Visual Studio 2015 2017 Windows 10 - szpiegowanie.

Witam. Może to naiwne a może i nie, nie wiem, dlatego zwracam się do ekspertów. Ostatnio często jest poruszany temat szpiegowania ludzi przez Windows 10. Moje pytanie jest czy jeżeli pisze programy w Visual Studio 2015 2017, to co z tego co napisze widzi Microsoft? Czy jeśli rzeczywiście z czytywane są dane z klawiatury to przez system czy Visual studio też swoje wysyła? Nie wiem czy dobry dział wiec sorki jeśli zły, proszę przenieść. Dziękuję.

Odpal sobie Fiddlera i zobacz, co tak naprawdę jest wysyłane.

Dzięki. Nie raz zajmowałem się tematem, jakieś skanowania portów itp, ale o tym programie jeszcze nie słyszałem. Już zainstalowałem, teraz trzeba się nauczyć to coś obsługiwać! A czy jest ktoś może tutaj, kto z własnych doświadczeń może powiedzieć coś na temat?

Z całym szacunkiem ale nie popadaj w paranoję. Jeśli faktycznie Microsoft zbiera dane lub podsłuchuje to na pewno tak, abyś o tym nie wiedział. Ponadto nie tylko Windows szpieguje, ale też programy antywirusowe i inne.

W Microsofcie siedzi człowiek który widzi twój ekran, zapisuje każdy program jaki napiszesz i jeżeli chciałbyś go sprzedawać to Microsoft będzie pierwszy.

Microsoft pobiera informacje, jak to nazywają, telemetryczne. Tzn. które opcje wybierałeś, czy kliknąłeś na ikonkę myszką na pasku, czy wybrałeś opcję w menu, a może skrótem klawiaturowym.

Służy to do podejmowania decyzji czy dana opcja jest komukolwiek potrzebna, gdzie ją umieścić, itp.

Ale nie pobiera danych użytkownika, czyli w tym przypadku kodu źródłowego.
Przynajmniej tak twierdzą.

Jedyna opcja która wchodzi w grę to chyba pisanie programów offline ;)

Coś tam wysyła.

https://betanews.com/2016/06/10/microsoft-visual-studio-2015-c-compiler-telemetry/
https://www.techworm.net/2016/06/microsoft-secretly-adds-snooping-codes-c-binaries-visual-studio-2015.html
http://news.softpedia.com/news/visual-studio-2015-secretly-inserts-telemetry-code-into-c-plus-plus-binaries-505113.shtml

Ale jak to powiedział pewien smutny koleś na wysokim stołku "jeśli masz coś do ukrycia to może nie powinieś tego robić" (nie, nie był to Stalin).

Nieee - chyba, że w klatce Faraday'a i zasilanym z akumulatora. Mając odpowiedni odbiornik swojego czasu można było podsłuchiwać jakie klawisze są wstukiwane bezprzewodowo. Wystarczy zainfekowany komputer i co najmniej metr kabla włożonego w USB i program może "nadawać" dowolny sygnał i pliki. Ok nie mamy Internetu, jesteśmy otoczeni klatką Faraday'a ale mamy jeszcze zasilanie. Tutaj trzeba by sprawdzić, czy czasami nie da rady jakoś sprzęt płyty głównej i PSU przerobić zdalnie na PLC, to wtedy można wykradać dane linią elektryczną. To da nam bezpieczeństwo, że nikt nie wykradnie nam danych, a z infekcją komputera jest gorzej - ostatnio udało się zainfekować monitor przez spreparowany film na którym jeden piksel w rogu nerwowo mrugał. Zmienili mu firmware, nauczyli przekłamywać obraz i wysyłać określona transmisje dwukierunkową do PC... więc nawet jak nikt Ci nic nie ukradnie to nie będziesz miał pewności co się tam dzieje. Takie czasy - rządy nie zrobiły by czegoś czego nie dało by się złamać ;) Pozostaje napisać własną architekturę i mini system operacyjny wraz z podstawowymi programami. Oczywiście nie uwalniasz się od ryzyka, tyle, ze nikt nie zna Twojej architektury, no ale od tego są RE ;)

Czy ja mam być pierwszym, który włączy sobie podsłuch ruchu sieciowego by zobaczyć co idzie do M$? Nikt na świecie jeszcze na to nie wpadł i nie opublikował? Jesli idzie otwartym tekstem, to ok ale jeśli idzie zaszyfrowane ... ooo! to już niemal 100%, że zbiera poufne dane (zapewne twoje kody).

Limoń napisał(a):

Czy ja mam być pierwszym, który włączy sobie podsłuch ruchu sieciowego by zobaczyć co idzie do M$?

A nie chciałbyś być pierwszym? Spróbuj określić co się dzieje, przygotuj raport i opublikuj – mnóstwo ludzi na pewno z chęcią poczyta o tym, co udało Ci się ustalić. Zostaniesz bohaterem.

Nie mam czasu. Na razie zrobiłem krok 1 - namierzyłem oprogramowanie do podsłuchu własnej karty sieciowej
http://testerzy.pl/narzedzia/przeglad-narzedzi-do-monitorowania-ruchu-sieciowego
A bohaterami (pracy) są raczej ci, co te programy zrobili i darmo dają.

Jeszcze znalazłem to
http://techrights.org/wiki/index.php/Microsoft_and_the_NSA
Sorry ale nie mam czasu przywracać odinstalowane aktualizacje telemetrii itp. Jak zainstaluję VS 2017 pokuszę się o monitoring co tamto wysyła bo z tekstu licencji wiem, że coś wysyła i nie wszystko z tego da się wyłączyć.

Tak, leci zaszyfrowane, TLS. I do tego jeszcze zabezpieczone przez certificate pinning.

A żeby się dowiedzieć co jest wysyłane w telemetrii Windows 10, to można to przeczytać w dokumentacji.

No cóż, skoro nie masz czasu to nie dowiemy się co knują. ;)

Z drugiej strony, zdumiewające jest to, że ludzie robią aferę o jakieś bzdurne statystyki prowadzone przez Microsoft (które prowadzą i przesyłają również twórcy Firefox-a czy OOo), jednocześnie pakując na facebooka ogromne ilości zdjęć, danych wrażliwych i innych informacji, którymi później owy facebook handluje i o czym tak ochoczo i otwarcie nie informuje.

Taki paradoks.

Ktos napisał(a):

Tak, leci zaszyfrowane, TLS. I do tego jeszcze zabezpieczone przez certificate pinning.

A żeby się dowiedzieć co jest wysyłane w telemetrii Windows 10, to można to przeczytać w dokumentacji.

Szczególnie budujący jest nagłówek: Telemetry gives users a voice.
Niektórzy będą dumni :)