Улучшенный шпионаж Google


Отметим опцию «Улучшенная защита» — и Chrome автоматически начнет защищать нас лучше благодаря этой функции. Нам больше ничего не нужно делать. Так нам говорит «корпорация добра» Google. Но не обманывают ли они нас?

 

Ну конечно же, американцы вас обманывают. Эту опцию следует называть «Улучшенный шпионаж Google» — так было бы правильнее. Посмотрите, что означает эта самая «Улучшенная защита»:

 

 

Видите — браузер «Сообщает, если пароли были раскрыты в результате утечки данных». Каким образом? А очень просто — он отправляет все ваши логины и пароли в базу данных Google. Там они якобы сверяются с базой похищенных паролей.

 

То есть Гугель сам ворует ваши пароли и логины, собирая их в общую базу и связывая с вашей личностью. АНБ довольно. При этом стойкость самой этой базы от утечек данных никто не проверял.

 

А вот что еще делает Гугель: «Отправляет URL на проверку. Также отправляются небольшие образцы страниц, скачанных файлов, действий расширений и данные о системе».

 

Видите — Гугель сам вам сообщает, что он собирает и фиксирует у себя в базе все URL, которые вы открывали (то есть все сайты, куда вы ходили), с образцами контента страниц и скачанных вами файлов. То есть он ведет непрерывную слежку за вашей активностью в Интернете, и фиксирует ее для будущего исследования. Опять же — АНБ очень довольно.

 

Зачем же Гугель вам об этом рассказывает? А затем, чтобы избежать судебных исков — когда анализ трафика покажет, что браузер Хром отправляет в Гугель ваши пароли и логи вашей активности, то есть ворует ваши данные и ведет слежку. Видите — он вас об этом предупредил, просто такими словами, что 99% пользователей не поняли суть производимых действий, но сами согласились, чтобы Гугель это делал.

 

По умолчанию в Google Chrome включена так называемая «Стандартная защита»:

 

 

Но и она позволяет Гугелю (а значит, правительству США и еще хрен знает кому) шпионить за вами.

 

Вот смотрите — Гугель там пишет, что «Время от времени Chrome проверяет, есть ли ваши пароли в списках, опубликованных в Интернете». То есть это всё то же воровство паролей и логинов — только база украденных у вас паролей сливается с компа не в реальном времени, а от случая к случаю.

 

Разумеется, Гугель вас успокаивает — мол, «При этом имена пользователей и сами пароли зашифрованы и никому не видны, даже сотрудникам Google». Ахахаха, а как же они их сверяют с базами украденных? При помощи хэшей? Так это профанация — в большинстве систем ввод логина, например, нечувствителен к регистру вводимых букв, и логин «StUpId» идентичен логину «sTuPiD», а вычисленные на них хэши будут разными. Не поможет и принудительное приведение логина до расчета хэша к какому-либо регистру — потому что Google не имеет информации о том, к какому регистру приводится логин и приводится ли вообще. А ведь есть еще и национальные алфавиты со всякими юникодами и не-юникодами — в которых приведение регистров не является однозначным.

 

Ну ладно, положим, гугель все эти проблемы решил, и что-то как-то делает. Но ведь утверждение «имена пользователей и сами пароли зашифрованы и никому не видны» вы не можете проверить, так что это просто вопрос веры. Да, при отправке в Google эти данные наверняка как-то зашифрованы. Чо там — они зашифрованы даже когда вы отправляете логин и пароль на наш сайт, потому что протокол SSL для этого и придуман. Но вот затем, на приемной стороне, это всё расшифровывается и сверяется в открытую с базой пользователей — никто не устраивает юниксоидные танцы с MD5-хэшами, потому что это никому не надо. Я абсолютно уверен, что в Google то же самое — все ваши логины и пароли, которые гугель украл, лежат у него в базах на сервере в открытом виде.

 

А еще там написано, что «Chrome может отправить URL с образцами контента на проверку». Слово «может» в реальной жизни означает, что именно это он и делает. А «проверка» — это просто отмазка, чтобы прикрыть сам факт воровства и шпионажа. Они не шпионят за вами — они «проверяют потребляемый вами контент на безопасность», ахахаха.

 

А еще у них есть прелестная опция «Используйте безопасный DNS». Безопасный DNS — это, естественно, DNS самого Гугеля.

 

Знаете, зачем это надо? Да затем, чтобы АНБ могло легко подломить ваш компьютер. Дело в том, что любой символьный URL в Интернете в конечном счете заменяется на IP-адрес, и именно с IP-адреса происходит скачивание контента, файлов и так далее. Эту замену как раз и обеспечивает DNS сервер.

 

Пока вы находитесь в России — DNS-сервера у вас по умолчанию российские, АНБ трудно в них залезть. Но всё меняется, когда приходят волшебные пузырьки Google. Имея доступ к DNS-серверу — можно подменить любой сайт, любой скачиваемый вами файл на то, что нужно американским шпионам. Вы думаете, что скачиваете обновление или какие-нибудь драйвера — а на самом деле вам подменили адрес и подложили трояна.

 

Кстати, поскольку русские сообразили, чем занимаются американцы, и научились заворачивать DNS-запросы на собственные сервера, игнорируя альтернативные DNS — Google напрягся и вставил в свой браузер работу с DNS-серверами по шифрованному каналу, так что запросы имен больше не выглядят в трафике как запросы имен, а замаскированы под обычные SSL-запросы контента к сайтам. У Гугеля это называется «защищенные DNS» — как обычно у американцев, название прямо противоположно сути, в реальности это DNS для взлома. Просто взломщики сидят в Гугле и АНБ США, это кого надо взломщики, и вообще «этодругое, понимать надо».

 

Ну вот, теперь вы, как типичный советский интеллигент, уже знаете ответы на сакральные вопросы интеллигенции «Что происходит?» и «Кто виноват?».

 

Осталось ответить на последний вопрос — «Что делать?».

 

Нет, революцию делать не надо. Не надо будить Герцена — пусть он дальше трахает лондонских шлюх, авось что-то себе на конец намотает. И Цукербрина не надо поминать к обеду, не портите себе аппетит. Никто не даст нам избавленья — не Бог, не царь и не герой. Добьёмся мы освобожденья своею собственной рукой! Звучит как гимн онанистов — но, тем не менее, это работает.

 

Надо, как это ни странно — выключить защиту в Google Chrome нафиг. То есть:

 

  1. Зайти в chrome://settings/security
  2. Выбрать опцию Защита отключена (не рекомендуется)
  3. Отключить переключатель Использовать безопасный DNS-сервер

 

А как же без защиты-то — вы меня спросите? А очень просто: идёте в chrome://extensions/ и добавляете туда расширение Защита от веб-угроз 360. Теперь за вашей безопасностью будет следить товарищ майор Ли, ему нафиг не надо делать вам гадости, зато он хорошо проследит, чтобы Цукербрины не слишком резвились в вашем браузере.

 

Кстати, можете отключить у этого расширения галочку «Программа улучшения качества ПО», чтобы оно не гоняло лишний трафик в Китай. На качестве работы это никак не скажется, даже лучше будет.

 

Proper

 

Комментариев нет: