• XSS.stack #1 – первый литературный журнал от юзеров форума

Линукс не анонимен (телеметрия в дистрибутивах линукс)

Отслеживать
mvm23

mvm23

floppy-диск
Пользователь
Регистрация
21.10.2023
Сообщения
4
Реакции
4
В этом посте хочу рассказать про телеметрию в дистрибутивах линукс, так как я мало видел чего то подобного на этом форуме.

Откуда в Linux телеметрия вообще? Многим кто использует линукс это может показаться странным но телеметрия была в нем всегда, например когда мы вводим команду apt-get на сервера отпровляется информация о по которое установленно
на вашем пк. Но конкретно этом нет ничего криминального, если посмотреть то персональные данные и ввод оно не собирает. Дебиан и его родственники кстати собирают информацию по установленным пакетам, об этом предупреждают в
установщике и это можно отключить.

Gnome Info Collect - средство сбора телеметрии в окруженнии gnome
Это в своё время подняло очень много хейта и обсуждений в сторону разрабочиков гном и canonical. Получается так, что любой дистрибутив использующий окружение gnome будет содержать эту утилиту.
Какие данные оно собирает:
Дистрибутив
Версия дистрибутива
Информация об оборудовании
Установлен ли Flatpak
Подключен ли Flathub
Установленные приложения
Избранные приложения (закрепленные в доке)
Типы онлайн аккаунтов GNOME
Статус настроек DAV, VNC, RDP, SSH и некоторые другие
Используются ли виртуальные рабочие столы на всех мониторах или только на главном
Динамический или статические Workspaces
Количество пользователей в системе
Браузер, используемый по умолчанию
Активные расширения GNOME

Что с этим делать? Не стоить сразу бежать и удалять рабочие окружение гном, так как утилита работает самостоятельно и не особо зависит от других компонентов гнома. Но её все еще можно просто удалить вручную. Пример на opensuse -
sudo zypper remove gnome-info-collect

Заключение:
Телеметрия в линуксе есть и была с самого его основание, но она не так страшна как в macos или windows и все же это лучше знать че не знать.
Рано или поздно линукс скорее всего обрастет кучей другого "шпионского по". Все тенденции видут именно к этому. Обрадуюсь если это не окажется правдой.
 
Hello, this is an interesting subject that I would like to share my opinions about; Ofc the telemetry between Microsoft and Linux cannot be compared but still I find it as a privacy breach. As the open source community is well known to advocate for user privacy, I don't believe that telemetry has his place in any Linux distros. I would advise to block/re-route the traffic to the telemetry servers receiving the data to 127.0.0.1.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
1. Если авторизовываешься на сайтах Facebook или Instagram = вводишь логин и пароль. Может интернет-провайдер (мобильный) перехватить = логин и пароль. В процессе авторизации?

2. Может СОРМ перехватывать = логин и пароль в открытом виде (может в шифрованном)?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
mvm23 сказал(а):
Gnome Info Collect - средство сбора телеметрии в окруженнии gnome
А как обстоят дела с этим в других окружениях? Может знаете...
Это с Gnome такое только?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
И причем тут анонимность? Это телеметрия, в телеметрии обычно нет критически важных данных.
Телеметрия это очень важная штука, которая помогает развивать программное обеспечение (хотя я всё равно её предпочитаю выключить :) ).
Да и к тому же это опенсорсная телеметрия. Ты знаешь, что отправляется.
mvm23 сказал(а):
Рано или поздно линукс скорее всего обрастет кучей другого "шпионского по". Все тенденции видут именно к этому. Обрадуюсь если это не окажется правдой.
Очень сомнительно. Телеметрию да, будут отправлять, это правильно при условии, что её можно отключить. Но в крысу вряд-ли что-то будет работать. За этим всё-таки следят идейные мейнтейнеры.

pashka_tehnik сказал(а):
А как обстоят дела с этим в других окружениях? Может знаете...
В KDE есть возможность включить отправку телеметрии в настройках, по умолчанию оно вроде выключено.
kde.org

KDE Software Privacy Policy

KDE is a Community which has been formed by its collective members for the purpose of the development and promotion of open source computer software. This policy governs how the software we produce will handle information on your personal devices.
kde.org
Telemetry
Some software produced by the KDE Community may include telemetry components, which provides details on the device it's running on to us. Where this functionality exists, it will always operate on an opt-in basis and be disabled by default, with the ability to change your preferences at any time.
В xfce вроде вообще телеметрии нет (могу ошибаться, но не помню ничего такого там).
А вообще необязательно использовать целые окружения, когда можно использовать только оконные менеджеры)) (правда придется увлечься извращённым онанизмом).

Если вам кажется, что вы сидите на пороховой бочке и все за вами шпионят, то примите таблетки настройте внешний фаерволл в своей сети и смотрите что происходит. (внешний фаерволл имею ввиду вне вашей системы).
 
Называть систему не анонимной из-за наличия телеметрии в целом очень сомнительно.
Развитие и фиксы продукта без нее занимали бы в разы больше времени, поэтому она очень важна... Хотя сам всегда отключаю)
 
Я крайне не люблю спекуляции, но рекомендовал бы подойти к вопросу с точки зрения купца. Просто прикиньте, уж не знаю, с точки зрения планов big bro, или товара, или стратегических преимуществ, словом, не могу предположить концепт, но допустим вы хотите захватить этот мир, это по меньшей мере, ОК. Теле-био и любая метрия, любые данные любых связок и любых широт по Гринвичу.
Начнём с того, сколько вам обойдется, если какой-нибудь Ваня, или Вася докажет что кроме этой самой обезличенной биометрии вы собираете нечто большее. Это сущий кошмар.... Ни одному купцу такое блядь в кошмаре не явится, на сей счёт имеются цепкая команда юристов со стажем...
Я не коммерсант данных, но того, кого знал, люди почитай как после зоны откинулись после срока, если был бизнес в данных, иногда это затягивает и законы не при чем, но могу предположить, что биг бро не существует, они не читают мнения и избегают этого. Полагать что некто желает такое собирать и это цель, или средство в проекте - не признак ума....
Я не слежу спецом, но почитываю два специализированных периодических издания о privacy. Не в теме, но на тему как бы не кошмарился юзер и как корректно уже много лет научные споры, без шуток )) Просто не очень популярно цитировать, к тому же они не бесплатные.
 
mvm23 сказал(а):
Откуда в Linux телеметрия вообще? Многим кто использует линукс это может показаться странным но телеметрия была в нем всегда, например когда мы вводим команду apt-get на сервера отпровляется информация о по которое установленно
на вашем пк.
Это как бы логичное поведение софта, не? Ладно бы доказали, что злые линуксоиды продались корпорациям и по этим данным фингерпринты делают, но тут что не так?
 
Многим кто использует линукс это может показаться странным но телеметрия была в нем всегда,
ОП, что за бред ты несешь?

например когда мы вводим команду apt-get на сервера отпровляется информация о по которое установленно
на вашем пк.
Когда мы вводим команду `apt-get` - ничего никуда не отпровляется, и никогда не отправлялось.

2024-06-03_10-00.png
 
CheckerChin сказал(а):
И причем тут анонимность? Это телеметрия, в телеметрии обычно нет критически важных данных.
Это напрямую связано, любая телеметрия позволяет трекать пользователя и впоследствии связать с какой-то другой информацией
 
infra сказал(а):
Это напрямую связано, любая телеметрия позволяет трекать пользователя и впоследствии связать с какой-то другой информацией
Да ну нет же, нет и еще раз - НЕТ. Для трека нужно лепить фингерпринт!
 
В репозиториях обычно лежит по не особой свежести
Есть опасения в готововой сборке(debian, ubuntu и прочие) возьми arch или gentoo и собирай весь софт из исходников(которые скурпулёзно проверил), чтобы ни что и ни куда не утекало. В чём проблема то? Если тебе это так надо то делай
 
p1r0man сказал(а):
Да ну нет же, нет и еще раз - НЕТ. Для трека нужно лепить фингерпринт!
Это и есть фингерпринт, вопрос только какой у него процент уникальности.

Придумаем конкретную ситуацию. Чел поставил себе на виртуалку дистр с телеметрией из первого сообщения. Настроил супер-пупер мега связки тор-впн. Заходит на свои любимые хаксек-форумы, отмечая текущий IP связки в логах форума, параллельно дистр льет телеметрию на свои серверы с этого же текущего IP. Дамп форума утекает в паблик/его накрывает ФБР/форум изначально был красным. Вместо форума тут вообще может быть что угодно, обменники, хостинги. Далее чел идет и делает что-то очень плохое с новым IP своей связки, но его дистр снова параллельно льет телеметрию с этого IP.

В результате ИБ-специалист, владеющий данными этой телеметрии, легко сопоставит конкретное правонарушение с конкретным профилем на форуме, серверами, транзакциями. Зависит где чел успел отметится и что доступно расследователям. Из красивого графа в отчете потом будет ясно.
 
infra сказал(а):
Это и есть фингерпринт, вопрос только какой у него процент уникальности.

Придумаем конкретную ситуацию. Чел поставил себе на виртуалку дистр с телеметрией из первого сообщения. Настроил супер-пупер мега связки тор-впн. Заходит на свои любимые хаксек-форумы, отмечая текущий IP связки в логах форума, параллельно дистр льет телеметрию на свои серверы с этого же текущего IP. Дамп форума утекает в паблик/его накрывает ФБР/форум изначально был красным. Вместо форума тут вообще может быть что угодно, обменники, хостинги. Далее чел идет и делает что-то очень плохое с новым IP своей связки, но его дистр снова параллельно льет телеметрию с этого IP.

В результате ИБ-специалист, владеющий данными этой телеметрии, легко сопоставит конкретное правонарушение с конкретным профилем на форуме, серверами, транзакциями. Зависит где чел успел отметится и что доступно расследователям. Из красивого графа в отчете потом будет ясно.
Ага, все так, если бы не одно "НО" - где тут фингерпринт? IP - ничего не значит, торы-впны туда же... Блин, ну не так это работает! Телеметрия и отпечаток системы не тоже самое.
 
p1r0man сказал(а):
Ага, все так, если бы не одно "НО" - где тут фингерпринт? IP - ничего не значит, торы-впны туда же... Блин, ну не так это работает! Телеметрия и отпечаток системы не тоже самое.
Это одно и то же, зависит от уникальности. Я тебе пример приведу, чтобы ты понял. Есть 10 чел и только у одного установлен токс и кошель монеро. Уникальность 100%
 
infra сказал(а):
Это одно и то же, зависит от уникальности. Я тебе пример приведу, чтобы ты понял. Есть 10 чел и только у одного установлен токс и кошель монеро. Уникальность 100%
Лень продолжать дискуссию, она не имеет смысла.
Если ты думаешь, что токс и монеро как-то говорят о том, что юзер является хакером или еще там кем-либо, то ты очень ошибаешься.
 
p1r0man сказал(а):
Если ты думаешь, что токс и монеро как-то говорят о том, что юзер является хакером или еще там кем-либо, то ты очень ошибаешься.
Чел, ты даже за контекстом дискуссии не следишь, не то что за своим опсеком. Неважно, кем он является.
 
Трекать можно связь телеметрии устройства с телеметрией мобилы. Например чел пришел домой (гео) и пошла активность. Чел проснулся денул мобилу, пошел активничать.
Связь сложная но на бигдате со временем появятся устойчивые паттерны.
 
PaxxdR сказал(а):
ОП, что за бред ты несешь?


Когда мы вводим команду `apt-get` - ничего никуда не отпровляется, и никогда не отправлялось.

Посмотреть вложение 86109
По твоему если ты не видишь это в helpfile то этого нет?
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх