Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть №2


Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть 1

Выполнение эксперимента

Установка, использование и удаление Коперника

Забегая вперед, скажу, что установка Коперника оказалась наименее зрелищной из всех трех исследуемых программ.
После запуска установки с дистрибутива никакой сетевой активности не наблюдалось до того момента, пока установленный Коперник не был открыт из трея. Сразу после открытия программы она решила проверить наличие обновлений, отправившись на сайт updates.copernic.com

Файрволл была дана команда блокировать этот трафик и соединение с сервером обновлений не произошло, поэтому неудавшееся соединение выделено красным цветом.

В это же время Коперник установил loopback на собственном компьютере (на фотографии это выглядит как localhost:loopback на порту 1739)

Затем какая бы то ни было сетевая активность Коперника прекратилась и больше не возобновлялась. Она не была отмечена ни тогда, когда пытались найти с помощью Коперника информацию на компьютере, ни когда он просто бездействовал, ни когда он проводил индексацию.

На фото видно, что остался открытым один порт:

Если Коперник закрыть, выгрузив из операционной системы и открыть вновь, то не появляется ни сетевой активности, ни открытых портов. Таким образом, можно считать установленным, что открытие каких бы то ни было портов, включая выполнение loopback, не является обязательным для работоспособности Коперника.

Во время удаления программы Коперник с компьютера и после этого удаления никакой сетевой активности не отмечалось. Программа просто удалилась, и все.

Установка, использование и удаление Гугла на компьютере, подключенном в момент установки к Интернету

Эта программа, с точки зрения попыток вести собственную жизнь, неподконтрольную пользователю компьютера, оказалась наиболее запоминающейся.

Немедленно после установки, еще до ее полного завершения Гугл запустил на компьютере скрытый процесс в режиме невидимости, который попытался выйти в сеть. Файрволл сразу блокировал этот процесс и доложил о нем, запросив инструкций:

Попытка запретить такой выход прервала установку. Тогда процессу было разрешено продолжить работу.

Получив разрешение выйти в сеть, Гугл сразу отправился в Интернет на сайт www.google-analytics.com, куда передал некие данные и взамен получил другие. Одновременно он также, как и Коперник в предыдущем случае, установил loopback на собственном компьютере (на фотографии это выглядит как localhost:loopback на порту 1208):

По завершении установки сетевая активность Гугла продолжалась, и соединение адресовалось не loopback, а www.google-analytics.com:

При этом Гугл держал открытыми три порта — 4664, 1210 и 1204:

У файрволла Agnitum Outpost есть возможность заблокировать любые приложения, просто перетащив их ярлыки мышкой в папку «Запрещенные приложения». Это и было сделано со всеми тремя компонентами Гугл, которые «висели» на портах на предыдущем фото:

РЕКЛАМНЫЙ БЛОК

[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]

Перенос приложений в эту папку автоматически блокирует их возможность «выходить за пределы компьютера», но не нарушает их работоспособность внутри машины. Копернику такая блокировка, напомним, вреда не причинила, просто он перестал проверять возможность обновиться, но продолжал работать.

Гугл, когда его открыли с ярлыка в трее, чтобы начать поиск на собственном компьютере, вновь проявил свою сетевую активность и первым делом опять запустил скрытый процесс, пытающийся установить исходящее соединение:

Мы разрешили Гуглу установить это соединение, и он тут же попытался его выполнить со своим собственным компьютером в виде loopback на порту 1222, при этом данные о сетевой активности, направленной www.google-analytics.com исчезли. Однако Файрволл, которому было предписано блокировать любую сетевую активность Гугла (по аналогии с Коперником), блокировал эту попытку:

В журнале файрволла это событие было зафиксировано как попытка передачи данных между портами 4664 и 1225, и отразилось следующим образом:

Программа при этом запускаться и работать отказалась. Она просто не открылась из трея.

Тогда была разрешена сетевая активность Гугла с правами браузера. Незамедлительно последовала попытка не только установить соединение по loopback, но и связаться с адресом в Интернете www.google.ru

Контроль открытых портов показал, что Гугл вновь открыл порты, на этот раз их было два — все тот же 4664 и вдобавок 1233:

После этого программа стала работоспособной. С ее помощью был проведен тестовый поиск слова на жестком диске. Дополнений или изменений в полученные результаты сетевой активности Гугла этот поиск не внес.

После этого было принято решение деинсталлировать Гугл с компьютера, в связи с завершением запланированного объема тестирования.

Выяснилось, что просто так эту программу удалить нельзя.

Когда удаление Гугла с машины подходило к завершению, деинсталляция вдруг прервалась и скрытый процесс вновь запросил исходящее соединение:

После получения разрешения на это соединение выяснилось, что Гугл принудительно соединил наш компьютер с сайтом своих владельцев, чтобы спросить, почему мы его деинсталлируем:

На этом удаление Гугла с компьютера завершилось, больше сетевой активности никакие его компоненты не проявляли.
Проверка компьютера антишпионскими программами с помощью Yahoo Antispy, модуля Agnitum Outpost и антивируса Касперского не выявили шпионского или рекламного программного обеспечения.

Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть 3

Автор: Е. Л. Ющук, (автор книги «Конкурентная разведка: маркетинг рисков и возможностей», член SCIP)

Оцените статью
Технологии разведки для бизнеса