Экспромт хорош тогда, когда хорошо подготовлен

Журнал PC World спекулирует на тему "как бы Windows 12 могла улучшиться за счёт AI". Статья выглядит как творчество ChatGPT. Или это какая-то пародия?

https://www.pcworld.com/article/1508826/12-ways-ai-could-improve-windows-11-or-windows-12.html

В антивирус Norton 360 недавно встроили майнер криптовалюты, выполняющийся на пользовательских компьютерах. Электричество и амортизация оборудования (как правило, говённых одноразовых ноутбуков, которые и так на ладан дышат) — за счёт пользователя, криптовалюта — Ethereum, 15% — компании-разработчику, остальное — типа пользователю (а на самом деле — тем же скаммерсантам). Ключ от кошелька хранится где? Правильно, "в облаке". Ха-ха. Как известно, "not your keys — not your coins".

https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/

Избавиться от криптомайнера пока ещё возможно, хотя и не самым очевидным образом (для этого нужно отключить самозащиту антивируса под названием Norton Product Tamper Protection, а затем вручную удалить файл NCrypt.exe с диска):

https://www.theregister.com/2022/01/05/norton_360_cryptominer_deletion/

Вся эта ситуация лишний раз доказывает, что антивирусы — это в целом такой же скам, как и вирусы. Личных данных пользователей и информации с пользовательских компьютеров этой паразитической мудосрани, видите ли, уже недостаточно, теперь им ещё и крипту подавай.

В продолжение темы грамотного собаководства (1, 2, 3, 4, 5, 6, 7, 8, 9).

Сам факт наличия особых, свободных от телеметрии и бэкдоров, редакций десятой винды для правительств (Windows 10 China Government Edition, Windows 10 Enterprise G/GN) и для специальных применений (Azure Stack HCI), реконструированные сборки которых можно скачать, например, в непубличных разделах форума MyDigitalLife, наводит на соображения о том, что ленивым мелкомягким индусским жопам было бы влом поддерживать две совершенно разных винды (одну для лохов, другую для нормальных пацанов), и что отличается нормальная винда от лоховской, в общем-то не сильно, лишь набором компонент, да настройками в реестре.

Изучение разницы между утёкшей в паблик редакцией Windows 10 China Government Edition и обычной китайской редакцией Windows 10 позволило умельцам с форума mydigitallife.info создать скрипты для построения китайской правительственной редакции Windows 10 на основе файлов Windows 10 для обычных китайцев, а применение этих скриптов к обычной редакции Windows 10 Pro порождает редакцию для западных правительств, называемую Windows 10 Enterprise G (или нечто, на неё максимально похожее — достоверно подтвердить нельзя, т.к. утечек официального установочного ISO-файла Windows 10 Enterprise G/GN ещё не было).

Опираясь на эти результаты и продолжая наблюдать за сетевой активностью полученного уродца, другие кулибины (ameliorated.info) предлагают своё решение — изрядно обкусанную десятку, в которой часть компонент вырезана, часть заменена заглушками, а также вся шпионская дрянь, насколько это возможно, отключена настройками в реестре и в Group Policy. Предлагается два варианта на выбор: скачать готовый ISO-шник (для смелых) или набор скриптов для его создания на основе официального установочного ISO-шника Windows 10 Pro из MSDN. Готовые ISO-шники эта команда распространяет торрентами через Телегу, чтобы не подставлять свой домен под удар закона DMCA и юристов из Microsoft.

Мелкомягкие тролли в пабликах разных форумов наподобие HN на говно исходят, ругая Ameliorated-редакцию за отключённость автоматических обновлений, а значит, "сапоги хорошие, надо брать" — подумал я и ради интереса установил Ameliorated-редакцию Windows 10 (версию от 2020-10-31) в виртуальную машину с записью трафика, как описано здесь.

По итогам наблюдения за её сетевой активностью в течении нескольких месяцев, хочу отметить, что она не идеально герметична, но близко к тому (гораздо лучше, чем то, чего можно достичь самостоятельно путём выкусывания "всего ненужного" и путём настройки Group Policy в обычной Windows 10 Pro с помощью NTLite). В сочетании с Henry++ Simplewall, сетевую активность Ameliorated-редакции Windows 10 вполне можно, так сказать, загнать в рамки приличия, сделать эквивалентной сетевой активности Windows 7 — остаются только запросы к time.windows.com, msftncsi.com и CRL/OCSP-запросы наподобие ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab (которые, при желании, можно отключить настройками Group Policy для Crypto API).

Наблюдая за сетевой активностью этой винды с этим файерволлом, я добавил только несколько записей 0.0.0.0 в файл C:\Windows\System32\drivers\etc\hosts: для settings-win.data.microsoft.com, для displaycatalog.mp.microsoft.com и fs.microsoft.com. По сравнению с тысячами доменов обычной десятки — это, как говорится, небо и земля. Посмотрим, что будет дальше.

Эволюция вируса под названием Microsoft Windows продолжается. В новых версиях анонсирована функциональность вируса-шифровальщика (см. ниже).

Как мы знаем, Windows 10 представляет собой пример классического spyware, замаскированного под операционную систему: она пылесосит всевозможные данные с компьютера пользователя (логи запущенных программ, посещённых сайтов, логи клавиатуры, буфера обмена, скриншоты и т.п.). Также в ней содержатся элементы вируса-dropper'а: она умеет скачивать из интернета и запускать на выполнение новый программный код с заранее неизвестной и потенциально нежелательной функциональностью. Про встроенное adware, показывающее неотключаемую рекламу в меню Пуск (в редакциях Windows 10 Home), тоже все давно наслышаны.

Как дальше будет развиваться это вредоносное ПО, какие новые модули и функции в нём появятся со временем? Чем нас будут удивлять? Ответ на этот вопрос дают системные требования к новой версии Windows: Windows 11, а именно обязательная поддержка чипа TPM.

Что такое чип TPM и для чего он используется сейчас, в Windows 10 и более ранних версиях Windows? Он реализует технологию под названием Measured Boot и используется во встроенном в Windows Microsoft'овском ПО для полнодискового шифрования под названием BitLocker, для решения одной частной задачи. А точнее, TPM решает проблему "курицы и яйца".

Эта проблема заключается в том, что для обеспечения возможности ввода пароля пользователем необходимо сначала загрузить полную операционную систему (в том числе драйверы клавиатуры и дисплея, например), но эти драйверы хранятся на системном диске в зашифрованном виде, и для их расшифровки понадобится пароль (точнее, некоторый ключевой материал, вычисленный на основе пароля), который в контексте загрузчика ОС неизвестен. А если бы был известен, тогда этот пароль/ключ можно было бы оттуда извлечь и расшифровать файлы на диске C: вообще без знания пароля, заданного пользователем.

Для решения этой проблемы применяется аппаратная поддержка в виде TPM-чипа: копия ключевого материала для расшифровки системного диска хранится в TPM и предоставляется программному обеспечению только в том случае, если Measured Boot идет как обычно (т.е. если это загрузчик ОС Windows, а не загруженная с USB-накопителя ОС Linux). Далее Windows загружается почти до рабочего стола, спрашивает пароль у пользователя и вычисляет из него ключ шифрования, но не для расшифровки, а просто для сверки с эталоном. Планшеты Microsoft Surface уже сейчас поставляются с по умолчанию зашифрованным системным диском (на неизвестном ключе, копия которого хранится в TPM, и неизвестно где ещё, хехе). Пароль к битлокеру по умолчанию пуст, но его можно изменить.

(На очевидный вопрос о том, почему бы мелкомягким не встроить копию драйвера клавиатуры или, там, тачскрина от сёрфейсов, прямо в загрузчик, как в своё время делал TrueCrypt, и обойтись вообще без TPM, отвечу так: this is a national security matter, не умничайте, товарищу майору виднее, что куда встраивать, а запасной ключ от диска C: в TPM "никому не повредит", особенно если его забэкапить "куда следует" прямо при производстве устройства.)

Гипотеза о том, что TPM в обязательном порядке нужен одиннадцатой винде только лишь для того, чтобы осчастливить всех страждущих забэкдоренным битлокером, как по мне, излишне оптимистична. Вообще говоря, при наличии TPM, диск C: можно зашифровать юзеру и не тем паролем/ключом, который у него в битлокере. Кто сказал, что пароль должен совпадать? (Это пока, до сих пор пароль совпадал в TPM и битлокере. Это же ничего не значит, как известно, правила меняются, до Windows 8.1 включительно и обновления Windows можно было отключать.) Так вот, при наличии TPM, диск C: можно зашифровать юзеру просто всегда, даже когда у того несчастного нет никакого битлокера и в помине. Зачем? Ну, например, для DRM: для того, чтобы чересчур любопытные юзеры не ковырялись в файлах операционной системы (подключив загрузочный носитель к другому компьютеру например, или из-под Linux'а, загруженного с флешки). Если совместить это "шифрование-через-не-хочу" с обязательной установкой ОС из облака (это когда у вас на установочной флешке есть только \sources\boot.wim, но не \sources\install.esd, и все файлы для будущего диска C: по ходу установки винды скачиваются из облака), можно вообще скрыть содержимое диска C: от любопытных глаз исследователей по всему миру. На диске C: может быть любое количество любых файлов с любым содержимым; при этом в интерфейсе ОС можно показывать не все файлы, или не всегда, или с подменой содержимого "на лету"; а извне такой диск C: будет всегда выглядеть как равномерно распределённая случайная последовательность нулей и единиц.

Конечно, в контексте этой технологии речь идёт не только о шифровании файлов ОС. Файлы пользователя тоже можно шифровать: не продлил подписку на Office 365 — годовой отчёт не открывается. Как видите, новые возможности (по зарабатыванию денег Microsoft'ом) поистине безграничны!

Короче, эволюция вируса под названием Microsoft Windows продолжается в предсказуемом направлении: вирус-шифровальщик. Если хорошенько подумать, то очевидно, что других вариантов-то и не было.

В обзоре китайского x86-совместимого процессора Zhaoxin KaiXian издание Tom's Hardware упоминает специальную редакцию Windows 10 для китайского правительства:

Драйвер HP предназначен для Windows 10 China Government Edition, которая соответствует стандартам безопасности и конфиденциальности страны (по сути, Microsoft удалила всё своё шпионское ПО для этой специальной версии Windows для китайского правительства, и у нас нет доступа к копии).

UPD: https://waqur.dreamwidth.org/155982.html?thread=551502#cmt551502

После установки обновления KB4592438 к десятой винде ближайший запуск ChkDsk невосстановимо повреждает файловую систему на диске C: (например, если перед этим неаккуратно завершить работу системы). Также непосредственный запуск ChkDsk (например, "chkdsk c: /f" из консоли WinPE) влечёт BSoD: https://borncity.com/win/2020/12/18/windows-10-20h2-chkdsk-damages-file-system-on-ssds-with-update-kb4592438-installed/



Более детальный анализ NTFS-тома показывает повреждение "файла 9" ($Secure, который содержит дескрипторы безопасности для всех файлов на томе), а также повреждение аттрибута BITMAP для Master File Table (это битовая карта, где каждый бит соответствует занятости соответствующего MFT-слота, используется драйвером NTFS для поиска свободных слотов в MFT; каждый слот соответствует одному файлу или каталогу и имеет размер 1 Кб).

В феврале этого года я сделал эксперименальную триммированную сборочку Windows 10 (для себя), на основе MSDN-овских ISO-файлов Windows 10 1909 — вырезал всё ненужное с помощью NTLite (телеметрия, Cortana, SmartScreen, синхронизация буфера обмена с "облаком", вход в систему через Microsoft Online Account, Windows Update, Defender, Store, OneDrive, Windows Push Notifications Service, Metro-приложения, Search, Windows Firewall).

Затем я установил эту сборочку в постоянно включённую виртуальную машину с записью трафика и оставил так на полгода. Для дополнительной надёжности, с помощью hosts-файла были отображены в 0.0.0.0 следующие домены (которые периодически мелькали в pcap-дампах):
slscr.update.microsoft.com
ctldl.windowsupdate.com
settings-win.data.microsoft.com
www.bing.com
onecs-live.azureedge.net
login.live.com
validation-v2.sls.microsoft.com

Также я установил Henry++ Simplewall и тоже там заблокировал всякое неподобство, наподобие той же телеметрии и обновлений.

Где-то с полгодика десятая винда вела себя более-менее прилично, но во время последней перезагрузки таки залипла минут на 40, гоняла шары и устанавливала обновления. Из чего следуют, в общем-то, и так понятные истины наподобие "невозможно научить волка кушать манную кашу". Как не триммируй, а десятая винда, созданная для сбора/передачи пользовательских данных, а также для постоянного самообновления, всё-таки найдёт способ самообновиться и собрать/передать пользовательские данные "куда следует".

Из свеженького в System32 привлекает внимание папка SleepStudy, защищённая от чтения локальным администратором, с файлами UserNotPresentSession.etl и user-not-present-trace-*.etl, а также ScreenOn\ScreenOnPowerStudyTraceSession-*.etl

( Скриншот )

Насколько я понимаю, товарищ майор интересуется, почему нет какой-либо активности на компьютере, ё-моё, куда же все подевались, "а-ууу, лю-ю-юуд-и-и-и"; а также путём доставки персонализированных обновлений предлагает поучаствовать в тематическом исследовании "а что это у вас там на экране такое интересненькое?"

Обращаю особое внимание читателей на такой пикантный аспект, что это не простая, а предельно триммированная десятая винда, в которой всё лишнее физически вырезано и отключено через GPO.

Какой-то хобот обновился на десятую винду в майской редакции и теперь у него при открытии лотка DVD-дисковода обои на рабочем столе меняются на чёрный фон, а при закрытии всё восстанавливается: https://news.ycombinator.com/item?id=23334135

Мелкомягкие индусы в очередной раз высрались: один из заключительных апдейтов к седьмой винде (KB4534310) сломал обои для некоторых пользователей (заменил их на чёрный фон), а также темы Windows в целом (скринсейвер, звук входа в систему, звук завершения работы и т.п.).

Это не связано с лицензированием, предупреждающая надпись о Genuine Windows внизу экрана не появляется, просто чернеют обои на рабочем столе. Некоторые пользователи сообщают о том, что обои ломаются только когда Windows'у приходится растягивать фоновую картинку до размеров рабочего стола.

"Окончание поддержки означает окончание обоев?" — вопрошает один пользователь на Reddit. "Нет", — отвечает ему первый комментатор — "у меня Windows 10 и на одной из машин случилось то же самое".

Всезнайки с форума MyDigitalLife выяснили, что ошибка содержится в файле user32.dll (при откате на предыдущую версию обои восстанавливаются).

Поскольку пользователи, сидящие на Windows 7, на Windows 10 обновляться не спешат, в Microsoft'е таки решили сделать "большую и взрослую" телеметрию в Windows 7, которую сейчас пытаются по-тихому протолкнуть апдейтом:

http://nnmclub.to/forum/viewtopic.php?t=1313904

Вообще, забавно. Изначально, когда телеметрия (т.е. сбор операционной системой данных о запущенных программах, посещённых сайтах, открытых документах, введенных с клавиатуры символах, образцах голоса пользователя и т.п. с последующей их отправкой в Microsoft) только появилась в Windows 10, необходимость в этой самой телеметрии обосновывали необходимостью сбора данных для дальнейшего улучшения Windows 10. Ну, была такая сказка для лохов. Понятно же, что сбор данных — это и есть главная цель Windows 10 как продукта, а все разговоры о каких-то там улучшениях на основе собранных данных — лишь прикрытие, но всё-таки нашлись наивные души, которые повелись на все эти басни. Так вот, если продолжать верить официальной версии, то непонятно, зачем нужна телеметрия в Windows 7, если поддержка этой операционной системы заканчивается в следующем году и, следовательно, никаких улучшений в этой операционной системе уже не будет. Их просто уже не успеют сделать. Подозреваемый, т.е. Microsoft, тут явно путается в показаниях.

Вся эта история — отличная иллюстрация, почему обновления в Windows 7 следует наглухо запрещать сразу после установки ОС, ещё до подключения к интернету.

Попутно, в Windows 10 1903 служба usosvc стала неотключаемой (её лишь можно остановить, но при перезагрузке системы она снова включается). Интересно, что она делает?

В целом и в общем, тут не может быть третьей точки зрения:
– Или мы всецело доверяем Microsoft'у и его рекламным и другим партнёрам все наши данные, ждём от них только хорошего и доброго — тогда десятка во все поля, нет бога кроме Майкрософта и Сатья Наделла пророк его.
– Или мы считаем всё программное обеспечение, которое выпустила эта компания после 2015 года, априори вредоносным (всё без исключения: Windows, Office, Skype, SQL Server, Visual Studio, любые обновления к ним, а также сервисы типа Hotmail и Azure и т.д.) и, следовательно, отказываемся от продуктов и сервисов Microsoft'а всюду, где это возможно; ну, а там, где это невозможно, используем исключительно старые версии (чем старее, тем лучше), в оффлайн-режиме разумеется.

Не может быть одна и та же компания хорошей и плохой одновременно. В Windows 10 Microsoft клепает и принудительно устанавливает вредоносы*, а также собирает все виды пользовательских данных откуда только можно, а в Windows 7 она же якобы заботится о безопасности пользователей. Так не бывает. Бывает или одно, или другое.

* потребляющие оперативную память, место на диске, пропускную способность сети, энергию батареи, а также время от времени на случайной основе устраивающие BSoDы INACCESSIBLE_BOOT_DEVICE.

---

Тем временем, какой-то чёрт установил Windows 10 себе на сборочный сервер (уже смешно) и конечно, винда ответила ему взаимностью: внезапно выжрала электричества в эквиваленте 8 часов 100%-ной утилизации всех ядер процессора, показывая анимированные баннеры на домашней странице MSN в Internet Explorer'е, которая почему-то автоматически(!) открылась после внеплановой(!) перезагрузки его сервака где-то посреди ночи. LOL. В ответ на это, в комментах на HackerNews другой пользователь пишет, что в его домашней сети простое включение ноутбука с десятой виндой повышает коэффициент блокируемых на PiHole запросов с 10% до 25%. При выключении этого ноута коэффициент блокируемых запросов возвращается на старый уровень.