Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть №6


Программы для поиска на настольном компьютере как потенциальные шпионы. Результаты тестирования. Часть 5

ВНИМАНИЕ!

Ниже приведены данные (размером 2Кб), где по именам параметров видно, насколько разнообразную статистическую информацию и информацию о своих собственных параметрах отправляет поисковая программа Гугл на свой сервер.
version=121205-233423&v=7&brand=GGLD&id=1f931c38a13d4f3aea604e92f4741fbc&uninstall=1&itime=
1137228183&htime=10&uptime=0&num_indexed=2340&avg_indexing_time=6&num_queries=
1&avg_query_time=20&num_commits=1&avg_commit_time=111&num_db_updates=
7411&avg_db_update_time=1&num_db_lookups=0 &avg_db_lookup_time=29666&num_events=
2465&num_docs=2460&av_event_size=241&avg_doc_size=259 &num_events_added=
2465&num_docs_added=2480&ev_of=0.011&doc_of=0.012&db_size=56557893&index_size=
28311655&repo_size=49283278&events_51=2500&dups_51=231&invalid_51=0&exp_search=
1&search_all=1 &time_slp=639&exp_search_slp=1&search_all_slp=1&hypr_stky=
0&hypr_dflt_srch=0&hypr_indx_sz=20971635 &hypr_num=6&hypr_ft_on=1&nuicls=4&af=
1&gmail=0&blist=0&ccrawl=0&sb_size=153&sb_curr_pl=8 &sb_past_pl=1&
{ECCB44957F5B4B4EA8877A66BE948AC1}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,188&
{FBA13A6FE59548B7AB732630042A4E93}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,188&
{65E256ACB33540048C6A5A7F986CD0A4}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,36&
{4516155CB94E43348D26D4BF0932581C}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,115&
{3C66FE034FB7497C850F60265842D043}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,120&
{50EDABE0140C406DA8B932652145560A}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,45&
{A5B8FE6AE3E140F38189630E37C2AA47}=1,0,0,0,0,0,0,0,0,0,0,0,0,0,0&
{3872340B239E4C1CA7830E2A5E28383B} =1,0,0,0,0,0,0,0,0,0,0,0,0,0,36&
{18F55B95159A4982A1377FB2193AB210}=0,0&disp_mode=1&sb_days=0 &default=
6&talk=0&fti_mode=3&hyper_mode=2&hl=ru&user_feeds=0&feeds=1&active_feeds=
1&auto_rem_feeds= 0&feeds_w_clks=0&stocks=0&zip=0&zip_good=0&mem_load=
84&fr_phys_mem=61534208&tl_phys_mem=402112512 &fr_page_mem=878628864&tl_page_mem=
1168248832&fr_vir_mem=2087309312&tl_vir_mem=2147352576&min_ws= 204800&max_ws=
1413120&sx=1280&sy=960&nmon=1&wx=1127&wy=930&fh=11&bw=771&bh=453&free_disk=
5267787776&total_disk=8578932736&w2k=0&efs=0&fs=NTFS&fsf=700FF&news_len=
0&4024883069=1&1381391883=6&873245=1 &outlook-1=1&outlook_addin=1&search_DOC_0=
1&search_XLS_0=1&search_PPT_0=1&search_PDF_0=1 &search_HWP_0=1&search_TXT_4=
1&search_MEDIA_5=1&search_HTTPS_0=0&search_EMAIL_1=1&search_WEB_2=
1&search_CONTACT_9=1&search_CALENDAR_0=1&search_TASK_1=1&search_NOTE_2=
1&search_JOURNAL_3=1 &search_AIM_3=0&search_AIM_6=0&search_SECUREOFFICE_0=
0&blacklist_used=1&integration=1&admin=1

Затем Гугл скачивает данные для локального показа карты (файл google60.txt):
GET www.google.com/maps?file=desktop&sourceid=gd

Далее Гугл скачивает картинки для этой карты (файлы google61.txt — google64.txt) с идентификатором клиента:
GET kh.google.com/kh?&v=3&hl=ru&t=tsrrtrsqqrsqq&cookie=fzwq1JGYLAs0UddQlbttf5nVBnKzeMp-p1wxwA

При удалении программы происходят следующие явления:
Сначала скачивается страница с формой-анкетой (файл google65.txt):
GET desktop.google.com/uninstall-feedback.html?hl=ru

Затем регистрируется удаление программы (файл google66.txt):
GET desktop.google.com/installer?action=uninstall&version=121205-233423&ec=0&id= 1f931c38a13d4f3aea604e92f4741fbc&brand=GGLD&hl=ru&itime=10&htime=10

После этого скачивается javascript-часть к форме-анкете (файл google67.txt):
GET www.google-analytics.com/urchin.js

Этот javascript содержит явно интересный для рассматривания код программы, так как содержит программу скрытого сбора информации о компьютере и пользователе и отправки ее Google (свидетельств передачи при этом личных данных эксперты не увидели).

И еще странный запрос ниже(файл google68.txt). Необычно и непонятно, почему в запросе, который похож на GIF, содержится так много параметров для его получения (обычно GIF-файл является статическим и его получение не требует указания в URL каких-либо параметров. Скорее наличие параметров говорит о том, что вызывается какой-то скрипт, вызов которого маскируется под получение GIF-файла. Причем, такой способ маскировки удобен тем, что не требует привлечения пользователя для его вызова и сбор статистики может быть осуществлен автоматически. Этот запрос является результатом работы скрипта, показанного в файле google67.txt, судя по результатам анализа программы, находящейся в нем). Связь при этом установлена с адресом на www.google-analytics.com:
GET www.google-analytics.com/__utm.gif?utmwv=1&utmn=1742479550&utmsr=1280×960&utmsc=32 -bit&utmul=en-us&utmje=1&utmfl=6.0&utmcn=1&utmdt=%u0421%u043F%u0440%u0430%u0432%u043E%u0447%u043D% u044B%u0439%20%u0446%u0435%u043D%u0442%u0440&utmhn=desktop.google.com&utmr=- &utmp=/support/bin/request.py?contact_type=uninstall&hl=ru&utmac=UA-18007-2&utmcc=__utma% 3D171019829.1742479550.1137228847.1137228847.1137228847.1%3B+__utmb%3D171019829%3B+__utmc% 3D171019829%3B+__utmz%3D171019829.1137228847.1.1.utmccn%3D%28direct%29%7Cutmcsr%3D%28direct%29% 7Cutmcmd%3D%28none%29%3B

Напоследок — прощальное обращение Гугла на страницу поддержки:
GET desktop.google.com/support (файл g69.txt)

Поведение Яндекса

На фоне Гугла Яндекс ведет себя как спокойный Удав Каа по сравнению с непоседливой Пеппи-Длинный Чулок.

После установки Яндекс получает RSS-файл (это XML-файл с информацией о параметрах Яндекса. Просмотр не выявил в нем ничего подозрительного).
GET desktop.yandex.ru/version.rss?appid={C975C436-D0C3-46C3-BC71-60371B395405}&ver=0.9.8.310

При этом на компьютер устанавливается Кука:
yandexuid=6745512991138264648; expires=Tue, 19 Jan 2038 03:14:07 GMT; path=/; domain=.yandex.ru

РЕКЛАМНЫЙ БЛОК

[ Хотите знать больше о частной разведке? Регистрируйтесь и общайтесь на интернет-форуме it2b-forum.ru ]

И агенту явно присваивается уникальный идентификатор (appid). Вероятная цель этих действий — идентификация компьютера (или инсталлированной версии программы поиска).
(подлинник этой записи со всеми подробностями можно увидеть в файле yand1.txt).

Затем, вероятно, обновляется счетчик использования программы поиска на сайте Яндекса при каждом запросе к программе поиска(файлы yand2.txt — yand4.txt):
GET export.yandex.ru/counters-js

Это видно по полю Referer — Referer: 127.0.0.1:9375/

При этом от клиента передается кука, установленная ранее. Собственно тело содержит один Javascript-оператор, присваивающий счетчику нулевое значение.

Можно констатировать, что реализованы следующие параметры:

  • идентификация клиента в целом (с помощью кук),
  • идентификация фактов использования клиентом программы и выдаваемых им поисковых запросов (так как в локальном интерфейсе запрос программе поиска передается с помощью GET-запроса, в поле Referer он виден — например, тестовый запрос «aaaa» привел к появлению вызова счетчика с полем Referer
    Referer: 127.0.0.1:9375/?dtype=0&ls=1&text=aaaa)

Правда, эксперты считают, что скорее всего, это незапланированный побочный эффект (им надо было использовать POST-запрос, а не GET), так как, по мнению экспертов, Yandex — добропорядочная компания, и если бы захотела собирать информацию об использовании, предупредила бы пользователей об этом и реализовала бы ее сбор совершенно по-другому (например, как Google — с помощью отдельного запроса), но, как говорится, «кто предупрежден, тот вооружен».

В заключение — несколько слов о том, почему безвреден loopback, несмотря на то, что порты открываются.
Loopback абсолютно безвреден потому, что он не доступен извне. Порты, открытые на этом адресе, не могут быть использованы злоумышленниками для организации «черного входа» на компьютер.

Дело в том, что ip-адрес, который имеет этот процесс, означает, что пакет можно послать только с этого компьютера на этот же компьютер, т.е. — самому себе и никак иначе.

Loopback на самом деле — это IP-адрес с DNS-именем localhost (не путать с localhost — это условное имя локального компьютера в Outpost) (127.0.0.1). Нас интересует именно IP-адрес, так как для успешного взаимодействия с компьютером, нужно его знать и этот адрес должен быть маршрутизируемым (т.е. компьютер-отправитель пакета и промежуточные компьютеры между ним и компьютером-получателем пакета должны знать, куда его послать). Адрес 127.0.0.1 — это локальный адрес, соответсвующий этому компьютеру. При попытке послать пакет на этот адрес, компьютер будет посылать его сам себе. И как, спрашивается, компьютер сможет обратиться по этому IP-адресу к другому компьютеру?

Когда вы видите, что программа открыла сетевой порт больше 1024 и локальный порт показан как localhost:any, то это чаще всего означает лишь, что программа недавно взаимодействовала с удаленным хостом и использовала этот временный (и случайным образом назначенный) номер локального порта для исходящих соединений, а не для того чтобы принимать запросы от удаленных компьютеров. Стек протоколов TCP/IP устроен так, что какое-то время после завершения передачи данных порт показывается как открытый.

Проверить, что порт не используется, можно очень просто — можно в журнале файрволла Agnitum Outpost посмотреть, не было ли исходящих соединений от этой программы (чаще всего оказывается, что для якобы открытых портов UDP посылались DNS-запросы, а для TCP — организовывались исходящие соединения). Гораздо более объективную информацию можно получить с помощью программы Secheck ( www.mynetwatchman.com/downloads/seccheck.exe ). Она заслуживает отдельной статьи, если по-хорошему, так как дает очень полную и объективную картину о системе и в большом числе случаев помогла легко вычислить троянские программы у пользователей. Поэтому для комплексного анализа программ на шпионские функции эксперты рекомендуют использовать три программы — Agnitum Outpost, Smsniffer и Secheck.

А для тех, кто на самом деле, анализирует внутреннее содержимое обнаруженных шпионских программ, есть Malcode Analyst Pack ( labs.idefense.com/labs-software.php?show=8 ). С его помощью можно активно вмешиваться и перехватывать все запросы шпиона (там тоже есть сниферы. Может быть, он помог бы перехватить незашифрованный текст того, что посылается с помощью SSL Google-овской программой…

Мы надеемся, что предоставленный материал окажется полезным как для пользователей, так и для специалистов по защите информации и поможет им сделать осознанный выбор в пользу той или иной программы.

Автор: Е. Л. Ющук, (автор книги «Конкурентная разведка: маркетинг рисков и возможностей», член SCIP)

Оцените статью
Технологии разведки для бизнеса