Глубокий анализ шпионов Windows 10

Слежка Windows 10

В этой статье мы попробуем разобраться со слежкой и шпионскими замашками Windows 10 и будем проверять что и куда она отправляет.

Выполнив чистую установку сборки Windows 10 10240, мы стали наблюдать за ее сетевым поведением с помощью TCPView. Никаких других действий при этом не выполнялось. Поначалу все было тихо — как в Windows 7 (без обновлений). Лишь фирменный магазин приложений показывал готовность получить данные через сеть доставки контента от Akamai Technologies. Когда уже стало надоедать сидеть в засаде, внезапно ожил системный процесс \Windows\System32\svchost. exe. Он установил подключение к удаленному узлу 191.232.139.254 и отправил на него 7,5 Кбайт.

Слежка windows 10
Затишье перед бурей
Шпионы windows 10
Первый буревестник

Можно было бы конечно через сервис WHOIS узнать принадлежность IP-адреса, но спрашивать Shodan веселее. Как стало ясно из описания, это робот поисковой системы Bing. Если бы в тесте был сделан хоть один поисковый запрос (даже локальный), тогда соединение не вызывало бы никаких возражений. Однако мы просто сидели и смотрели в TCPView на то, как компьютер начинает шпионить за нами.

Подготовка к пакетному шторму

Спящие службы можно ждать долго. Пора пробудить их и проявить немного активности. Нажатие кнопки «Пуск» заставило ожить инфоблоки справа. Появился прогноз погоды, начали отображаться новости и реклама. TCPView показывает, что все это грузится через сеть Akamai и выглядит легитимно. Как только мы запускаем блокнот и начинаем набирать текст, картина сразу меняется.

Шпион Windows 10
BingBot попался
слежка windows 10
Запущен только блокнот

Возникает сразу шесть соединений, которые быстро закрываются, — в сумме уходит чуть больше сотни пакетов. Отключив функцию «искать в интернете», мы оставили только локальный поиск Windows. Снова запустили блокнот и начали набирать произвольный текст. Все равно появился процесс SearchUI и стал передавать данные в Сеть.

Шпионаж Windows 10
Поиск в интернете отключен

Наверное, мы как-то не так поняли «Заявление о конфиденциальности». Посмотрим его еще раз. Это простая текстовая страничка, которая открывается в браузере Edge. Какой она может создать трафик? Примерно такой, как на картинке.

Шпионаж windows
Открыта одна страница в браузере

Перечень соединений настолько быстро обновлялся, что просто так и не уследишь. Поэтому мы приступили ко второй части исследования. Закрыли все приложения, поставили снифер Wireshark и записали активность Windows за полчаса. Чтобы сымитировать хоть какую-то деятельность, мы просто смотрели некоторые настройки в панели управления, но не меняли их.

телеметрия windows 10
Windows передает непрерывно — неважно, делаешь что-то или нет
телеметрия windows
За полчаса нашего бездействия Windows успела разослать отчеты по всему свету

За полчаса в Сеть ушло около восьми тысяч пакетов. Как показало изучение логов, большинство соединений устанавливалось по адресам в пределах одной из крупных подсетей. У принадлежащих им айпишников часто менялись два-три последних октета. Это говорит о том, что Microsoft развернула огромную сеть для обработки всей стекающейся от пользователей Windows информации. Если отсеять однотипные адреса, то в сухом остатке получится подборка, как на картинке.

В глаза бросается бразильский сервер, это очередной BingBot (возможно, какой-то особо специализированный), но вопросы вызывает далеко не только он. Например, какого черта выполнялось соединение с сервером Facebook в Нидерландах? Кто просил подключаться к облачному хранилищу CloudFlare? Ни одного файла еще не создано. Даже учетная запись Microsoft не была активирована.

Продолжение следует…

ВКонтакте
OK
Telegram
WhatsApp
Viber

14 комментариев

  1. Souch

    Всё очень печально, но с другой стороны хочу сказать Microsoft спасибо, они таки вынудили меня перейти на Linux. Как мне показалось ситуация в линуксе сейчас лучше чем была в 2010 (когда я безуспешно пытался в первый раз) Из нужного мне софта очень не хватает только фотошопа, для многих это камень преткновения при переходе, но Adobe не будут портировать свой софт пока не увидят достаточный рынок на этой платформе, поэтому первый шаг на встречу всё равно придется делать пользователям.

    • 4х4

      Полностью согласен. Уже начал осваивать Linux.

  2. Sys

    А где глубокий анализ? Тут даже простого анализа не видно. Например какие данные конкретно отправляются?

  3. Aleks

    Здравствуйте, я занимаюсь видеосъемкой и монтажом, соответственно пользуюсь Windows. Прочитав ваш сайт, подумываю снести винду, стереть учетки и поставить все заново. Но какие действия потом нужно выполнить для безопасности? Какие программы поставить в хронологии? Какие службы отключить?

    • Mark

      Просто отключи обновления и все

    • BigBrother

      у вас ведь наверняка есть смартфон. поэтому описаные вами выше действия теряют всякий смысл.

  4. вася

    тестирнули бы утилиты по отключению шпионажа заодно. насколько они эффективны?

  5. Falcon

    Я бы не рекомендовал в данный момент переходить на Windows 10. Если вы на Windows 7 может быть спокойны — это неплохая ОС, которая как преданный пес, будет еще долго радовать своих хозяев смотрящих на шпионство и слежку Windows 10.

  6. Андрей

    Состав пакетов в студию. Сейчас статья для дебилов.

  7. ejik

    Не у видел повода так параноить, и названия статьи не соответствует. Глубину анализа не увидел, так поверхностно пробежали по дампу, какой объем и на какие ресурсы отправляются. Чтобы говорить о слежке нужно явное доказательства, а то что в сеть уходят пакеты не понятного содержания — ну и что? Вот как только опубликуете что именно в этих пакетах отправляется, тогда и можно говорить о слежке или не слежке.

  8. Олег

    Нет тут паранойи. Тупой сбор данных и их отправка. Очевидно же.

    У меня на роутере, к сожалению, нет подробной статистики пакетов — показывает только сколько информации передаётся, но не показывает куда.

    Так вот — каждые 5 секунд, вне зависимости того, делаю я что-то или нет на ПК, хвалёная 10-ка отправляет около 10 000 байт информации, то есть около 117 Кбайт в минуту.

    С ПК на Виндоус 7 — ноль байт переданной информации. Виндоус 10 заботится о нас.

    Выводы делайте сами.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *