Тайный сбор данных: как драйвер «безымянной» мышки становится источником рисков для информационной безопасности

Тайный сбор данных: как драйвер «безымянной» мышки становится источником рисков для информационной безопасности

В мире цифровых технологий даже, казалось бы, безобидные периферийные устройства могут таить в себе скрытые угрозы. Речь идёт о программном обеспечении (ПО), поставляемом с некоторыми недорогими устройствами, которые позиционируются как «игровые» или «профессиональные». Пользователи, стремясь получить максимум функциональности за минимальную цену, могут неосознанно установить на свои компьютеры программные компоненты, которые выходят далеко за рамки необходимого для работы устройства и могут представлять риски для информационной безопасности.

Важно отметить, что данная ситуация не является эксплуатацией уязвимостей в традиционном понимании. Зачастую это штатная функция, изначально заложенная производителем в программное обеспечение, которое пользователь самостоятельно устанавливает, следуя инструкциям или действую по принципу «нажал далее, далее, готово».

Особенности распространения и установки ПО от некоторых производителей периферийных устройств

Современный рынок компьютерной периферии насыщен устройствами от малоизвестных или небрендированных производителей, часто поставляемых из азиатского региона. Потребителей привлекают агрессивные маркетинговые обещания: многофункциональная подсветка, большое количество программируемых кнопок, высокие показатели DPI за весьма скромную стоимость. Внешне такие предложения выглядят привлекательно.

Однако потенциальная проблема заключается не столько в качестве сборки или долговечности отдельных компонентов, сколько в сопутствующем программном обеспечении. Для полноценной реализации заявленных функций, таких как настройка подсветки, создание макросов или пользовательских профилей, требуется установка специального драйвера и утилиты. На веб-сайтах таких производителей (которые нередко оказываются лишь торговыми агрегаторами) доступны файлы, часто имеющие названия вроде «Setup.exe».

Размер этих установочных пакетов может составлять от 50 до 100 мегабайт, что значительно превышает типичный объём для простейшего драйвера устройства класса HID (Human Interface Device). При детальном анализе обнаруживается, что внутри установочного пакета содержится не только основной драйвер, но и целый комплекс дополнительного программного обеспечения. Нередко этот софт устанавливается без явного запроса на отдельные компоненты, а список устанавливаемых модулей не всегда прозрачен для пользователя.

Типичный набор таких компонентов включает:

• Системный сервис: Модуль, работающий в фоновом режиме с привилегиями SYSTEM или администратора. Такой уровень доступа позволяет ему выполнять широкий спектр операций на компьютере.
• Модуль обновления: Компонент, предназначенный для периодической связи с удалёнными серверами. Эти серверы часто располагаются за пределами Российской Федерации, что само по себе не является прямым доказательством вредоносных действий, но при этом вызывает вопросы с точки зрения российского законодательства, регламентирующего обработку персональных данных.
• Компоненты для сбора системной информации: Модули, предназначенные для систематического сбора данных о пользовательской системе.

Процесс установки, как правило, реализуется через стандартный мастер, в котором пользователь, ориентируясь на простоту, машинально нажимает кнопку «Далее». После такого действия контроль над устанавливаемым ПО существенно снижается. Дополнительную проблему представляет сложность удаления этих компонентов. Часто соответствующие пункты для деинсталляции через стандартный интерфейс «Установка и удаление программ» отсутствуют или являются неполными. Более того, некоторые из обнаруженных сервисов способны к самовосстановлению или восстановлению своих компонентов. Попытки принудительно остановить или удалить процессы могут приводить к нарушению стабильной работы самого периферийного устройства, делая его использование невозможным.

Методы и объекты сбора информации

Анализ сетевой активности и изучение дампов памяти, полученных при работе таких драйверов, позволяют выявить структурированный процесс сбора данных, который зачастую выходит за рамки простой анонимной телеметрии, предназначенной для «улучшения продукта». Часто сбор и передача данных осуществляется по протоколу HTTP, а не HTTPS. Использование HTTP без шифрования делает передаваемый трафик легкодоступным для перехвата и анализа, что является значимым фактором риска при работе с конфиденциальной информацией.

Собираемые данные могут быть разделены на несколько основных категорий:

• Системный отпечаток (System Fingerprint):
  • Имя компьютера и имя учётной записи пользователя.
  • Подробная версия операционной системы, включая сборки и патчи.
  • Список установленного программного обеспечения, часто формируемый путём сканирования реестра Windows и стандартных каталогов Program Files.
  • Список запущенных процессов и служб, что может раскрывать информацию об используемом ПО, включая специализированное или корпоративное ПО.
• Конфигурация аппаратного обеспечения (Hardware Configuration):
  • Модель и тактовая частота центрального процессора.
  • Объём оперативной памяти.
  • Данные о видеокарте и других графических адаптерах.
  • Серийные номера некоторых аппаратных компонентов, которые могут быть использованы для уникальной идентификации системы.
• Сетевые параметры:
  • IP-адреса (внешний и внутренний).
  • MAC-адреса сетевых адаптеров.
  • Данные о DNS-серверах и маршрутах.
• Пользовательская активность:
  • Информация о частоте использования устройства.
  • Настройки макросов и профилей, которые могут содержать последовательности нажатий клавиш или комбинации, потенциально раскрывающие конфиденциальные данные (например, часть паролей, если макросы используются для их ввода).

Объём и детализация собираемой информации могут значительно варьироваться, но общий тренд указывает на стремление получить максимально полный «портрет» пользовательской системы.

Риски для российских пользователей и соответствие законодательству

Сбор и передача указанных категорий данных создают серьёзные риски для информационной безопасности, особенно в контексте российского законодательства, такого как Федеральный закон № 152-ФЗ «О персональных данных» и требования ФСТЭК России.

• Приватность и конфиденциальность:
  • Передача такой обширной информации, включая системные «отпечатки», может привести к деанонимизации пользователя или его рабочего места.
  • Сбор данных о запущенных процессах и установленном ПО может раскрывать информацию о служебной деятельности, используемых корпоративных приложениях, что напрямую нарушает принципы конфиденциальности.
• Соответствие 152-ФЗ «О персональных данных»:
  • Даже без прямого сбора ФИО, если собранная информация позволяет идентифицировать конкретного пользователя (например, через имя компьютера, список ПО, серийные номера оборудования), она подпадает под определение персональных данных.
  • Обработка персональных данных (сбор, хранение, передача) без явного согласия субъекта персональных данных и без соблюдения требований о локализации баз данных на территории РФ является прямым нарушением закона.
  • Отсутствие прозрачности в политике конфиденциальности, а также возможности отказа от сбора данных делают такое ПО несовместимым с 152-ФЗ.
• Требования ФСТЭК России:
  • Для государственных информационных систем (ГИС), систем обработки персональных данных (ИСПДн) и критической информационной инфраструктуры (КИИ) действуют строгие требования по контролю целостности ПО, по отсутствию недекларированных возможностей и по безопасному функционированию.
  • Любое ПО, которое несанкционированно осуществляет сбор и передачу данных, должно рассматриваться как потенциальная угроза и противоречит требованиям по защите информации, установленным ФСТЭК.
  • Использование таких устройств и их ПО в системах, подлежащих аттестации по требованиям безопасности информации, фактически невозможно без дополнительных мер по изоляции и контролю.
• Риски компрометации:
  • Передача данных по HTTP делает их уязвимыми для перехвата и модификации злоумышленниками. Это создаёт риск не только для самих данных, но и для внедрения вредоносного кода через канал обновления.
  • Наличие сервиса, работающего с высокими привилегиями, и его способность к самовосстановлению, создают идеальные условия для закрепления вредоносного ПО в системе.

Меры по снижению рисков

Чтобы минимизировать риски, связанные с использованием устройств и ПО от недобросовестных производителей, рекомендуется предпринимать следующие шаги:

1. Приоритет проверенным брендам: По возможности отдавать предпочтение известным производителям, которые имеют чёткую политику конфиденциальности и гарантируют соблюдение стандартов безопасности.
2. Внимательное чтение лицензионных соглашений: Перед установкой любого ПО внимательно изучать пользовательское лицензионное соглашение (EULA) и политику конфиденциальности, обращая внимание на пункты, касающиеся сбора и передачи данных.
3. Ограничение установки ПО: Устанавливать только строго необходимые драйверы, отказываясь от установки дополнительного программного обеспечения, если оно не является критически важным для работы устройства.
4. Использование Sandboxing: Для тестирования сомнительного ПО использовать изолированные среды (виртуальные машины, песочницы), чтобы предотвратить его взаимодействие с основной системой.
5. Контроль сетевой активности: Использовать фаерволы и программы для мониторинга сетевых подключений. Блокировать несанкционированные попытки соединения драйверов с внешними серверами.
6. Анализ системных служб и процессов: Регулярно проверять список запущенных служб и процессов, особенно тех, которые работают с привилегиями SYSTEM или администратора.
7. Проверка утилитами безопасности: Использование антивирусного ПО и инструментов для выявления шпионского и нежелательного ПО.
8. Использование открытых драйверов или стандартных HID: Если для устройства существуют открытые или стандартные драйверы, использовать их вместо проприетарных решений производителя. Для большинства простых HID-устройств достаточно встроенных в ОС драйверов.
9. Изоляция критических систем: На компьютерах, обрабатывающих конфиденциальную информацию (ГИС, ИСПДн, КИИ), исключать использование периферии, требующей установки подобного спорного ПО, или использовать только сертифицированное оборудование и ПО.

В условиях возрастающих угроз информационной безопасности и ужесточения законодательства в сфере обработки данных, бдительность при выборе и установке программного обеспечения, даже для казалось бы простых периферийных устройств, становится критически важной. Неконтролируемый сбор данных может не только нарушить вашу конфиденциальность, но и создать значительные риски для всей информационной инфраструктуры.