Поведение Коперника
После установки, как и было показано ранее, Коперник попытался получить обновления. В подробностях это выглядело как обращение по адресу:
updates.copernic.com/softwareupdates/desktopsearchupdateinfo.scuf
и загрузка закодированного файла с информацией об обновлениях (подлинник этой записи со всеми подробностями можно увидеть в файле cop1.txt)
Затем Коперник самостоятельно запустил веб-браузер и перешел в нем на главную страницу сайта программы Коперник:
www.copernic.com/go/?dest=cds16welcomepage&l=ENG&e=
(подлинник этих записей со всеми подробностями можно увидеть в файлах cop2.txt — cop6.txt). Столь большое количество файлов обусловлено тем, что на загружаемых страницах содержится много изображений и каждое изображение требует отдельной загрузки, для чего веб-браузером устанавливается новое соединение с веб-сервером. Дальше мы увидим, что другие сайты позволяют в рамках одного соединения передавать несколько запросов и получать, соответственно, несколько ответов (поэтому приложенные файлы надо просматривать до конца, чтобы увидеть их).
Анализ служебных заголовков запросов не выявил ничего подозрительного. Для специалистов конкретизируем, что все запросы имели тип GET, а куков и дополнительных служебных полей в заголовках не было.
Поведение Гугла
При установке Гугл имеет установки по умолчанию, приводящие к активизации «Боковой панели поиска». Мы не отключили ее при экспериментах, поэтому и получили такое большое число соединений, описанное ниже.
Сразу после установки Гугл отправился в Интернет по адресу
GET desktop.google.com/firstuse?version=121205-233423&id=1f931c38a13d4f3aea604e92f4741fbc&brand=GGLD&hl=ru , где произвел регистрацию нового клиента (подлинник этой записи со всеми подробностями можно увидеть в файле google1.txt).
Затем Гугл проверил наличие обновлений, что отразилось снифером в записи:
GET desktop.google.com/updatecheck?id=1f931c38a13d4f3aea604e92f4741fbc&hl=ru&rb=0&version=121205-233423&brand=GGLD (подлинник этой записи со всеми подробностями можно увидеть в файле google2.txt).
Далее для того, чтобы использовать ближайший к пользователю национальный сервер. Гугл получает список национальных серверов:
GET www.google.com/supported_domains
При этом на компьютер пользователя устанавливается кука:
Set-Cookie: PREF=ID=ef3b95f5a20cf20e:TM=1138265002:LM=1138265002:S=fvXZjDP_wxOkqB7z; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
(подлинник этой записи со всеми подробностями можно увидеть в файле google3.txt)
Затем на компьютере пользователя запускается локальный веб-сервер и веб-браузер, настроенный на него, и браузер обращается к сайту Google (это видно по полю Referer — указанию предыдущей ссылки, с которой произошел переход на текущую ссылку):
GET www.google.com/
В ответ на это обращение, на компьютер пользователя устанавливается еще одна Кука:
Set-Cookie: PREF=ID=5e3dceb7857639a7:TM=1138265032:LM=1138265032:S=ZdB1kWwm_Z7yh2dk; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
После этого происходит переключение на национальный сервер — www.google.ru и снова следует установка куки на компьютер пользователя:
Set-Cookie: PREF=ID=482df878e3ab6188:TM=1138265032:LM=1138265032:S=oskcMsWN9YUq6YNg; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.ru
(подлинник этой записи со всеми подробностями можно увидеть в файле google4.txt)
Затем производится автоматическая регистрация установки поисковика Гугл на локальном компьютере и указывается полученный ранее идентификатор пользователя программы поиска:
GET desktop.google.com/installer?action=install&version=121205-233423&ec=0&id=1f931c38a13d4f3aea604e92f4741fbc&brand=GGLD&hl=ru
И снова на локальный компьютер устанавливается кука c помощью поля Set-Cookie:
PREF=ID=ef3b95f5a20cf20e:TM=1138265002:LM=1138265002:S=fvXZjDP_wxOkqB7z
Интересно, что никаких данных локальный компьютер обратно не получает. Это может быть связано с тем, что описанные действия Гугл проводит просто для производится регистрации запроса на установку программы поиска.
(подлинник этой записи со всеми подробностями можно увидеть в файле google5.txt)
Затем происходит новое получение неизвестных данных на компьютер пользователя (и данные передавались именно с сервера на компьютер пользователя). Выяснить, что это за данные, наше оборудование не позволило, т.к. они передавались по защищенному от перехвата протоколу SSL. Это может быть какая-то компонента программы поиска. Однако, поскольку мы не знаем, что передано в этом пакете, мы не можем и сделать вывод о том, зачем его надо было зашифровывать (подлинник этой записи со всеми подробностями можно увидеть в файле google6.txt)
РЕКЛАМНЫЙ БЛОК
[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]После этого на локальный компьютер передается страница с новостями (это хорошо видно в файле с подлинной записью. Там можно увидеть, например, такой текст, рассказывающий о взаимоотношениях Малазийского производителя автомобилей Протона с германским Фольксвагеном: «Malaysia's largest car maker, Proton, remains keen to team up with Volkswagen AG despite the German firm's sudden pull-out fr...». По окончании установки программа Google открывает много панелей и, помимо, собственно поиска навязывает использование ряда других сервисов):
GET desktop.google.com/dsnews?i=1f931c38a13d4f3aea604e92f4741fbc&k=20&r=0&hl=ru&ed=ru&t=4031830140:19;&s=&a=
(подлинник этой записи со всеми подробностями можно увидеть в файле google7.txt).
Сразу после этого на локальный компьютер загружается карта:
GET desktop.google.com/maps.xml
При этом клиент начинает представляться как User-Agent: Mozilla/4.0 (compatible; Google Desktop)
(подлинник этой записи со всеми подробностями можно увидеть в файле google8.txt).
Далее Гугл начинает проверять дату и время большой группы каких-то файлов с помощью команды HEAD (с ее помощью получается информация о дате-времени последнего обновления файла, но сам файл не скачивается), чтобы выяснить необходимость их загрузки в-дальнейшем (и не загружать понапрасну те файлы, которые не обновлялись). Каких именно, мы выяснять не стали. Желающим сделать эту проверку рекомендуется посмотреть на все панели, которые Гугл разворачивает и вычислить, для какой из них он это делает (судя по данным о расширении, это какой-то файл с картинкой) на сайте mt.google.com (чтобы принять решение, грузить его или нет):
HEAD mt.google.com/mt?v=w2%2E5&hl=ru&x=736&y=1589&zoom=5
(подлинник этой записи со всеми подробностями можно увидеть в файле google9.txt).
Затем Гугл получает список стран:
GET www.google.com/ig/countries?output=xml&hl=ru
(подлинник этой записи со всеми подробностями можно увидеть в файле google10.txt)
Потом Гугл получает список блогов (еще один навязанный сервис) размером 30Кб:
GET googleblog.blogspot.com/atom.xml
(подлинник этой записи со всеми подробностями можно увидеть в файле google11.txt)
Далее Гугл проверяет данные о группе других файлов-картинок на mt.google.com c URL'ами аналогичного вида.
Эта деятельность отражена в файлах(google12.txt — google47.txt c несколькими пропусками — параллельно идет загрузка данных для других панелей — см. ниже). Проверка эта происходит не всегда удачно (иногда возвращается код 404 — страница не найдена, что вообщем-то непонятно).
Затем Гугл получает список городов в России (файл google48.txt:
GET www.google.com/ig/cities?output=xml&hl=ru&country=RU
После этого он получает информацию о текущей погоде в России (еще навязанный сервис)(файл google49.txt):
GET www.google.com/ig/api?hl=ru&weather=,,,55750000,37630001
Параллельно вышеописанному опросу Гугл начинает обращаться к страницам, на которые заходил недавно пользователь (google18.txt, google27.txt, google33.txt, google50.txt — google58.txt). Скорее всего, таким образом Гугл либо кэширует данные (сохраняет в памяти), либо хочет отслеживать обновления этих страниц(возможно, Гугл так предпочтения пользователя как раз и узнает. Он же любит настраивать персонализированный поиск и делает это своим приоритетным направлением) В любом случае происходит целенаправленный сбор данных о поведении пользователя компьютера в Интернете (но отправки информации об это обратно на Google явно зафиксировано не было — разве, что с помощью SSL).
После этого сбора данных Гугл опять скачивает какие-то данные на компьютер по протоколу SSL с www.google.ru (файл google43.txt). Как и в предыдущем случае, мы не имеем возможности узнать, что это за данные, т.к. они защищены от перехвата.
Наконец, Гугл отправляет обратно POST-запросом информацию о своем состоянии (файл google59.txt):
POST desktop.google.com/status
Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть 6
Автор: Е. Л. Ющук, (автор книги «Конкурентная разведка: маркетинг рисков и возможностей», член SCIP)