TL;DR После установки Яндекс.Браузера с опцией отправки статистики, слишком много данных, на мой взгляд, отправляется куда-то в недра api.browser.yandex.ru. С помощью коллеги по цеху ИБ – Олега Анциферова – удалось раскопать следующее: улетает список пользователей, список установленного ПО, файл hosts и т.д. Под катом подробности.
С чего всё началось
Как-то раз в учебных целях настраивали мы в DLP-системе правило, которые бы уведомляло о фактах передачи логинов\паролей пользователей туда, куда не следует. А так как творчество коллективное, то в процессе обсуждения возникли разные предложения по реализации, как то:
Естественно, сам пользователь ничего не отправлял. Захотелось выяснить, насколько глубока кроличья нора.
После установки процесс bct.exe, находящийся по адресу c:\users\USERNAME\appdata\local\temp\yandexrescuetool\bct.exe передаёт список пользователей.
Передаёт список DNS
И подменяет на свой (?)
Также передаётся информация о том, что машина принимает RDP-сессии (и их список, если они установлены в данный момент).
А чтобы пользователь меньше волновался, надо его меньше тревожить всякими уведомлениями.
Тем временем процесс browser.exe в своём пакете отправляет на api.browser.yandex.ru список установленного ПО.
Содержимое файла hosts в base64.
Может, что-то и ещё интересное передаётся.
Любопытно, что отказаться от передачи надо до того, как начнёшь качать браузер.
После установки, конечно, тоже можно отказаться, но, возможно, будет уже поздно и данные уйдут.
Можно также сделать отдельное правило контентной блокировки в DLP-системе для конкретного (-ых) процесса (-ов) и запретить отправлять на определённый хост пакеты, если в них есть определённая информация. Это на тот случай, если вдруг где-то как-то проскочит браузер с включённой функцией автоматической отправки статистики (или если выключенная опция вдруг совершенно случайно включится сама после какого-нибудь обновления).
С чего всё началось
Как-то раз в учебных целях настраивали мы в DLP-системе правило, которые бы уведомляло о фактах передачи логинов\паролей пользователей туда, куда не следует. А так как творчество коллективное, то в процессе обсуждения возникли разные предложения по реализации, как то:
- искать в сообщениях с помощью фразового поиска совпадение по одному из слов, а-ля: login, password, логин, пароль и т.п;
- искать с помощью поиска по регулярным выражениям «слова», похожие на пароль;
- выявлять факты передачи «кредов» от каких-нибудь критичных учёток.
Естественно, сам пользователь ничего не отправлял. Захотелось выяснить, насколько глубока кроличья нора.
И насколько?
Исходные условия: новая чистая машина без установленного Яндекс.Браузера. На машину ставится агент DLP-системы. Затем ставим Я.Б. с параметрами по умолчанию.После установки процесс bct.exe, находящийся по адресу c:\users\USERNAME\appdata\local\temp\yandexrescuetool\bct.exe передаёт список пользователей.
Передаёт список DNS
И подменяет на свой (?)
Также передаётся информация о том, что машина принимает RDP-сессии (и их список, если они установлены в данный момент).
А чтобы пользователь меньше волновался, надо его меньше тревожить всякими уведомлениями.
Тем временем процесс browser.exe в своём пакете отправляет на api.browser.yandex.ru список установленного ПО.
Содержимое файла hosts в base64.
Может, что-то и ещё интересное передаётся.
Имеет ли право компания собирать такие данные?
Да, если вы согласились с пунктом 5.1.Любопытно, что отказаться от передачи надо до того, как начнёшь качать браузер.
После установки, конечно, тоже можно отказаться, но, возможно, будет уже поздно и данные уйдут.
Что делать?
Очевидное решение – отключить функцию автоматической отправки статистики. В этом случае не заметил ни процесса bct.exe, ни упомянутых данных в пакетах от browser.exe.Можно также сделать отдельное правило контентной блокировки в DLP-системе для конкретного (-ых) процесса (-ов) и запретить отправлять на определённый хост пакеты, если в них есть определённая информация. Это на тот случай, если вдруг где-то как-то проскочит браузер с включённой функцией автоматической отправки статистики (или если выключенная опция вдруг совершенно случайно включится сама после какого-нибудь обновления).