![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Немецкая спецслужба BSI (Федеральное управление по информационной безопасности) продолжает свой проект Sisyphus по изучению телеметрии Windows 10.
За время, прошедшее после публикации последнего отчёта, немцы разработали собственную утилиту с открытым исходным кодом — System Activity Monitor — которая позволяет подключаться к ETW-провайдерам (компонентам первичного сбора телеметрической информации, работающим как в ядре, так и в юзерспейсе) и осуществлять запись потока событий в формате, удобном для последующего анализа.
В самой Windows 10 сбор телеметрии настраивается (на низком уровне) через конфигурационный файл-профиль (%ProgramData%\Microsoft\Diagnosis\DownloadedSetttings\utc.app.json). Этот профиль перечисляет все источники событий (ЕTW-провайдеры), которые должны быть включены, и отличается в зависимости от сборки и редакции Windows, заданного в настройках уровня собираемой телеметрии, языка и региона (Microsoft может создавать конфигурации для конкретных регионов, например, в зависимости от применимых законов о защите данных). Может, бывают индивидуальные профили для "особо интересных" пользователей, не знаю. Например, на моей тестовой виртуальной машине, куда установлена чистая Windows 10 Pro на основе ISO-файла из MSDN, в этом файле 422 провайдера на уровне телеметрии "Full" и 410 провайдеров на уровне телеметрии "Basic". Как видите, Microsoft уважает ваши настройки конфиденциальности в Windows 10.
Утитита SAM от BSI позволяет выбирать "индивидуальные пункты меню" при построении профиля слежки за пользователем, с целью изучения того, как оно работает по отдельности; плюс содержит удобные средства для десериализации собранных событий, их преобразования в открытый формат, с целью последующего анализа, например в Logstash, ElasticSearch и Kibana. Короче, это консольная утилита для работы с профилями и первичного преобразования потока собираемых ЕTW-событий.
Ссылки:
1. Общее описание на немецком
2. PDF-файл с примерами на английском
3. System Activity Monitor (исходные коды на C++, а также установщик)
За время, прошедшее после публикации последнего отчёта, немцы разработали собственную утилиту с открытым исходным кодом — System Activity Monitor — которая позволяет подключаться к ETW-провайдерам (компонентам первичного сбора телеметрической информации, работающим как в ядре, так и в юзерспейсе) и осуществлять запись потока событий в формате, удобном для последующего анализа.
В самой Windows 10 сбор телеметрии настраивается (на низком уровне) через конфигурационный файл-профиль (%ProgramData%\Microsoft\Diagnosis\DownloadedSetttings\utc.app.json). Этот профиль перечисляет все источники событий (ЕTW-провайдеры), которые должны быть включены, и отличается в зависимости от сборки и редакции Windows, заданного в настройках уровня собираемой телеметрии, языка и региона (Microsoft может создавать конфигурации для конкретных регионов, например, в зависимости от применимых законов о защите данных). Может, бывают индивидуальные профили для "особо интересных" пользователей, не знаю. Например, на моей тестовой виртуальной машине, куда установлена чистая Windows 10 Pro на основе ISO-файла из MSDN, в этом файле 422 провайдера на уровне телеметрии "Full" и 410 провайдеров на уровне телеметрии "Basic". Как видите, Microsoft уважает ваши настройки конфиденциальности в Windows 10.
Утитита SAM от BSI позволяет выбирать "индивидуальные пункты меню" при построении профиля слежки за пользователем, с целью изучения того, как оно работает по отдельности; плюс содержит удобные средства для десериализации собранных событий, их преобразования в открытый формат, с целью последующего анализа, например в Logstash, ElasticSearch и Kibana. Короче, это консольная утилита для работы с профилями и первичного преобразования потока собираемых ЕTW-событий.
Ссылки:
1. Общее описание на немецком
2. PDF-файл с примерами на английском
3. System Activity Monitor (исходные коды на C++, а также установщик)
