1

Я - пользователь, который заботится о конфиденциальности, и мне не нравится, когда меня продают веб-сайты по маркетингу, поэтому я настроил брандмауэр Symantec и закрыл большинство портов, которые я не использую. Я также отключил запросы ICMP.

Теперь, когда я захожу на Facebook, Google или некоторые другие веб-сайты, я вижу, что они делают запросы ICMP, и кто знает, что еще. Но есть кое-что, что поражает меня. Они могут получить доступ к моим файлам ядра Windows.

Я отсканировал все файлы на моем компьютере, и все вышло чистым, но в журналах брандмауэра я вижу, что эти сайты обращаются к Ntoskrnl.exe . Как это вообще возможно? Есть ли что-то в моем маршрутизаторе / модеме?

Вот некоторые из этих URL-адресов отслеживания, которые могут получить доступ к Ntoskrnl.exe :

  • aa.online-matrix.net (принадлежит компании по дактилоскопии устройств под названием Threatmetrix)

  • loadm.exelator.com

  • loadeu.exelator.com (последние два принадлежат маркетинговой компании www.nielsen.com)

Я также приложил файл изображения. Пожалуйста, проверьте это и дайте мне ваши идеи

Изображение запросов доступа к ядру

2 ответа2

4

Журналы брандмауэра ничего не показывают о том, к каким файлам обращаются. В этом столбце указывается, какая программа обрабатывает эти пакеты. (Например, если пакет принадлежит HTTP-запросу, сделанному Firefox, в журналах будет отображаться Firefox.) Поскольку ICMP-пакеты всегда обрабатываются ядром ОС, в этом столбце, естественно, будет показан путь к ядру.


Пакеты ICMP имеют разные типы, которые отправляются по разным причинам. Некоторые запрашивают информацию, другие предоставляют информацию. У некоторых есть потенциальные проблемы с конфиденциальностью, у других нет. Некоторые являются необязательными, другие являются частью нормальной работы TCP/IP. Не думайте вслепую, что все они являются "хакерскими инструментами" без каких-либо более глубоких исследований.

На снимке экрана показаны два ICMP-пакета типа 3, который называется "пункт назначения недоступен" - допустимое сообщение об ошибке, сообщающее вашей ОС о невозможности доставки какого-либо пакета. (Поскольку сами уведомления об ошибках являются ответами, они не вызывают никаких дальнейших ответов от вашего ПК и обычно не могут использоваться для снятия отпечатков пальцев.)

В частности, код / подтип 4 - это "слишком большой пакет", который сообщает ОС, что она должна повторить попытку, используя меньшие фрагменты для этого места назначения. Если вы заблокируете этот конкретный подтип, соединение обычно будет зависать вечно.

0

В целом это звучит так, как будто вы просто хотите защитить себя от отпечатков пальцев в браузерах со стороны цифровых маркетинговых агентств - в этом случае дискуссии об уязвимости ядра Windows не так актуальны. Ответ grawity является правильным, когда дело доходит до журнала трафика, который вы разместили в виде изображения.

Доступны инструменты для оценки вашей уязвимости к снятию отпечатков пальцев. Одним из таких инструментов является Panopticlick, созданный Фондом Электронной Границы (EFF). Среди прочего, этот инструмент позволяет вам видеть, есть ли у вас уникальный отпечаток браузера или нет. Если при сканировании обнаруживается уникальный отпечаток браузера, вы можете просмотреть всю информацию, которая работает для обеспечения уникальной идентификации вашего браузера.

Перед тем, как использовать их инструмент сканирования, вы можете прочитать больше о своей методологии здесь , которая включает в себя краткий раздел , посвященный защите от браузера дактилоскопии.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .