–-Что такое Windows? - Спросите вы..
–- Windows –- это операционная система которая нацелена на интероперабельность и юзабилити, а так же легкость восприятия и работы с ней, для того чтобы работать с этой операционной системой вам как правило не нужны какие-то специальные навыки, тут все легко и просто.
Но давайте разберемся почему же убегают люди.. Почему они не доверяют данной операционной системе, кто прав, кто виноват, действительно ли операционная система передает о вас информацию без вашего согласия или нет?!
Сразу хочу сказать, что для анализа операционной системы Windows за основу я взял официальный дистрибутив Windows 7 Home Premium 64 bit SP1.
Чтобы у вас не было никаких сомнений по этому поводу я засуну под спойлер вырезку из другой моей статьи с подробным наглядным поиском.
Допустим Вам на обучение дали задание скачать операционную систему – Windows 7 Home Premium
Мы знаем, что данная операционная система поставляется от разработчика Microsoft, далее уже идем в поиск и совершаем следующий поисковый запрос:
я легко нашел хеш-сумму операционной системы Windows 7 Home Premium 64bit на официальном сайте Microsoft
Далее нам необходимо найти файл, который соответствует данной хеш-сумме, для этого так же используем поисковую систему Google
После того, когда вы скачиваете этот файл , то при помощи нашей хеш-суммы можно удостовериться, что этот файл не изменялся, т.е. он обладает целостностью.
Есть инструменты, которые вы можете скачать, чтобы делать это. Одним из таких инструментов является Quick Hash, и я покажу на примере с ним, как сверить хеш-суммы и убедиться в целостности полученной информации.
ТЫК
На Изображение , мы видим, что хеш-сумма, скачанного файла, соответствует хеш-сумме данной нам с официального сайта Microsoft.
Так же я приложу ниже, информацию по другим хеш-суммам данного файла
SHA-1: 6C9058389C1E2E5122B7C933275F963EDF1C07B9
SHA-256: C10A9DA74A34E3AB57446CDDD7A0F825D526DA78D9796D442DB5022C33E3CB7F
SHA-512: E0CB678BF9577C70F33EDDC0221BC44ACD5ABD4938567B92DC31939B814E72D01FAC882870AB0834395F1A77C2CD5856FD88D2B05FBE1D1D9CCE9713C1D8AB73
Вы можете заметить, что с увеличением этих цифр в алгоритме хеширования, длина хеша становится все больше, поскольку это длина в битах. SHA-1 - короткий, 256, 512 и MD5, который слаб и не должен использоваться вообще. Так что это является способом подтверждения того, что файл, который вы скачали, сохранил свою целостность.
Так же нам понадобиться инструмент для захвата и анализа сетевого трафика WireShark
Для эксперимента я взял сайт базирующийся на HTTP протоколе uznayvse.ру после того как я кликну по ссылке запрос от сайта будет отображен в окне программы WireShark под цифрой 1-н, но давайте сразу разберем за что отвечает каждое окно программы для лучшего усвоения материала.
Данная область называется Packet List – в ней вы можете посмотреть с каким сервером идет обмен данными, протокол который используется и общую информацию о кадрах.
Следующая область называется Packet Details – в ней отображаются детали пакетов который был выбран в Packet List.
И последняя область называется Packet Bite – в ней отображается 16-е отображение данного пакета, также отображается смещение в виде аски, и так же если мы кликнем правой кнопкой по данной области можем посмотреть как все это будет выгладить в битах.
ТЫК
Вот что происходит, когда вы нажимаете по ссылке, все данные трафика сразу же фильтруются
ТЫК
Давайте разберем, полученные пакеты подробнее и узнаем наглядно о слежке, анализе и т.д.
ТЫК
1.Пересылаемые пакеты по нашему фильтру
2.Целевой домен, то есть главная страница сайта без всякой ереси после слеша "/"
3.Юзер агент, то есть параметры браузера, версия операционной системы и другие параметры..
4.Referer – указывает с какой страницы мы перешли на эту страницу так как мы перешли с защищенной страницы, там было много пакетов с переадресацией в конечном итоге мы с этой же страницы сослались на себя же, если я к примеру, перешел с главной страницы сайта на данную то в рефере бы стояла главная страница сайта. (смотрите скриншот ниже с пояснением чтобы полностью вникнуть в смысл).
5.Куки, либо сессия ) Вот ваш и пароль приплыл )
6.Ну, а это уже конечная страница где мы находимся
ТЫК
Для того чтобы у вас после прочитанного не осталось сомнений я решил разобрать эти пункты перейдя с одной страницы веб-сайта на другую и как мы можем видеть:
Refer – указывает предыдущую страницу которые мы разбирали именно с нее мы пришли на данную страницу
На какой странице мы сейчас находимся
Как мы видим сам по себе протокол HTTP не предполагает использование шифрования для передачи информации. Тем не менее, для HTTP есть распространенное расширение, которое реализует упаковку передаваемых данных в криптографический протокол SSL или TLS.
Название этого расширения — HTTPS (HyperText Transfer Protocol Secure). Для HTTPS-соединений обычно используется TCP-порт 443. HTTPS широко используется для защиты информации от перехвата, а также, как правило, обеспечивает защиту от атак вида man-in-the-middle — в том случае, если сертификат проверяется на клиенте, и при этом приватный ключ сертификата не был скомпрометирован, пользователь не подтверждал использование неподписанного сертификата, и на компьютере пользователя не были внедрены сертификаты центра сертификации злоумышленника.
ТЫК
1.Google – имеет использует защищенный протокол соединения HTTPS
2.Пакет запроса данных по защищенному протоколу HTTPS
3.Как мы видим в деталях пакета у нас только Encrypted Application Data: 0000000000000016eec0818f25b5eb9bd4690883155a74b6...
никакой другой информации что содержится на веб-страницы или где находится человек у нас нет
4.Так как у нас есть под цифрой 2-а IP-адрес с каким сервером ведется обмен пакетами, просматриваем что это за IP-адрес и исходя из полученных данных мы можем сделать вывод, что человек находится на целевой странице Google.
с Вводной частью Вы ознакомились, а теперь приступим к анализу.
ТЫК
Давайте разберем по порядку и понемногу начнем вникать в процесс (см. Скриншот – 1)
1.sys-firewall: Как мы можем видеть цвет виртуальной машины sys-firewall зеленый, окно программы wireshark зеленое, получается что оно открыто на этой виртуальной машине, так же видим (см. Скриншот – 1) то что в настройках машины win7, в графе net-vm стоит машина sys-firewall, что означает что весь трафик идет через шлюзовое соединение через sys-firewall.
То есть sys-firewall видит весь ваш трафик так как именно через него он вам и поступает.
2.Статус виртуальной машины, как мы видим что включены только на момент скриншота работают только 3 виртуальные машины. Они помечены [IMG] кружком, что обозначает что машина работает.
3.Непосредственно IP адрес нашей машины win7 в локальной сети, чтоб мы могли идентифицировать какой поток трафика нам отслеживать (это как многоквартирный дом, адрес один, а номера квартир разные).
4.Показывает машины которые работают, то есть когда мы включим win7, то там добавиться строка с нашей машиной.
5.Отметить с какой(-их) машин именно записывать трафик, для последующего анализа.
ТЫК
Далее, как мы видим (см. Скриншот – 2) наша машина запустилась, о чем сигнализирует [IMG], так же появилась графа, где я выбираю галочкой что я буду записывать трафик только с машины где идет процесс установки, то есть с машины win7.
ТЫК
Как видим, уже записано 2 пакета, до первого рестарта, было записано 4 пакета.
ТЫК
Установка продолжается, во время загрузки сформировалась 2 пакета. А потом полетели пакеты, пока лишь локальные записи ничего не отправляется, только логируется и сообщается.
ТЫК
Обратите внимание на временные промежутки, формат времени я уже поменял. Как видим записано 199 пакетов.
ТЫК
случайно выбрал не ту машину, и запись у меня не пошла, в итоге потом исправил это недоразумение, выбрал уже нормальный канал.
ТЫК
И как вы можете видеть после передачи данных User ; User-PC пошла первая передача данных в интернет, а именно пересылка на IP адрес 84.53.143.34 (по клику можете узнать whois).
ТЫК
И вот наконец-то я вижу графический экран, перед этим уже было отправлено куча пакетов 4449 до того как я увидел графический экран, IP адрес который вы видите, 65.55.50.190 это Microsoft, до этого тоже было куча их но я не стал делать скриншот по каждому, чтоб вы понимали зеленым подсвечено протокол передачи.
То есть транспортный протокол.
Кстати за 15 минут простоя отправилось 20 000+ пакетов, но считаю от части не объективным, так как там на автомате искались обновления.
ТЫК
После всех обновлений (см. Скриншот – 9) при загрузке до входа в систему отправлено уже более 90 пакетов, смотрите ползунок справа он не до конца вниз повернут, так же видим IP адрес 23.99.125.126, на который совершается пересылка пакетов, это IP майкрософта.
Ну и после всех апдейтов мы видим такую картину.
ТЫК
Я думаю эта вам статья даст хороший пример чтобы задуматься, стоит ли доверять такой системе , просто задумайтесь, что бывает при заходе на страницу, сколько пакетов передаются, у меня за ночь простоя, скачки некоторого софта, было зафиксировано около 2 500 000 миллионов пакетов, при чем более 10% были пакеты с протоколом передачи то есть передавали данные на сторонние сервера, так что думайте, как может на вашу машину к примеру залететь вирус, и слить данные хоста и т.д.