куда стучат колокола

[brmail]

Все уже наслушались ужастиков на тему шпионства десятой винды. Дышать рядом с компьютером с такой операционкой просто опасно, может учуять запах алкоголя и настучать в полицию (шучу, если кто не понял)
Однако микрософт перегнул палку в этом случае, определенно перегнул. И что неприятно продолжает в том же духе. Последние несколько месяцев и в семерку и в восьмерку добавляется функциональность подобная той, что заложена в десятку ( Через windows update вот эти вот обновления: KB3080149, KB3075249, KB2952664, KB3035583, KB3068708, KB3022345, KB3021917, KB2976978, KB3044374, KB2990214, KB971033, KB3075851)
Те система собирает о вас информацию и отправляет ее в микрософт. Причем не всегда есть возможность помешать ей. Так например я точно знаю что помещенная в hosts файл запись блокирующая адрес fe2.update.microsoft.com.akadns.net никак не мешает работе windows update, тогда как этот же адрес заблокированный на домашеним роутере не дает работать windows update на любой из машин в домашней сети. Так что вариант с забиванием имен домейнов в host или ip адресов в windows firewall (как это делает уже ставший сильно популярным опенсорсный DWS_Lite.exe build 328 - погуглите, интересный проект, поможет убрать например установленные уже указанные выше обновления ) не является панацеей. Поэтому я собрал в кучу адреса и явки в виде списков, и скормил их домашнему роутеру. Те всем машинам из домашней сети запрещено обращаться к адресам из этих списков. Если ваш роутер умеет делать такие штучки, то рекомендую проделать такую же операцию.

ЗЫ. Я осознаю, что при желании микрософта не дать юзеру пресекать сбор подобной информации - они ее смогут собирать, залезая для этого глубоко ниже, чем механизмы обеспечивающие функциональность сети на уровне операционки, а для мест слива используя домейны от которых пользователь отказаться не сможет - те же адреса для windows update например. Просто такие телодвижения потребуют от микрософта значительных затрат, а "победят" они при этом весьма небольшой процент пользователей, так же как я озабоченных защитой своей частной жизни. Так что шансы побороться есть.

Comments

[birdwatcher.livejournal.com]

Так это ценная информация, а не ужастики, раз вы в результате советуете огораживаться раутерами.

[brmail]

Пока это все же ужастики, но в обозримом будушем это может стать проблемой, типа ты скачал посмотреть себе серию любимого сериала, а микрософт продала эту инфу грязноруким лоерам, в результате можно заполучить вымогательное письмо - "ты нам пару штук баксов, а мы тебя судить не будем" Ну и не только это, мне откровенно не нравится когда я сажусь на горшок, а из горшка высовывается видеокамера.
Поэтому пока вот так. Раз микрософт подходит к вопросу частной жизни таким образом: "могу нахапать побольше информации о пользователе, значит нахапаю", то я со своей стороны буду подходить к данному вопросу так же: "могу не дать микрософту добывать мою информацию, значит буду пытаться не дать"
Собственно у меня (в том числе и для этого) дома стоит роутер не за 50 баксов, а чуствительно дороже, что позволяет мне на нем разрешать или запрещать все, что мне придет в голову.
Ну и опять же у меня в сети бегает сейчас 4+ разных компа, и собрать в одно место конфигурацию всех запрещений удобно для последующей модификации

[pin-gwin.livejournal.com]

А какой раутер? Мне бы пора обновить....

[brmail]

ты вероятно просто не захочешь. Я его покупал под софт - pfsense Реально это просто комп, только очень мелкий и с двумя гигабитными нетворк картами
называется fit-pc2i , и три года назад он мне обошелся примерно в 350 баксов. Сейчас модно найти и за другую цену,
с уже установленным софтом для роутера, коробочка размером 12 на 12 сантиметров, или полазай по форуму - должны быть и более дешевые варианты. Годится любой мелкий писюк с 2 нетворками. До покупки стоит проверить на их форуме, что у этого железа нет несовместимости с юникс-ядром использованным в прошивке
Реально он не глючит с торрентами, и дает полный контроль над тем, что творится внутри твоей сети.
так как я давно не смотрел замену за ненадобностью то посоветовать что то готовое, кроме уже указанного не могу.

[pin-gwin.livejournal.com]

понятно, спасибо, тот что у меня списки запретных тоже имеет, погляжу.

[pin-gwin.livejournal.com]

ГЕНИАЛЬНО!!!! Кака я забыл про раутер!!!! Как бы тебя в топ вывести с этим!!!!

[valex470.livejournal.com]

Очень полезно, спасибо
А сработает если скормить эти адреса и явки антивирусу? (В частности ESET Smart security?)

[brmail]

ip адреса можно скормить любому файрволлу, а имена из второго списка - запихать в файл hosts . Но как показывает практика, не вся начинка виндов пользуется этим файлом, как результат могут быть проколы.

[pin-gwin.livejournal.com]

Одна беда осталась - чужие вайфаи.... но там нас просвечивают обычно андроидные рентгены.

[brmail]

Я для себя считаю что перехват ввода клавиатуры - особенно с компа на котором есть доступ к банку например, это секьюрити бридж, и ничто меня не убедит в обратном. Или например инвентаризация установленных программ, или отправка списка найденных на компе фильмов. Поэтому надо пресекать. Если не происходит удерживание надолго пакетов которые отправить сразу не удалось, то внешние сети не проблемы, не ходите оттуда в банк и не лазьте по торрентам и все будет путем. Если же удержание и попытки отправить по новой продолжаются достаточно времени, то соваться во внешние сети не надо.
Я еще думаю на эту тему. Идеи есть, но я пока не готов к реализации.
Хотя ничего там особо сложного и нету.
Посмотрим, что народ нароет со временем

[pin-gwin.livejournal.com]

Я согласный. Вот у меня сын сделал просто - один комп, основной рабочий, у него никогда не включается в тырнет. Строго - если что надо - флешка.

[yostrov.livejournal.com]

Компьютеры внутри домашней сети еще както можно защитить, если не ставить другие продукты Майкрософта. Но если подключаются и другие сети - уже проблема.
Я сейчас занимаюсь таким продуктом: EMS - чтобы у пользователей не осталось никакой иллюзии самостоятельности.

[brmail]

ну пока не ясно как оно там все с этой отправкой реализованно. Если например винда у тебя своровала инпут с клавиатуры, зашифровала и пытается отправить - а там облом. Что дальше? По хорошему надо отложить и попробовать снова через некоторое время. А если опять облом? Сколько времени будет удерживаться готовый к отправке пакет. Если вечно, пока не отправит - то коннект к любому внешнему wifi и хана, все накопленное отправиться. А если у пакетов есть retention time, что достаточно вероятно, то и ничего - особенно если это время не длинное, а несколько дней всего...

[yostrov.livejournal.com]

EMS блокирует устройство, если регулярно не передает информацию в Центр.

Не знаю, как там в W10, но может будет сообщение об ошибке с обязательным апдейтом. Лимит возможен не только по времени, но и по размеру файла, и по степени важности информации.

[brmail]

гы, линк прикольный ты дал, прямо на ошибку ведет

[yostrov.livejournal.com]

http://www.microsoft.com/en-us/server-cloud/enterprise-mobility/Overview.aspx
Что за ошибка?

У меня VPN хороший, но это открытый сайт.
Ты с раутером переигрался :)

Погугли: Microsoft EMS

[brmail]

Server Error in '/en-us/server-cloud' Application.

Runtime Error

Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.

Details: To enable the details of this specific error message to be viewable on remote machines, please create a tag within a "web.config" configuration file located in the root directory of the current web application. This tag should then have its "mode" attribute set to "Off".

[yostrov.livejournal.com]

А если ссылку скопировать в браузер - то же самое?

http://www.microsoft.com/en-us/server-cloud/enterprise-mobility/Overview.aspx

[brmail]

если в браузер, то работает. А клик похоже не туда ведет

[yostrov.livejournal.com]

Это значит у тебя собственные проблемы...