Сбор данных в новой ОС от Microsoft пугает многих параноиков личной безопасности и не только. Про центры «слива» информации определенные сведения уже есть, как и способы борьбы с этим. Тем не менее, великий телеметрический путь продолжает раскрывать себя и дальше.
В качестве агента выступил ноутбук с Win10 Pro и отключенными в самой ОС параметрами сбора данных. Из установленных программ присутствовали MS Office и Kaspersky Internet Security с отключенной защитой. Пользователь без привязки к аккаунту Microsoft. После окончания очередного анализа сети с использованием Intercepter-NG, программа осталась работающей. Вернувшись к ноутбуку через какое-то время, обнаружил странный улов:
- Рыбка MS-SQL Auth 22:02:27/29/09/15 184.86.7.46(from)/192.168.0.100:2392(to) + данные логина и пароля,
- Рыбёха MS-SQL Auth 22:05:19/29/09/15 164.215.74.178(from)/192.168.0.100:2519(to) + данные логина и пароля.
Во втором случае данных получилось больше. К сожалению полностью сетевой обмен не записывался, поэтому полного содержимого пакетов нет.
Вопрос о том, что еще за MS SQL на родненьком ноутбуке крутится, был первым. Вероятно какая-то полезная сервисная служба ОС использует некий подобный функционал. Ведь рассчитывать на абсолютно точное детектирование от Intercepter-NG может быть неправильным.
Откуда же пришли данные авторизации (аутентификации)? Указанных адресов в сборе телеметрии замечено не было или возможно поиск был неудачным. Ответы от whois: 1) Akamai International, BV (Amsterdam), 2) RIPE Network Coordination Centre (Amsterdam); ситуацию в общем-то слабо проясняют, даже запутывают.
Возможно я что-то не учёл, не понял или просто не знаю, но данный факт имеет место быть. За несколько часов повторного мониторинга подобного не обнаружилось. В список следящих по результатам также попадают static.akamaitechnologies.com (23.43.134.135), MTS's network for Akamai node (212.30.134.198), msft.net (191.232.139.254) с серверами из Бразилии плюс еще ребята Microsoft из Сингапура — 111.221.29.253. На самом деле их столько, что перечислять лень.
Надеюсь кто-нибудь подскажет про MS SQL на Win10, а лучше про пароль и имя пользователя txt файл. Кодировка Unicode и ни одного читаемого символа кроме указанных выше данных.
Автор: