Co wie o tobie Microsoft?

Producenci sprzedają to pod hasłem ''usługa dla klientów'', sceptyczni użytkownicy obawiają się inwigilacji. A wszystko dlatego, że niektóre programy wysyłają niepostrzeżenie dane do centrali. Dowiedz się, jakie informacje wyciekają z twojego peceta i jak się chronić przed wścibstwem projektantów oprogramowania?

Producenci sprzedają to pod hasłem ''usługa dla klientów'', sceptyczni użytkownicy obawiają się inwigilacji. A wszystko dlatego, że niektóre programy wysyłają niepostrzeżenie dane do centrali. Dowiedz się, jakie informacje wyciekają z twojego peceta i jak się chronić przed wścibstwem projektantów oprogramowania?

Czy twój komputer jest tajnym współpracownikiem na usługach producentów oprogramowania? Jeśli masz zainstalowane standardowe aplikacje, możesz być pewny, że w centrali mają twoją "teczkę". Użytkownicy komputerów PC mają coraz mniej tajemnic. W kooperacji z producentami sprzętu, AMD, Intelem i HP, Microsoft pracuje nad technologią NGSCB (Next Generation Secure Computing), która ma zapewniać większe bezpieczeństwo użytkowania peceta. Czy oznacza to lepszą ochronę przed wirusami, robakami i niechcianą korespondencją? Nie, przede wszystkim chodzi o zabezpieczenie producentów oprogramowania i treści multimedialnych (muzyki, filmów) przed pirackim kopiowaniem. NGSCB ma być wprowadzony już w przyszłym roku - po raz pierwszy pojawi się w Longhornie, następcy systemu Windows XP. Wraz z nim producenci chcą wdrożyć obowiązek certyfikowania w wielu sektorach PC - kosztem sfery prywatnej użytkowników. Wymagane certyfikaty będą przypuszczalnie powiązane z danymi określonego systemu.

Piosenka jutra - już dzisiaj

To, co brzmi jak rodem z powieści science fiction, doczekało się opracowania, a po części zostało nawet wprowadzone w życie. Programy szpiegowskie (powszechnie określane mianem spyware'u) rejestrują i protokołują preferencje internautów dotyczące odwiedzanych witryn, aby stosownie dobierać treść reklam wyświetlanych na ich monitorach. W ramach aktywacji produktu Windows XP przekazuje producentowi jednoznaczne identyfikatory podzespołów sprzętowych. Podczas pobierania plików z serwerów Microsoftu użytkownik jest obligowany do poddania swojego oprogramowania testom na legalność. W razie wątpliwości serwer może zgłosić nieudaną próbę zweryfikowania (validation failure) i odmówić zgody na pobranie żądanych treści. Utwory rozpowszechniane komercyjnie są zabezpieczone mechanizmem DRM (Digital Rights Management). W wyniku tego dają się odtwarzać tylko w jednym komputerze.

Producenci zarzekają się, że nie zamierzają węszyć w komputerach klientów ani pozyskiwać ich danych osobowych, ale rodzi się pytanie, czy można obdarzyć ich bezgranicznym zaufaniem. Z lektury kolejnych stron dowiesz się, jak daleko posunęli się w swoich działaniach i jak sprawdzić, co twój komputer zdradza o tobie swoim mocodawcom.

Gadatliwy Windows

Aktywacja, aktualizacja czy pobieranie oprogramowania z serwerów Microsoftu, a nawet korzystanie z odtwarzacza Windows Media Player - system Windows bardzo lubi kontaktować się z rodzimą bazą. Co prawda, obecnie przesyłane informacje nie pozwalają zidentyfikować użytkownika (tzn. wywnioskować, że to właśnie ty chcesz wykonać określoną operację), jednak już dziś zdarzają się wyjątki. W pierwszej części artykułu badamy czynności sieciowe dotyczące wszystkich użytkowników systemu.

1. Aktywacja

Ochrona czy przechwytywanie danych - Microsoft korzysta z okazji, aby podczas aktualizowania systemu uzyskać garść informacji o tobie i twoim systemie (punkt 2).

Ochrona czy przechwytywanie danych - Microsoft korzysta z okazji, aby podczas aktualizowania systemu uzyskać garść informacji o tobie i twoim systemie (punkt 2).

Począwszy od edycji Windows XP Microsoft wyposaża swoje systemy operacyjne w swoiste bomby z zapalnikiem czasowym. Jeśli nie zarejestrujesz się w przeciągu 30 dni od chwili zainstalowania i nie udowodnisz producentowi, że masz legalnie nabytą wersję, twój system przestanie działać. Mechanizm ten, zwany aktywacją, inicjuje polecenie msoobe.exe /a (plik Msoobe.exe znajduje się w katalogu \Windows\System32\Oobe).

Użytkownik, który chce wyjawić jak najmniej informacji, powinien zdecydować się na aktywację przez telefon. Dzięki tej metodzie producent pozna tylko identyfikator sprzętu, 50-cyfrowy numer podany przez system.

Aktywacja przez Internet nie jest tak dyskretna. Twój system komunikuje się z serwerem aktywującym za pośrednictwem protokołu HTTP z szyfrowaniem SSL (Secure Sockets Layer). Wykorzystując narzędzia swojego autorstwa, specjaliści z redakcji Tecchannel ( http://www.tecchannel.de ) przechwycili i przeanalizowali strumień wysyłanych danych. System przekazuje serwerowi aktywującemu trzy zapytania - każde z nich wymaga osobnego potwierdzenia. Podczas tej operacji transmituje identyfikator twojego systemu, który jest podany po wskazaniu polecenia Właściwości w menu podręcznym ikony Mój komputer (widnieje w rubryce Zarejestrowano dla). Ciąg ten zostaje wyliczony z klucza produktu podanego na opakowaniu i wpisanego w ramach instalowania systemu. W przypadku systemu z dodatkiem SP1 lub nowszym przekazywane są ponadto dodatkowe informacje: wspomniany klucz produktu, bieżące ustawienia językowe systemu i dane konfiguracyjne sprzętu, takie jak np. adres MAC karty sieciowej czy numer seryjny procesora.

Taka sterta informacji wystarczy do zidentyfikowania określonego użytkownika, jednak indywidualne dane konfiguracyjne nie są bezpośrednio wplecione w wysyłany strumień, lecz przed transmisją ulegają rozproszeniu za pomocą funkcji mieszającej (tzw. hashing). Utworzona w ten sposób liczba pozostaje identyfikatorem, ale nie pozwala ustalić pierwotnych wartości poszczególnych parametrów konfiguracyjnych. Wobec tego Microsoft nie ma możliwości inwigilowania użytkowników ani ich oprogramowania poprzez aktywację systemu Windows.

2. Aktualizacja

Funkcja aktualizowania systemu Windows nie zachowuje tak dużej dyskrecji jak aktywacja, o której mowa powyżej. Podczas odwiedzania witryny http://www.windowsupdate.com czy choćby przywołania funkcji Windows Update kontrolka ActiveX wysyła zapytanie do serwera udostępniającego aktualizacje.

Według naszych ustaleń, system wysyła znacznie więcej informacji niż trzeba. Oprócz jak najbardziej wskazanych danych z rejestru, takich jak numery wersji systemu, przeglądarki internetowej i innych aplikacji Microsoftu, do których mogą być uaktualnione wersje oprogramowania, twój komputer zdradza bieżące ustawienia językowe, klucz produktu, wersję BIOS-u i zainstalowane aktualizacje.

Przesyłanie powyższych informacji jest jeszcze do zaakceptowania, ale oprócz tego kontrolka ActiveX podaje producentowi numer GUID (Globally Unique Identifier) i adres IP. Wspomniany GUID to identyfikator systemu składający się z 32 liczb w formacie szesnastkowym. Sam numer GUID nie pozwala ustalić konkretnej osoby. Jeśli jednak zdecydujesz się zarejestrować (nie tylko aktywować) swój system lub zaprenumerować korespondencyjne powiadamianie o nowościach Microsoftu, producent będzie w stanie powiązać cię z określonym numerem GUID. Wówczas będzie można (przynajmniej z technicznego punktu widzenia) wydedukować osobiste dane - nazwisko użytkownika i jego adres z informacji wysyłanych w ramach aktualizowania systemu i aplikacji.

Wychodzimy z założenia, że Microsoft nie stosuje przytoczonych powyżej metod, choć ma takie możliwości. Jak informuje, protokołowanie adresów IP służy jedynie do celów statystycznych. Mimo to sądzimy, że można zrezygnować z rejestrowania aplikacji i listownego powiadamiania o nowościach.

Oprogramowanie to kwestia zaufania

To, co program robi w komputerze użytkownika, wie właściwie tylko jego autor. Nie dysponując kodem źródłowym aplikacji, jesteś zdany na jego łaskę i niełaskę. Analiza mająca na celu ustalić, czy operacja na określonym pliku lub kluczu rejestru jest groźna czy bezpieczna i czy programy nie zbierają potajemnie twoich poufnych danych lub nie protokołują preferencji internetowych, jest nadzwyczaj trudna i pracochłonna. W tym przypadku pozostaje ufać postanowieniom umowy licencyjnej i deklaracjom producenta o ochronie danych.

Jeśli masz do czynienia z danymi o szczególnym stopniu poufności, rozważ, czy nie warto przejść na oprogramowanie open source. Mimo że nawet najwięksi producenci udostępniają kod źródłowy oprogramowania wybranym osobom, instytucjom czy urzędom, nikt nie może mieć całkowitej pewności, że produkt zainstalowany na jego dysku co do joty zgadza się ze wspomnianym kodem źródłowym. Oprócz tego wraz z aktualizacjami i dodatkami dostają się do komputera nowe programy, które mogą mieć nieznane funkcje.

Teoretycznie nawet aplikacje open source mogą zawierać szkodliwe procedury lub moduły szpiegujące. Dlatego również w tym przypadku (dotyczy to także oprogramowania free- i shareware) powinieneś stosować tylko programy ze źródeł, które cieszą się twoim zaufaniem. Nie zrażaj się tym, że nie chcesz lub nie potrafisz interpretować kodu źródłowego. Samo oddanie go do publicznej wiadomości umożliwia kontrolę, czyli przyczynia się do zwiększenia bezpieczeństwa.

Przymusowe aktualizowanie

Mimo że nie lubisz dzielić się danymi z Microsoftem, powinieneś koniecznie aktualizować swój system. W przeciwnym razie ryzykujesz, że padnie ofiarą wirusa lub robaka. W najgorszym przypadku stanie się narzędziem internetowych rzezimieszków rozsyłającym niechcianą korespondencję do losowo wybranych osób. W obliczu takiej perspektywy wymiana danych z Microsoftem to znacznie lepsze rozwiązanie.

Microsoft piratom

Każdy dodatek Service Pack zawiera czarną listę z nielegalnymi kluczami produktu. Użytkownicy, którzy zainstalowali system Windows przy użyciu jednego z tych numerów, nie będą mogli uruchomić pakietu Service Pack. Podobna sytuacja ma miejsce podczas korzystania z funkcji Windows Update, a od niedawna również podczas zwyczajnego pobierania plików aktualizacyjnych. Microsoft sukcesywnie rozszerza listę. W ten sposób chce zablokować piratom dostęp do aktualizacji, a korzystanie z systemu obfitującego w luki przyniesie im wątpliwe korzyści. Stanie się bezużyteczny lub zostanie wykorzystany do dystrybuowania spamu.


Zobacz również