В предыдущей статье мы исследовали поведение поисковиков Google Desktop Search (далее по тексту — Гугл), Yandex Desktop (далее по тексту — Яндекс) и Copernic Desktop Search (далее по тексту — Коперник), с точки зрения передачи ими данных во внешнюю среду и приема оттуда. После этого нам стали поступать отзывы от читателей. Оказалось, что исследуемый вопрос вызывает интерес не только у рядовых пользователей, но и у серьезных специалистов по компьютерной безопасности.
Мы обратились за помощью к человеку, который профессионально занимается вопросами информационной безопасности.
Владимир Казеннов, как зовут нашего эксперта, не только помог нам советами, но и непосредственно проделал основную часть экспериментальной работы. Если читателям потребуется связаться с Владимиром, чтобы прояснить непонятные моменты, это можно сделать по электронной почте kentavr10@yandex.ru
Предыдущие эксперименты были выполнены с помощью программного обеспечения, доступного для быстрого освоения практически любым пользователем компьютера. Но обратной стороной этой простоты явилась невозможность заглянуть в более глубокие «слои сумрака», по терминологии фантаста Сергея Лукьяненко.
Наши программы показывали сам факт сетевой активности, они отмечали передачу данных на компьютер и с компьютера, могли посчитать объем переданной и полученной информации, но не были в состоянии объяснить, какая именно информация передается.
С помощью Владимира Казеннова мы смогли воспользоваться более профессиональными инструментами, требующими специальных навыков для использования и интерпретации результатов. В результате, прочитав наш отчет об эксперименте, даже неподготовленный читатель сможет сориентироваться в результатах и сделать собственные выводы.
Выводы:
Хочу предупредить читателя, что статья длинная, т.к. в ней пошагово представлена детализация активности поисковых программ. Зато, для тех, кто интересуется подробностями, эти подробности стали доступны.
В целом, исследование, описанное ниже, подтвердило, что Коперник и Яндекс достаточно безвредны, а Гугл передает некие неустановленные данные по зашифрованному каналу. Доказано, что Гугл передает хозяевам поисковой системы также обширную статистическую информацию о параметрах машины, на которой установлена программа и использовании программы поиска.
Вместе с тем, исследование большей части информации показало, что основная сетевая активность Гугла осуществляется в незашифрованном виде и в большинстве своем неопасна с точки зрения угрозы конфиденциальным данным.
И еще, установлено, что часть программного кода, применяемого Гуглом — в частности, java-скрипт может при определенных условиях быть вредоносной, так как использует технологию скрытого сбора информации и не требует получения разрешения от пользователя на ее отправку Google. Во всяком случае, такие java-скрипты не приветствуются в защищенных системах.
Правда, это именно так на момент проведения эксперимента. Что будет завтра, мы спрогнозировать не в состоянии.
Кроме того, подробно объяснено, почему loopback, так часто присутствующий при работе Гугла, Яндекса и многих других программ, безвреден в принципе, хотя и открывает порты на локальном компьютере.
Дополнительные термины, которые встречаются в этой статье.
Снифер — (вынюхиватель, в переводе с английского) — программа, которая позволяет не только зафиксировать факт передачи данных с одного адреса на другой, но и показывает, какие именно данные и в какой последовательности передавались. Его синонимом является термин «сетевой анализатор».
Прокси-сервер — компьютер, через которые несколько машин, объединенных в единую сеть, могут выходить в Интернет. Это своего рода ворота. Если установить программу на прокси-сервере, можно контролировать, а также разрешать или запрещать полностью или частично движение всех данных в сеть и из сети.
Куки — (cookies) — небольшой текстовый файл, который сайт устанавливает на компьютер, зашедший на этот сайт. Куки сами по себе не вредят компьютеру и часто используются для организаций сессий с сайтом, так как обычно содержат в себе уникальный идентификатор пользователя по отношению к этому сайту в виде пары — имя параметра и его значение. Поэтому куки позволяют сайту, например, узнавать вас при последующем посещении. Если вы хотите увидеть Куки в своем браузере Mozilla Firefox, то щелкните следующие ссылки: Инструменты > Настройки > Приватность > Cookies > Просмотр Cookies.
Некоторые Куки воспринимаются антишпионскими программами как потенциально опасные, т.к. они позволяют путем идентификации пользователя при обращении его к сайтам и последующего анализа запросов пользователя по журналам сайтов (группировки их по уникальным значениям кук) выявить его предпочтения и нарушить таким образом отчасти неприкосновенность личной жизни (privacy).
GET/POST — обозначение типа запроса веб-браузера к сайту. При GET параметры запроса передаются прямо в теле URL и видны в браузере и истории посещения им страниц, а при POST — в поле данных запроса (и не видны поэтому).
РЕКЛАМНЫЙ БЛОК
[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]Выполнение эксперимента.
Прежде, чем дать описание эксперимента, обращаем внимание читателей на то, что в тексте встретятся ссылки на подлинные файлы с полным описанием записи, которые появлялись в журнале снифера при появлении сетевой активности испытуемых программ. Основные параметры приведены в тексте и для большинства читателей их будет достаточно.
В ходе эксперимента на компьютере с установленной Windows XP (SP2) была запущена так называемая виртуальная машина. Этот прием позволяет проводить чистые эксперименты и создавать такую тестовую среду, в которой на компьютере работает только тестируемая программа, и работа других программ не оказывает влияния на результат эксперимента.
Для непосредственного анализа сетевой активности приложений использовались программы — SmSniff и Ethereal.
SmSniff представляет собой бесплатный снифер, который позволяет для каждого отдельного сетевого соединения собрать вместе прикладные данные без служебных заголовков пакетов, передаваемые в обе стороны, сохранить потом эти данные в отдельный текстовый файл и обеспечить, таким образом, легкость их анализа (что важно особенно для HTTP-соединений). Скачать эту программу можно по адресу: www.nirsoft.net/utils/smsniff.html Снимок экрана программы приведен на рисунке ниже.
Сразу поясним, что на этом рисунке видно.
Применительно к выделенной строке, снифер сообщает, что идет передача данных по Интернет-протоколу HTTP (это протокол, которым пользуются браузеры, просматривающие страницы Интернета). Данные передаются с компьютера пользователя, имеющего ip-адрес 192.168.0.5 на адрес 216.136.131.30, принадлежащий поисковой машине Yahoo!.. Конкретно, передача идет с порта 1088 на порт 80. Передано 6 пакетов общим объемом 826 байт.
В нижнем окне на рисунке показано, что в поисковую машину Yahoo! сделан поисковый запрос по слову «nirsoft».
Чтобы убедиться в этом, мы самостоятельно сделали этот запрос. Вот строка, которая была сгенерирована в окне URL, когда Yahoo! Выдал ответ по запросу:
ru.search.yahoo.com/search?p=nirsoft&sm=%D0%9D%D0%B0%D0%B9%D1%82%D0%B8&fr=FP-tab-web-t&ei=UTF-8&vc=
Как видите, эта строка совпадает с той, что приведена в снимке экрана. Кроме того, на снимке видно, что запрос сделан из браузера Mozilla/4.0, а также что компьютером воспринимаются русский и английский языки. Там же показано, что соединение прошло с компьютером по адресу pa.yahoo.com
Программа Ethereal (http://www.ethereal.com/) позволяет записывать в один файл специального формата данные о всех сетевых взаимодействиях. Она предназначена для решения широкого класса задач, но, к сожалению, не содержит удобных встроенных средств сбора только прикладных данных, поэтому и использовалась в качестве резервной. С другой стороны она имеет богатые возможности выборочного перехвата пакетов и анализа служебных заголовков пакетов (что невозможно с помощью SmSniff), дополняя, таким образом, ее.
Мы не будем приводить здесь снимки экрана этой программы, т. к. они лишены каких бы то ни было украшений и представляют собой просто строки, идущие друг за другом. Желающие могут увидеть их на сайте программы.
В нашем эксперименте были последовательно установлены все три поисковика — Copernic Desktop Search, Google Desktop и Yandex Desktop, в каждом из них после установки делался запрос на поиск информации на локальном компьютере, после чего поисковик удалялся с компьютера и заменялся следующим.
Эксперимент проводился 26.01.2006г., эту дату можно видеть в файлах отчетов снифера.
Как было показано в предыдущих частях статьи, Google и Yandex использовали веб-интерфейс для организации взаимодействия с пользователем локальной программы поиска. Для этого они и открывали на порту 4664 (Google) и на порту 9375 (Yandex) так называемые локальные веб-серверы, которые обеспечивают передачу данных между ними и веб-браузером, запущенным пользователем программы поиска. Данные, передаваемые в ходе такого взамодействия, не выходят за пределы локального компьютера. Убедиться в том, что процесс носит именно локальный характер, можно, посмотрев адрес URLа, который показывается в консоли пользователя при открытии браузера (в качестве имени хоста указан localhost или 127.0.0.1).
Опишем теперь то, что осталось за кадром в предыдущей статье, а именно — куда и какую конкретно информацию передали поисковики, а также, что они получили взамен и откуда.
В журналах есть указание на порт 3128. Для тех, кто обратит на это внимание, поясним, что этот порт, как и адрес прокси-сервера, появились в журналах потому, что тестовая машины для контроля за взаимодействиями была подключена к Интернет через прокси-сервер и именно через прокси-сервер выполнялись все описанные ниже соединения с Интернетом.
Автор: Е. Л. Ющук, (автор книги «Конкурентная разведка: маркетинг рисков и возможностей», член SCIP)
