Правда ли что виндовс 10 шпионит за пользователями
Заблокировать слежку со стороны Windows 10 очень непросто, считает специалист по безопасности
Неделю назад независимый специалист по безопасности Марк Бёрнетт (Mark Burnett) опубликовал результаты небольшого некорректного расследования настроек безопасности в Windows 10 Enterprise. Система установлена у него в виртуальной машине под Linux исключительно в исследовательских целях, с минимальным набором софта и удалёнными всеми дефолтными приложениями Windows Store.
Эти результаты вызвали бурную дискуссию в твиттере, потому что они дают понять, что ОС как будто игнорирует некоторые настройки, установленные пользователем — и всё равно соединяется с различными следящими серверами и отправляет туда какие-то данные. Первый тест Бёрнетта с результатами, опубликованными в твиттере, был проведён с ошибками. На самом деле есть способ получше ограничить телеметрию. Но полностью избавиться от сбора данных в Windows 10 вообще невозможно.
Марк Бёрнетт — хакер и исследователь, а не системный инженер Microsoft, хотя он написал книгу по безопасности ASP.NET, семь раз получал титул Most Valuable Professional (MVP) от компании Microsoft, занимался техподдержкой Windows и эксклюзивно пользовался только этой ОС на десктопе около 25 лет, пока не вышла Windows 10 с резким изменением политики Microsoft по массовому сбору персональных данных пользователей.
Можно сослаться на официальное руководство Microsoft по управлению соединениями в Windows 10, но всё равно мнение Бёрнетта нельзя назвать неквалифицированным. В самом деле, с групповыми политиками Windows 10 не всё так просто.
На первом скриншоте видно, что SmartScreen в системе отключен, но Windows 10 всё равно подключается к серверам SmartScreen от Microsoft. Отключить телеметрию в Windows 10 тоже не так просто. Просто изменить две групповые политики недостаточно. На скриншоте видно, что ОС всё равно отправляет данные в Microsoft, несмотря на явное двукратное указание этого не делать в групповых политиках и пару изменений в реестре.
Все соединения блокировались файрволом маршрутизатора, на скриншотах показаны лишь заблокированные попытки Windows 10 соединиться с различными хостами. Поэтому неизвестно, какие пакеты она могла туда передавать. Например, в случае телеметрии и др.
То же самое с настройками синхронизации, которые предполагают соединение с серверами Microsoft. В групповых политиках отключены все связанные с этим политики, но Windows 10 всё равно соединяется. То же самое с настройками сообщений об ошибках, политиками онлайновой валидации акккаунтов (AVS) в клиенте службы управления ключами (KMS).
Специалист постарался изменить все системные настройки, чтобы блокировать любое подключение с серверами Microsoft, кроме получения обновлений, но всё равно зарегистрировал множество соединений с серверами, явно имеющими рекламное и следящее предназначение.
Что характерно, согласно файрволу Glasswire, все эти рекламные хосты относятся к системным процессам Microsoft, так что их не спишешь на сторонний софт (кстати, это действительно хороший файрвол для Windows и Android, бесплатный и удобный в использовании).
Марк Бёрнетт делает вывод, что Windows 10 как будто не уважает свои собственные групповые политики. Вероятно, некоторые типы соединений можно заблокировать с помощью изменений в реестре — конечно же, это недокументированные ключи в реестре. То есть нельзя гарантировать, что вы найдёте все без исключения необходимые ключи.
Сам Бёрнетт признаёт, что первый тест не был абсолютно чистым. В последующем блог-посте он рассказал о повторном более тщательном тесте и объяснил методологию тестирования. Повторный тест всё равно показал неприятную активность Windows 10, хотя и в меньшем количестве. Например выяснилось, что для блокировки SmartScreen нужно изменить не две настройки, как сделал Бёрнетт, а больше:
Есть ряд приложений, которые помогают справиться со шпионажем со стороны Microsoft и блокировать соединения, которые Windows 10 устанавливает с удаленными серверами в обход системных настроек и которые нельзя или очень трудно блокировать иными способами. Собственно, сам факт наличия таких приложений уже указывает на наличие проблемы. Люди бы не создавали такие программы и не пользовались ими, если бы слежка в Windows 10 отключалась тривиальными методами. В качестве примера антишпионской программы, которая «затыкает» ненужные соединения в Windows 10, можно порекомендовать ShutUp 10. Сам Бёрнетт тоже использовал её на тестовой машине. Но как видно, даже антишпионский софт не помогает.
P. S. Некоторые эксперты рекомендуют для отключения телеметрии в групповых политиках не останавливать сервис, как сделал Бёрнетт, а запускать сервис с параметром 0, вот таким способом:
Это может показаться контринтуитивным, но так действительно может появиться возможность заблокировать соединения со следящими серверами Microsoft, которые не блокируются при обычной остановке сервиса телеметрии.
Windows 10 следит за пользователем, даже если все сетевые службы отключены
Linux для хакера
О том, как отключить слежку в Windows 10, написано множество статей и мануалов, а также для этого созданы специальные утилиты. Мы тоже рассказывали на страницах ][ о том, куда «стучит» Windows 10 и как это прекратить. Но, как показывает практика, новую ОС Microsoft не может остановить ничто. Даже когда все функции мониторинга выключены, Windows 10 выходит на связь более 5500 раз в день.
Эксперимент провел пользователь ресурса Voat.co, известный под ником CheesusCrust. Исследователь взял ноутбук, работающий под управлением Linux, запустил на нем виртуальную машину с Windows 10 Enterprise и подключил систему к роутеру, работающему на базе DD-WRT, чтобы иметь возможность мониторить трафик.
Перед началом опыта CheesusCrust отключил все известные функции, отвечающие в Windows 10 за сбор данных и показаний телеметрии. По сути, дав операционной системе команду, не отслеживать ничего, он оставил ноутбук включенным на всю ночь, а сам отправился спать.
Спустя 8 часов, исследователь проснулся и решил проверить, как продвигается его опыт. Оказалось, что за это время Windows 10 устанавливала соединение с 93 разными IP-адресами более 5500 раз. При этом почти 4000 соединений были адресованы серверам Microsoft, им принадлежал 51 IP-адрес из списка.
CheesusCrust не стал прерывать эксперимент, в итоге ноутбук проработал около 30 часов. За это время Windows 10 расширила список адресов, с которыми общалась: их стало 113.
Удивленный результатом исследователь решил попробовать «отключить слежку» другим путем: к вышеозначенному сетапу добавилась известная опенсорсная утилита DisableWinTracking. Ноутбук проработал в таком режиме еще 30 часов и в итоге показал результат в 2758 соединений на 30 разных IP-адресов.
Отдельно стоит отметить, что для опыта CheesusCrust использовал Windows 10 Enterprise, а эта версия ОС дает пользователю куда больше контроля и свободы, чем стандартная Windows 10 Home Edition.
Правда ли что виндовс 10 шпионит за пользователями
Микрофон в Windows 10 включен постоянно. Сначала высказывались предположения, что это необходимо для работы сервиса Cortana (голосовой помощник), но чуть позже стало известно, что отключение Cortana не решает проблему. Записи голоса пользователя могут накапливаться, какая-то часть из них отправляется на сервера Microsoft.
Фантастическая по своей потенциальной небезопасности функция, которая даже не скрывается компанией-разработчиком.
Телеметрия — это передача данных в Microsoft о состоянии вашего компьютера и вашей активности. Собирается буквально всё: какие программы установлены, какие запущены, объем занятой памяти, журналы приложений, фрагменты оперативной памяти и так далее. Учитывая, что в оперативной памяти может оказаться что угодно — от данных для служебного пользования до номеров кредиток — такая передача на чужие сервера является потенциальной уязвимостью. Хотя в Microsoft уверяют, что данные надежно шифруются, кто может гарантировать, что шифр не будет тайком взломан злоумышленниками? Ведь всем известно, что у Microsoft всегда были большие проблемы с безопасностью. Точнее, с устойчивой неспособностью эту безопасность обеспечить.
Данные по телеметрии передаются на следующие сервера:
Windows 10 просматривает названия пользовательских файлов и сверяет с постоянно обновляемым списком пиратских новинок. Если находятся соответствия, листинги пользовательских директорий отправляются в Microsoft. Фактически, компьютер доносит на своего же владельца.
Напомним, данные об антипиратской активности Windows 10 были известны давно. Но предполагалось, что акцент будет сделан на борьбе с контрафактными играми. Сейчас становится понятно, что главная цель — лишить пользователей возможности скачивать с торрентов пиратские копии американских фильмов и сериалов.
Особо следует отметить, что сопоставление данных о наличии нелицензионного видео на компьютере пользователя с собранными геолокационными данными открывает отличную возможность для MPAA (Американская ассоциация кино) и RIAA (Американская ассоциация звукозаписи) отсудить у какой-нибудь американской домохозяйки очередную пару миллионов долларов. Российским пользователям, похоже, пока бояться нечего: система срабатывала только при обнаружении американских фильмов.
Некоторые пользователи заметили, что после первой активации Windows 10 на короткий период включается web-камера. Исследования это подтверждают — в Microsoft передается 35 Мб данных сразу после активации и включения встроенной камеры. Предположительно, данные привязываются к пользовательскому аккаунту Microsoft.
В ответ на обвинения в сборе информации, корпорация Майкрософт предоставила следующий комментарий:
Windows 10 позволяет пользователям самим выбирать, как будет использована их информация, чтобы они получали максимально персонализированные сервисы. В новой ОС им предлагается несколько вариантов настроек управления данными пользователя, и пользователь может регулировать их в любое время.
Что делать в такой ситуации пользователю? Значительная часть пользователей вообще ничего не будет предпринимать. Другая часть постарается минимизировать отправку нежелательной информации со своего компьютера. Третья часть постарается полностью отключить, или удалить из системы все, что представляется теоретически опасным. В этом случае, я подозреваю, что после своих действий, они будут иметь на своем компьютере Windows 7, которая будет работать в интерфейсе Windows 10.
Отключение служб которые отвечают за сбор информации необходимо начинать ещё на этапе установки операционной системы.
Шаг 1. Самостоятельно настраиваем параметры Windows 10 при установке.
Когда установщик подойдёт к этому этапу, выбираем пункт «Настройка параметров».
Первый экран будет выглядеть вот так:
Здесь Microsoft открыто предлагает согласиться с тем, что она будет собирать о вас так много личной информации, как только может. Разумеется, с благими целями, вроде «персонализации» и «улучшения».
Второй экран выглядит — так:
Здесь более «технические» настройки, которые касаются браузера, а также отправки сообщения об ошибках. Особое внимание обращают на себя настройки Wi-Fi, которые позволят вашей машине автоматически подключаться к беспроводным сетям людей из ваших контактов. Это может выглядеть привлекательно — пришел в офис к клиенту и «автоматом» подключился к его Wi-Fi-сети — но это настолько грубое нарушение правил безопасности при использовании Wi-Fi, что просто захватывает дух.
По большому счету у вас нет ни одной причины оставлять хоть что-то включенным на этих двух экранах. Особенно, если вы смотрите на них и говорите себе: «я в этом ничего не понимаю». Не понимаете — выключайте, хуже не будет.
Шаг 2. Не создаём и не пользуемся учётной запись Microsoft.
Когда установщик подойдёт к этому этапу, выбираем пункт «Пропустить это шаг». В дальнейшем пользуемся только локальной учётной записью.
Установленная таким образом операционная система передает минимальные данные о пользователе на серверы Microsoft.
Если же операционная система Windows 10 уже была установлена, то и в этом случае можно минимизировать набор сведений, которые передаются в Microsoft.
Все экспресс-настройки, предложенные при инсталляции, можно отключить в настройках уже установленной Windows 10. Но не только их — настроек, как таковых, там гораздо больше. Их там ровно 12 экранов! И если вы настоящий параноик, через всех них придется пройти.
Шаг 3. Изменяем настройки конфиденциальности.
В данном разделе необходимо пройтись по всем подразделам и выключить все, что считаем нужным. Переходим в «Параметры», далее открываем раздел «Конфиденциальность» и переходим в первый пункт «Общие».
В этом разделе первым пунктом идет отключение рекламного идентификатора. Здесь же можно заблокировать работу URL-фильтра SmartScreen, который проверяет репутацию веб-адресов, а также отсылку образцов рукописного почерка, который предполагается использовать для распознавания рукописного ввода. Может, кому-то и это покажется опасным с точки зрения конфиденциальности.
К рекламной части операционной системы можно отнести и контроль расположения пользователя, который может использоваться для целенаправленной рекламы и поиска ближайших магазинов или кафе, но для некоторых выглядит подозрительно. Его также можно отключить во вкладке «Конфиденциальность» в разделе «Расположение»
В «Журнале сведений о расположении» нажмите на кнопку «Очистить» для того, чтобы очистить журнал на этом устройстве.
В этой же вкладке «Конфиденциальность» но в разделе «Речь, рукописный ввод и ввод текста» можно отключить пересылку образцов речи в Microsoft, которые предполагается использовать в Cortana для распознавания речи пользователей. Как и на других платформах, распознавание речи в Windows 10 — обычный сервис, который требует пересылки данных на сервера распознавания.
Шаг 4. Изменяем настройки безопасности.
Переходим в «Параметры», далее открываем раздел «Обновление и безопасность», подраздел «Защитник Windows» и отключаем облачную защиту и функцию отправки образцов вредоносных программ.
Впрочем, защитник Windows автоматически выключается при установке любого другого антивирусного продукта — такой способ отключения защитника будет даже более предпочтительным, хотя собираемые альтернативным продуктом данные будут также оседать в соответствующих исследовательских лабораториях.
Во вкладке «Центр обновления Windows» нажмите на «Дополнительные параметры», а затем на «Выберите, когда и как получать обновления». Здесь вы можете отключить обновление своего компьютера из нескольких мест в интернете. При включенном параметре, ваш компьютер также будет участвовать в обмене данными с другими компьютерами.
Майкрософт использует для обновления Windows механизм, который работает по типу торрентов по протоколу P2P. В этом случае, происходит обмен данными между компьютерами в сети, таким образом, обеспечивается более быстрое обновление системы и ее компонентов.
Шаг 5. Отключаем Cortana и поиск в Интернет.
Наверное, одной из наиболее интересных возможностей Windows 10 является Cortana — ответ Microsoft на проекты Apple Siri и Google Now. Cortana — это «первая в мире» цифровая помощница, способная помочь пользователям во многих задачах. Чем больше она узнает о Вас, тем лучше она будет понимать Вас, и тем более эффективно она сможет Вам помочь.
Собственно, помощник в русскоязычной версии выключен, тем не менее операционная система может собирать необходимые ему сведения, поэтому стоит проверить настройки конфиденциальности, связанные с этим компонентом. Однако его настройки находятся рядом с настройками интеллектуального поиска, которые находятся через поле поиска в панели задач. Нужно щелкнуть по нему, а в открывшемся окне перейти на вкладку с шестеренкой («Настройки»). В открывшемся окне можно выключить как Cortana, так и интеллектуальный поиск, отсылающий множество информации в поисковую систему Microsoft.
Шаг 6. Отключаем телеметрию.
Данное отключение мы будем производить путём ввода директив в командную строку, запущенную с правами администратора. Воспользуемся сочетанием клавиш Win + X или выбрав соответствующий пункт в меню Пуск. Вводим по очереди приведённые ниже команды.
sc delete DiagTrack
sc delete dmwappushservice
reg add «HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection» /v AllowTelemetry /t REG_DWORD /d 0 /f
Напомним, что после ввода каждой из них необходимо нажимать клавишу Enter.
Шаг 7. Настраиваем браузер Edge.
В открытом браузере переходим в меню «Дополнительные действия» — «Настройки» — «Посмотреть дополнительные параметры» и включаем переключатель для отправки HTTP-заголовков «Do Not Track», которые позволяют обойти слежку со стороны сайтов за действиями пользователя, а также выключаем переключатели «Отображать предложения поиска по мере ввода», «Использовать прогнозирование страниц», «SmartScreen».
Шаг 8. Преобразуем учётную запись Microsoft в локальную.
По умолчанию Microsoft соблазняет вас использованием учетной записи, заведенной на ее серверах. Мол, так можно обеспечить синхронизацию. Это может быть полезно, если у вас есть второй компьютер под управлением Windows 8 или Windows 10, а также смартфон под Windows Phone. Если же ничего такого нет, то у вас ровно ноль целых, ноль десятых причин использовать аккаунт Microsoft. Просто потому, что с его помощью Microsoft активно «высасывает» с машины только она одна знает какую вашу персональную информацию.
Поэтому пройдите в раздел учетных записей и заведите себе локальный аккаунт, который не будет синхронизироваться с серверами Microsoft и не станет собирать ваши данные с неизвестными нам и вам целями.
Для этого необходимо зайти в «Параметры», раздел «Ваша учётная запись» и кликнуть на «Войти вместо этого с локальной учётной записью» после чего выполнить вход согласно инструкций.
Если же каким-нибудь сервисом все-таки необходимо пользоваться, например, для хранения документов, то можно хотя бы отказаться от автоматической синхронизации данных с облаком Microsoft. Для этого в разделе Параметры > Учетные записи > Синхронизация в пункте «Как работает синхронизация?» перевести переключатель в положение «Откл.»
После этих изменений, вы несколько уменьшите слежку со стороны Майкрософт за своим компьютером. Теперь с вашего компьютера будет передаваться значительно меньшее количество данных на удаленные сервера корпорации.
Тайная жизнь Windows 10. О чем Windows 10 стучит в Microsoft и как заставить ее прекратить
Содержание статьи
С момента своего появления Windows был естественной средой обитания зловредов всех мастей. Похоже, новая версия этой операционки сама стала одним из троянов. Сразу после установки чистая система ведёт себя подозрительно. Данные рекой льются на десятки серверов Microsoft и партнерских компаний. Мы решили разобраться с жалобами на шпионские замашки «Десятки» и узнали, что и куда она отправляет.
WARNING
Microsoft > NSA
Первые сообщения о странном поведении Windows 10 появились ещё на этапе знакомства с Technical Preview. Значительный трафик в ней создаётся постоянно – даже когда не запущено ни одно приложение для работы в сети. Тогда такое поведение списывали на сбор статистики, необходимой для отладки. В Microsoft изучали поведение нового продукта на разных конфигурациях, а пользователи играли роль бета-тестеров. Вроде бы, всё логично. Однако с выходом релиза ничего не изменилось, и жалоб стало только больше.
«В прошлые выходные я обновил Windows 8 на лэптопе моего сына до Windows 10. Сегодня в первый рабочий день мне пришло письмо из Microsoft с темой «Еженедельный отчёт об активности». В нём были подробнейшие сведения о действиях сына за ноутбуком: когда и сколько он за ним сидел, какие приложения использовал и как долго, что искал в сети, какие сайты посещал, и многое другое. Я был крайне возмущён, поскольку не собирался следить за своим ребенком. В Microsoft мне ответили, что если я не хочу получать подобных писем, то мне следует указать это в настройках семейного аккаунта через свою учетную запись. В Windows 8 такой проблемы не было». Это отрывок из письма друга известного писателя и активиста Кори Доктороу, опубликованное в блоге Boing Boing. Многие обозреватели утверждают, что эти сведения о пользователях по-прежнему собираются — независимо от настроек аккаунта. Если что-то и можно отключить, то это отчеты, которые приходят на почту.
Заявление об отсутствии конфиденциальности
Xakep #200. Тайная жизнь Windows 10
Самое интересное, что сбор различной информации встроенными средствами Windows 10 подробно описан в «Заявлении о конфиденциальности». Конечно, большинство не станет его читать, а среди ознакомившихся будет много недоумевающих. Формулировки в объёмном тексте используются хитрые и размытые. Из них трудно понять, что именно изменится в плане приватности с переходом на Windows 10. Если кратко, то о ней можно будет забыть. Правозащитники сходятся во мнении, что система сразу начинает собирать все данные, которые только может получить. Вот список их основных типов.
Перечень можно продолжить, но и такого набора достаточно, чтобы начать собственное исследование. Забегая вперед, отметим, что часть обвинений в адрес Windows 10 все-таки не подтвердилась. Например, чешское издание AE News предполагает, что ОС выполняет отправку изображения с веб-камеры на серверы Microsoft. В нашем тесте система отреагировала на подключение камеры лишь установкой драйверов – никаких посторонних действий с ней зарегистрировано не было ни сразу, ни потом.
Наблюдение за наблюдателем
Привычных инструментов в арсенале хакера предостаточно для изучения любого софта. Тестовый комп с чистым SSD, виртуальная машина, сниффер Wireshark, HTTP-прокси и дебаггер Fiddler, монитор сетевых соединений TCPView, а также программы для создания снимков реестра и мелкие вспомогательные утилиты. Мы старались использовать версии, не требующие установки. Исключение составили только Wireshark и Fiddler из-за специфики их работы. Эти программы оставили напоследок, чтобы большая часть тестирования выполнялась на совершенно чистой системе. Сетевой трафик анализировался как в настройках Windows 10 по умолчанию, так и после поэтапного отключения всех следящих функций.
Из официальных документов следует, что за пользователем следят: сама Windows, глубоко интегрированный поиск Bing, голосовой помощник Cortana, служба MSN, пакет Office, клиент облачного хранилища OneDrive, почтовый клиент Outlook, а также Skype, Silverlight и Xbox Live. Подробнее об этом написано на сайте Microsoft. Посмотрим, как именно происходит сбор данных.
Первый старт Windows 10
Выполнив чистую установку сборки 10240, мы стали наблюдать за её сетевым поведением с помощью TCPView. Никаких других действий при этом не выполнялось. Поначалу всё было тихо — как в «Семерке». Лишь фирменный магазин приложений показывал готовность получить данные через сеть доставки контента от Akamai Technologies.
Затишье перед бурей
Первый буревестник
Можно было узнать принадлежность IP-адреса через сервис WHOIS, но спрашивать Shodan информативнее.
Как стало ясно из описания, это робот поисковой системы Bing. Если бы в тесте был сделан хоть один поисковый запрос (даже локальный), тогда соединение не вызывало бы никаких возражений. Однако мы просто сидели и смотрели в TCPView на то, как компьютер начинает шпионить за нами.
Подготовка к пакетному шторму
Спящие службы можно ждать долго. Пора пробудить их и проявить немного активности. Нажатие кнопки «Пуск» заставило ожить инфоблоки справа. Появился прогноз погоды, начали отображаться новости и реклама. TCPView показывает, что всё это грузится через сеть Akamai и выглядит легитимно. Как только мы запускаем «Блокнот» и начинаем набирать текст, картина сразу меняется.
Запущен только «Блокнот»
Возникает сразу шесть соединений, которые быстро закрываются, — в сумме уходит чуть больше сотни пакетов. Отключив функцию «искать в интернете», мы оставили только локальный поиск Windows. Снова запустили «Блокнот» и начали набирать произвольный текст. Всё равно появился процесс SearchUI и стал передавать данные в сеть.
Поиск в интернете отключен
Наверное, мы как-то не так поняли «Заявление о конфиденциальности». Посмотрим его ещё раз. Это простая текстовая страничка, которая открывается в браузере Edge. Какой она может создать трафик? Примерно такой, как на картинке.
Открыта одна страница в браузере
Перечень соединений так быстро обновлялся, что просто так и не уследишь. Поэтому мы приступили ко второй части исследования. Закрыли все приложения, поставили сниффер Wireshark и записали активность Windows за полчаса. Чтобы сымитировать хоть какую-то активность, мы просто смотрели некоторые настройки в панели управления, но не меняли их.
Windows передает непрерывно — не важно делаешь что-то или нет
За полчаса в сеть ушло около восьми тысяч пакетов. Как показало изучение логов, большинство соединений устанавливалось по адресам в пределах одной из крупных подсетей. У принадлежащих им айпишников часто менялись два-три последних октета. Это говорит о том, что Microsoft развернула огромную сеть для обработки всей стекающейся от пользователей Windows информации. Если отсеять однотипные адреса, то в сухом остатке получится подборка как на картинке.
За полчаса нашего бездействия Windows успел разослать отчеты по всему свету
В глаза бросается бразильский сервер, но это очередной BingBot (возможно, какой-то особо специализированный), но вопросы вызывает далеко не только он. Например, какого черта выполнялось соединение с сервером Facebook в Нидерландах? Кто просил подключаться к облачному хранилищу CloudFlare? Ни одного файла ещё не создано. Даже учётная запись Microsoft не была активирована.
Вскрываем шпионскую сеть
После поиска Bing главная шпионка в Windows – Кортана. С ней как-то сразу сложились натянутые отношения. Сперва она сама настояла на знакомстве, а затем вдруг заявила, что не понимает русскую речь и даже учиться этому не собирается.
Кортана привыкла знакомиться первой
Даже сменив язык на английский, а регион – на США, мы так и не добились её расположения. В базе знаний Microsoft об этом говорится просто – установите соответствующее исправление через службу обновлений. Жаль только, что пользователь теперь лишен возможности ставить апдейты по своему усмотрению. Они скачиваются и устанавливаются Windows автоматически. Юзер может выбрать лишь отмену перезагрузки и задать отложенную инсталляцию.
Кортана динамит русских
Большая часть скрытого трафика Windows идет через сеть доставки контента Akamai, поэтому не отображается в логах HTTP-прокси. Однако это не значит, что смотреть их бесполезно. Запустив Fiddler, можно обнаружить интересные вещи. Например, выяснить, что идентификация пользователя происходит ещё до активации установленной копии Windows.
Фрагмент лога HTTP-прокси
Fiddler собрал 29 веб-адресов
Трафик по HTTP за полчаса бездействия оказался настолько большим, что стало проблемой наглядно отобразить его на экране. Мы сделали пару скриншотов, а затем составили список засветившихся хостов. Можно бы сразу занести их в файл hosts, но мы пока отложим это, чтобы не нарушать ход эксперимента.
Улов Fiddler кормит localhost
Из этого списка ожидаемым выглядит только URL windowsupdate.com, который мы не стали включать в список блокировки. Согласно журналу установки, за всё время эксперимента автоматически было инсталлировано 21 обновление общим объемом около 150 МБ. В ходе теста кроме «Блокнота» мы запускали только «Калькулятор» и свои утилиты для анализа активности Windows, в которых было отключено автообновление. При этом общий сетевой трафик превысил полгигабайта. Многовато для «служебных данных, собираемых в целях улучшения впечатления от работы программ»!
Полгига данных утекли в сеть
Впечатление оказалось сильно испорченным. Следящих функций в Windows 10 действительно крайне много. Отключение интегрированного поиска и увольнение Кортаны помогает лишь отчасти. «Защитник Windows» отправляет в Microsoft образы файлов, которые сочтет подозрительными или вредоносными. Фильтр SmartScreen не только проверяет веб-контент, но и формирует список посещенных страниц. Журнал местоположений протоколирует все физические перемещения (особенно актуально, если Windows 10 установлена на мобильном устройстве). Отчет о взаимодействии с пользователем отсылают и многие приложения в новом стиле, а в разделе «данные диагностики и использования» вообще нельзя запретить отправку отчета – можно лишь выбрать менее подробный вариант.
Уход в офлайн
Мы решили полностью отключить все узаконенные средства шпионажа штатными средствами Windows. В основном настройки меняются через вкладки «Конфиденциальность», «Поиск» и «Обновление и безопасность» в панели управления. Переключателей там с полсотни, вот только будет ли от них толк?
Мы отключили всё, что только можно и запустили Wireshark снова. На этот раз не пользовались никакими встроенными приложениями и даже не трогали мышку. Вернувшись через час, видим в логах сниффера до боли знакомые IP.
Змея меняет кожу, но не меняет нрава
Прогресс есть. Общее число запросов уменьшилось на порядок. Примерно втрое сократилось и число удалённых узлов, к которым выполняется подключение без ведома пользователя. Однако среди них появились новые. Если в первом логе Wireshark внезапно нашелся сервер Facebook, то теперь засветился дата-центр Amazon из Ирландии.
Ряды шпионов поредели
Раз уж Fiddler помог добыть список IP, то их массовое добавление в файл hosts должно помочь прекратить слежку. Проверим, создав список блокировки, и снова запустим Wireshark.
Скромный улов Wireshark
По сравнению с первым логом этот выглядит скучно. На экране не уместился только один айпишник, а их общий список состоит всего из четырех. Два из них относятся к сети доставки контента и не могут эффективно блокироваться в hosts – слишком много подсетей принадлежит Akamai. Третий IP-адрес принадлежит службе Windows Update, которую не блокировали. Самым стойким шпионом оказался BingBot. Его связь с бразильской Microsoft Informatica не знает преград. Видимо, процесс содержит встроенные средства обхода ограничений.
Добиваем агентов Матрицы
Справиться с оставшимися агентами Microsoft помогает ряд дополнительных мер. Нужно задать в брандмауэре блокировку подключений ко всем IP-адресам, выявленным Wireshark. У нас их получилось 47, но наверняка при более длительном мониторинге список увеличится. Ещё есть шанс, что при очередном автоматическом обновлении в системных файлах пропишутся новые айпишники, но пока вместе с модификацией файла hosts это обеспечивает большую часть защиты от слежки.
Отключить «неотключаемые» функции можно через реестр:
Задав нулевое значение этому параметру, запретим отправку «технических» данных.
Желательно удалить файл сервиса DiagTrack с уже собранными данными. Вот путь к нему:
Отключить сами сервисы DiagTrack и dmwappushsvc можно через управление службами или ветку реестра:
В планировщике заданий стоит посмотреть очередь задач и отключить все регулярные отправки данных, если они ещё остались.
Рекомендуется деинсталлировать облачный клиент OneDrive, если ты всё равно не собирался им пользоваться.
Все эти действия можно выполнить вручную, но сэкономить время сильно помогает утилита DisableWinTracking. В отличие от многих аналогов, она распространяется с открытым исходным кодом и хорошо документирована.
После выполнения всех описанных действий Windows 10 лишилась шпионских привычек. Вместе с ними, правда, исчезли почти все новые фишки, которые призваны повысить удобство работы и обеспечить безопасность. Впрочем, как говорил Франклин: «Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности».