Идея этой статьи была подсказана Романом Ромачевым, администратором Форума разведчиков на сайте it2b. ru в начале 2006 года в ходе дискуссии об уменьшении угроз безопасности информации при использовании персональных компьютеров в конкурентной разведке. Во время обмена мнениями один из собеседников высказал мысль, что поисковые программы, позволяющие производить поиск, как на персональном компьютере, так и в Интернете, не могут считаться безопасными, и поэтому не должны применяться на машинах, содержащих деликатные данные. Проверке этого утверждения посвящена работа, приведенная ниже.
О каких программах идет речь
На персональном компьютере сегодня у большинства пользователей хранится достаточно много информации, и ее количество стремительно растет. Это могут быть статьи, письма, договоры, какие-то другие документы различных форматов. Если владелец компьютера регулярно собирает информацию, то ее объемы могут составлять сотни гигабайт.
В такой ситуации достаточно скоро возникает вопрос, как найти нужные тексты, в том числе те, о которых пользователь уже забыл. В принципе, в операционной системе Windows XP существует встроенная система поиска, которая вызывается через меню Пуск > Найти. Эта система работает точно, но имеет существенный недостаток — она выполняет работу крайне медленно. Связано такое положение вещей с тем, что встроенный поисковик открывает каждый файл и просматривает его содержимое в реальном масштабе времени.
Очевидно, что пользователи нуждаются в системе, которая была бы лишена подобного недостатка. И решение было найдено. Сторонние компании создали поисковики для персональных компьютеров, которые в те минуты, когда пользователь не работает с клавиатурой или мышью, просматривают файлы и записывают их содержимое в специальную таблицу, запоминая, где какое слово расположено. Этот процесс называется индексацией. При запросе пользователя такая программа просто сверяется с таблицей и выдает результат. Происходит это практически мгновенно.
Недавно владельцы крупных поисковых машин, ищущих информацию в Интернете, присоединились к решению проблемы поиска за пределами Интернета, на персональных компьютерах. Они создали свои поисковики, способные искать как на компьютере пользователя, так и в Интернете и начали активно их рекламировать.
Пользователи получили в руки программы известных брендов и начали их использование. С точки зрения качества поиска все эти программы практически одинаковы.
А с точки зрения безопасности компьютера мы решили их протестировать, т. к. сами производители предпочитают этот вопрос не конкретизировать.
Материал и методы
Исследовалось поведение трех программ поиска на настольном компьютере — Google Desktop Search (далее по тексту — Гугл), Yandex Desktop (далее по тексту — Яндекс) и Copernic Desktop Search (далее по тексту — Коперник).
Все три программы ищут информацию, предварительно проиндексировав ее. Индексация производится следующим образом: в то время, когда пользователь не пользуется клавиатурой или мышью, изучаемые программы анализируют текстовое содержимое файлов (текстовых, PDF, названия файлов изображений), записывают его в специальные таблицы и затем по ключевым словам находят нужную информацию. За счет этого поиск информации происходит в течение нескольких секунд, т. к. в отличие от встроенной в Windows XP системы поиска, нет необходимости ждать, когда программа в реальном масштабе времени откроет каждый файл по очереди и заглянет него.
У каждой программы есть свой язык поиска, позволяющий конкретизировать запрос по нескольким словам, а также функция выделения поисковых слов в найденном тексте, что облегчает анализ результатов.
Для читателей, не очень близко знакомых с компьютером, дам краткое описание основных терминов, употребляемых в статье.
- Дистрибутив программы — файл, при открытии которого происходит установка программы на компьютер.
- Файрволл — программа или специальное устройство, которое позволяет отслеживать, движение данных с компьютера в сеть и наоборот. Файрволл позволяет отслеживать и при необходимости блокировать полностью или частично любой обмен данными между компьютером и сетью, либо несколькими компьютерными сетями. Если Файрволл представлен программой (как в нашем случае), его называют программным. Если он выполнен в виде отдельного устройства — аппаратным.
- Порт — по сути дела, это вход в компьютер, через который могут перемещаться данные в обе стороны. Потрогать порт руками нельзя, т. к. он выполнен программно в операционной системе. Для того, чтобы войти на компьютер или выйти с него, программа обязательно должна открыть хотя бы один порт.
- localhost (можно перевести как «локальный компьютер») — ваш собственный компьютер, на котором вы сейчас работаете.
- loopback (можно перевести как «обратная петля») — отправка пакета для работы программы на собственный компьютер с собственного же компьютера. Применяется для устойчивой работы некоторых программ. Данные ведут себя так же, как если бы отправлялись с компьютера в сеть, но адресованы на сам компьютер, с которого ушли. Это не опасно. Этим пользуются многие программы, в т. ч. антивирусы и почтовые клиенты.
- Трей — область в правом нижнем углу экрана компьютера, гда расположены ярлыки программ, которые в данный момент запущены.
- Браузер — программа, позволяющая просматривать страницы Интернета. Самые распространенные браузеры — Internet Explorer, Mozilla Firefox и Opera.
Для целей настоящего исследования на жестком диске персонального компьютера был создан раздел «G», в который была установлена операционная система Windos XP.
Затем были установлены браузер Mozilla Firefox и встроенная в него панель Yahoo Antispy, предназначенная для поиска и удаления программ-шпионов и рекламных программ, которые часто остаются на компьютере после установки бесплатного программного обеспечения.
РЕКЛАМНЫЙ БЛОК
[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]Сетевая активность приложений и открытые на компьютере порты отслеживались с помощью персонального программного файрволла Agnitum Outpost Pro.
Изображения экрана фотографировались с помощью программы Hyper Snap.
Немного подробностей об испытуемых программах
Дистрибутивы поисковых программ были скачаны через Интернет с официальных сайтов производителей:
Гугл — с сайта desktop.google.com/ru/index. html
Яндекс — с сайта desktop.yandex.ru/agreement. xml
Коперник — с сайта www.copernic.com/en/products/desktop-search/
Персональные поисковики Гугл и Яндекс выпущены и поддерживаются одноименными поисковыми машинами Интернета. На наш взгляд, основная причина появления этих программ для настольного компьютера именно в бесплатном варианте — это привлечение пользователей к своим поисковым системам как к основным средствам поиска в Интернете. Такое привлечение пользователей материально выгодно для поисковых систем в силу ряда причин. Вот некоторые из них:
- Позволяет эффективно продавать контекстную рекламу, т. к. количество посетителей сайта возрастает.
- Дает дополнительный трафик поисковым машинам.
- Позволяет собирать статистику по ключевым словам, используемым пользователями.
- Позволяет отслеживать перемещения пользователей с поисковой машины и тем самым узнавать их предпочтение.
Недаром Гугл при установке его нового пакета программ, в котором персональный поисковик для настольного компьютера является лишь одним из компонентов, по умолчанию ставит «галочку», подтверждающую, что пользователь согласен на сбор «неличной информации» с его компьютера. Более того, установка этого пакета становится невозможной, если прекратить сетевую активность приложения.
Вот текст этой информации: При использовании расширенных функций Вы можете передавать информацию о просмотренных сайтах и неличную информацию об использовании в Google. Например, для персонализации новостей, отображаемых на боковой панели, Google Desktop отправляет в Google информацию о посещаемых Вами страницах новостей. Мы используем неличные данные об использовании, включая сообщения о сбоях, в целях усовершенствования Google Desktop. Учтите, что эти данные на самом деле не содержат сведений, позволяющих нам узнать, кто Вы такой. Мы используем их только для расширения возможностей Google Desktop по предоставлению Вам наиболее релевантной информации. |
При установке поисковика Гугла отдельно от пакета вместо такой галочки предлагаются два варианта установки — с расширенными функциями и без них. Если выбрать вариант, когда расширенные функции включены, то Гугл начнет соединяться с Интернетом сразу по множеству каналов, перебирая закладки, на сайты, сделанные в браузере компьютера. В результате он откроет боковую панель, в которой будут содержаться быстрые переходы к ресурсам, которыми вы интересуетесь. Соединение при этом будет установлено с адресом kh.google.com и mt.google.com. При этом Файрволл сообщает, что соединение установлено в режиме браузера. Однако попытка перейти на эти адреса вручную, с помощью обычного браузера, оказывается неудачной, т. к. сайт Гугла не позволяет увидеть страниц с такими адресами. Соединение с этими двумя ресурсами kh.google.com и mt.google.com закрывается только при выходе из программы Гугла с ее полной выгрузкой из операционной системы. В остальных случаях соединение с kh.google.com и mt.google.com остается открытым.
В дальнейшем эксперименте выбиралась установка Гугла без дополнительных сервисов, т. е. без расширенных функций. Для этого Гугл, установленный с расширенными функциями, был удален из системы и переустановлен заново.
Коперник выпущен компанией, которая не имеет собственной поисковой машины, а владеет метапоисковой машиной, распределяющей запросы между имеющимися поисковыми машинами других владельцев, и затем анализирующей полученные результаты. Вероятно, поэтому столь выраженного интереса к сбору статистики, который характерен для поисковых машин, у владельцев и авторов Коперника нет.
Далее мы опишем ход эксперимента и сделаем выводы, на основании полученных результатов. Если кто-то из читателей не желает вникать в подробности хода исследования и согласен поверить нам на слово, мы предлагаем сразу перейти к выводам в конце текста.
Автор: Е. Л. Ющук, (автор книги «Конкурентная разведка: маркетинг рисков и возможностей», член SCIP)