Google атакует | Xakep.ru жжёт :) Читаем статью - оцениваем :)

Не стал копировать картинки :) Но статья смешная, да и картинки там без смысла, просто показывают юзер агенты гуугла и так далее :)

Право на privacy, уже и без того изрядно потрепанное в боях, подверглось очередной атаке. На этот раз - со стороны гиганта Google, шпионящего за нами с помощью закладок, встроенных в популярные браузеры (Горящий Лис, Опера), а также панель Google Toolbar, установленную у миллионов пользователей. Но как обнаружить факт шпионажа (я, например, обнаружил это чисто случайно), какая именно информация передается, чем это нам грозит в практическом плане и можно ли предотвратить разгул безобразия своими собственными силами? Сейчас посмотрим, мой друг, сейчас посмотрим…

Интернет представляет собой отличный инструмент для контроля над деятельностью его обитателей, в котором заинтересованы и правительственные учреждения, и крупные/мелкие корпорации, и не в последнюю очередь хакеры. Да и стандартный браузер и так предоставляет слишком много информации о клиенте, передавая ее узлу, с которым осуществляется соединение: тип и версию операционной системы и самого браузера, а также адрес предыдущей посещенной страницы. Невероятная богатая информация для статистического анализа, но, к сожалению аналитиков (и к счастью простых пользователей), полностью децентрализованная и разобщенная: не существует никакого единого центра по сбору данных, и хотя некоторые фирмы предоставляют бесплатные счетчики (типа www.SpyLog.ru), они контролируют лишь те сетевые ресурсы, на которых они установлены.

Панель управления Google Toolbar, выпущенная для Горящего Лиса и IE, не только упрощает web-серфинг, но и передает Google информацию о посещаемых узлах, типе и версии браузера/операционной системы, честно предупреждая об этом в пользовательском соглашении, поэтому тут никаких претензий у нас нет. По официальной версии, полученные данные не разглашаются, не передаются никаким третьим лицам (типа ФБР), а используются исключительно для улучшения качества поиска. Наиболее часто посещаемые ссылки получают более высокий приоритет и выводятся первыми, от чего выигрывает как сама поисковая машина, так и конечные пользователи (независимо от того, установлен у них Google Toolbar или нет).

Естественно, далеко не каждый готов делиться с Google какой бы то ни было личной информацией. Поэтому компания вступила в сговор с разработчиками некоторых популярных браузеров (Горящий Лис, Опера), убедив их встроить специальные закладки, скрыто передающие информацию обо всех действиях пользователя в специальных аналитический центр. Последний, естественно, принадлежит Google. Быть может, в этом и кроется секрет бесплатности Оперы? Как знать.

Ладно, не будем гадать на кофейной гуще, а лучше пронаблюдаем за процессом передачи данных своими собственными глазами и подумаем, как предотвратить утечку персональной информации, раскрытие которой может иметь определенные последствия. В частности, хакеры давно и небезуспешно используют Google для атак на сайты, о чем можно прочесть в статье «Google Hacking for Penetration Testers», написанной хакером по прозвищу Johnny Long.

Больше всего, конечно, от этого страдают владельцы web-серверов, но и обычным пользователям временами приходится несладко. Так что… займемся экспериментами.

Готовим операционную.

Итак, что нам понадобится? Горящий Лис (версия 1.5), Internet Explorer (версия 6.0.2800.1106), Опера (версия 8.51). Остальные версии я не проверял, поэтому их поведение может отличаться от описанного. Еще нам потребуется снифер (грабитель сетевого трафика) и брандмауэр (для защиты от утечек информации). Я использую SyGate Personal Firewall от компании SyGate (ныне купленной корпорацией Symantec), включающий в себя неплохой пакетный фильтр. Если до версии 4.2 для некоммерческого использования он был бесплатен, то теперь за полную версию просят денежку, а из демонстрационной пакетный фильтр исключен. Поэтому приходится либо раскошеливаться, либо искать антиквариат, либо использовать какой-нибудь другой брандмауэр плюс бесплатный tcpdump (www.tcpdump.org), портированный под множество операционных систем, среди которых значится и Windows.

Также для чистоты эксперимента рекомендуется установить свой собственный web-сервер, чтобы исключить все побочные воздействия. Лично я юзаю Small Http Server, который советую и остальным, тем более что для граждан бывшего СНГ он бесплатен.

Внешний вид персонального брандмауэра.

Взятие Горящего Лиса с поличным.

Берем свежеустановленного Горящего Лиса за хвост и идем по адресу http://nezumi.org.ru (адрес моего web-сервера). Открываем SyGate Personal Firewall, лезем в «Logs -> Packet Log» (при этом галочка «Capture Full Packet» в «Options -> Log» должна быть заблаговременно установлена) и видим, что в пакетном логе появились какие-то странные и совершенно левые IP-адреса, с которыми сношался процесс firefox.exe через 80-й порт. Локальный адрес моего сервера в логе отсутствует, поскольку пакетный фильтр Sygate Personal Firewall игнорирует трафик, идущий через loopback-петлю 127.0.0.1.

При заходе на сервер http://nezumi.org.ru Горящий Лис тайком передает какую-то информацию по адресам 72.14.217.93 и 209.85.137.99, принадлежащим корпорации Google.

Попробуем выяснить, кому принадлежат эти IP, определив их доменные имена посредством штатной утилиты tracert.exe. Ее стараниями мы быстро узнаем, что адресу 72.14.217.93 соответствует доменное имя bu-in-f93.google.com, а 209.85.137.99 – mg in f99.google.com.

Ага! В воздухе уже запахло паленым. Оба адреса принадлежат корпорации Google и, что самое интересное, находятся в различных подсетях. Короче, факт скрытой передачи персональных данных можно считать надежно установленным. Остается только выяснять, какая именно информация передается. Это легко! Достаточно взглянуть на окно дампа, содержимое которого приведено ниже:

сюда всен 18к символов не влезли, читаем дальше с картинками по адресу http://1488.ru/node/920