не только информация, введенная непосредственно в браузере, но и, к примеру, взятая из чатов — Windows 10 может «перехватывать» ввод любого установленного приложения. Таким образом, если пользователь в разговоре в мессенджере упомянет о том, что собирается в отпуск, после в браузере Edge ему будет показываться соответствующая реклама. Поскольку перехватывается ввод с клавиатуры, то даже при общении через защищенные мессенджеры, операционная система может видеть, что вводит пользователь (но не видит, что ему прислали в ответ).
В Windows 10 есть еще одна интересная особенность — если где-либо в операционной системе напечатать название известного американского фильма, то система осуществляет соответствующий поиск на жестком диске и индексирует медиафайлы. Индексный файл затем отправляется на серверы Microsoft:
df.telemetry.microsoft.com, reports.wes.df.telemetry.microsoft.com, cs1.wpc.v0cdn.net, vortex-sandbox.data.microsoft.com, pre.footprintpredict.com.
При этом, названия фильмов других стран не приводили к подобной активности операционной системы, также система не изучает содержимое файлов, поэтому если назвать файл с фильмом любым другим словом, то он не будет проиндексирован. Эта функциональность в будущем может быть использована для поиска контрафактного контента на компьютере пользователя или создания таргетированных рекламных объявлений о покупке фильмов.
Веб-камера тоже передает данные. После активации Windows 10 и после первого запуска веб-камеры она отправляет около 35 мегабайт данных на следующие серверы:
ca.telemetry.microsoft.com, oca.telemetry.microsoft.com.nsatc.net, vortex-sandbox.data.microsoft.com, i1.services.social.microsoft.com, i1.services.social.microsoft.com.nsatc.net.
Учитывая, что Windows 10 — это система, применяющаяся во многих даже самых крупных международных компаниях, подобная функциональность потенциально может приводить к утечке важных данных. Все данные, передающиеся на серверы Microsoft, зашифрованы, поэтому понять, что конкретно отправляет система без необходимости взлома шифрования, просто невозможно.