Ускорение интернета в Windows 10 и дыра в системе безопасности

30 Aug, 2015 pomodor 9

Разработчики из Microsoft решили сделать интернет в Windows 10 очень-очень быстрым, чтобы хоть как-то привлечь интерес к своей новой операционной системе, которая не успела выйти, а уже обрела дурную славу.

Самый простой способ ускорить интернет — сократить время ответа DNS-сервера. Пользователи Linux для этих целей разворачивают свой собственный локальный сервер имен и получают поистине фантастические результаты. Пользователей Windows разработчики стараются оберегать от лишней мыслительной активности, поэтому «счастливым» обладателям Windows 10 не нужно ничего устанавливать. Им «из коробки» доступна технология под названием Smart Multi-Homed Name Resolution (Умное разрешение имен).

Идея, заложенная в основу, очень проста: компьютер обращается к DNS-серверу не только на рабочем сетевом интерфейсе, но опрашивает все доступные интерфейсы и использует данные от того сервера, который дал ответ быстрее всех. И интернет действительно, в некоторых случаях, ускоряется на несколько процентов. Однако, расплачиваться за это приходится безопасностью.

Представим ситуацию: пользователь заходит в кафе и подключается к открытой сети Wi-Fi. Чтобы защитить свои данные пользователь воспользуется технологией VPN. Казалось бы, после установления VPN-соединения можно безопасно работать. Но Windows 10 опрашивает не только DNS-сервера через VPN, но и отправляет запрос через публичную беспроводную сеть. Самое малое, что может легко заполучить злоумышленник — адреса посещенных сайтов в рамках защищенной сессии. Для этого достаточно просто запустить обычный сниффер и собирать урожай. Подмена DNS-сервера и вовсе открывает возможности для проведения опаснейшей атаки Man in the Middle.

Самое неприятное в этой ситуации заключается в невозможности отключить «умное» разрешение имен. В Windows 8 эта технология работала в режиме тестирования и ее можно было деактивировать с помощью правки реестра. В Windows 10 технология Smart Multi-Homed Name Resolution работает на постоянной основе. Специалисты по компьютерной безопасности рекомендуют вручную блокировать доступ к DNS-серверам на всех интерфейсах, кроме рабочего. К сожалению, типичный поклонник продукции фирмы Microsoft вряд ли способен самостоятельно провести соответствующие манипуляции. Опытные же пользователи стараются держаться от Windows 10 подальше.

field_vote: 
Ваша оценка: Нет Средняя: 5 (10 оценки)
Главная тема: 
Сисадмин
Безопасность
Дистрибутивы: 
Windows
Пользовательские теги: 
Windows 10

Комментарии

Чингачгук

31 августа, 2015 - 07:50

"Специалисты по компьютерной безопасности рекомендуют вручную блокировать доступ к DNS-серверам на всех интерфейсах, кроме рабочего." ©

Объясните пожалуйста, как именно блокировать?
На хабре уже поднимали этот вопрос, но вроде как решения не нашли.
А если прописать свои dns сервера в сетевой карте, те же 8.8.8.8 — решит проблему?

Оценка: 
Средняя: 3.7 (3 оценки)

Чингачгук

31 августа, 2015 - 08:24

Гугл меня отправил сюда gist.github.com/guerrerocarlos/5171614

Оценка: 
Средняя: 2 (2 оценки)

Чингачгук

31 августа, 2015 - 08:35

и лучше не блокировать, а делать редирект

Оценка: 
Средняя: 2 (1 оценка)

Чингачгук

31 августа, 2015 - 08:37

Поможет, но данный способ признан ннадежным

Оценка: 
Средняя: 3 (1 оценка)

jtad

31 августа, 2015 - 13:06

думаю снифферы стоят на каждом сервере публичного wifi, поэтму "особенности" винды будут эксплуатироваться на полную. Кто с виндой придет, от винды и погибнет. Хотя о чем я, ведь виндовозникам скрывать то нечего. Новость неактуальна

зы: я несколько раз замечал в районе например вокзала, что помимо ихней местной точки вайфай время от времени появляются 1-2 левые незащищенные, коннектишься без проблем. Сделанны явно не с благотворительной целью :)

Оценка: 
Средняя: 5 (3 оценки)

dk

31 августа, 2015 - 13:06

думаю снифферы стоят на каждом сервере публичного wifi, поэтму "особенности" винды будут эксплуатироваться на полную.

Думаю, что все-таки не на всех — во многих небольших кабаках вафля часто сделана методом "научного тыка" — даже и ломать ничего не надо — дефолтный admin/admin. Но надеяться на отсутсвие сниффера — имхо, глупо — "на туза в прикупе не закладываются"

Оценка: 
Средняя: 4 (1 оценка)

jtad

31 августа, 2015 - 13:42

во многих небольших кабаках вафля часто сделана методом "научного тыка"

согласен, но уверен на 99% что это тоже пользователи виндовс. Конечно слоган винды "подключил — работает, дальше делать ничего не надо" звучит очень привлекательно, но это и дает такие последствия. У знакомого одного был, у него тоже самое без защиты с дефолтным паролем. Я говорю — так у тебя даже в инструкции написанно — пароль поменяй хотя бы. Нууу так это читать надо было.. В линухе маны может читать тоже утомительно, но это дисциплинирует

Оценка: 
Средняя: 5 (1 оценка)

Sunrise

31 августа, 2015 - 16:24

Если это правда, то что-то подозрительно — зачем? Вот уж неужели для возможности наблюдать за подозрительными лицами и борьбы с анонимностью в Интернете?

Оценка: 
Пока без оценки

dk

31 августа, 2015 - 16:51

Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.

Сливаться данные то будут не им => могли и просто схалтурить

Оценка: 
Средняя: 5 (1 оценка)

Комментировать

Более подробная информация о текстовых форматах

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.