Jak odhalit monitorovací nebo špionážní software pro počítače a e-maily

Jako IT profesionál běžně monitoruji počítače a e-maily zaměstnanců. V pracovním prostředí je to nezbytné pro administrativní účely i z důvodu bezpečnosti. Monitorování e-mailů například umožňuje blokovat přílohy, které by mohly obsahovat virus nebo spyware. Jediný případ, kdy se musím připojit k počítači uživatele a pracovat přímo na jeho počítači, je oprava problému.

Pokud však máte pocit, že jste monitorováni, i když byste neměli, existuje několik malých triků, pomocí kterých můžete zjistit, zda máte pravdu. Za prvé, sledovat něčí počítač znamená, že může v reálném čase sledovat vše, co na počítači děláte. Blokování pornografických stránek, odstraňování příloh nebo blokování spamu dříve, než se dostane do vaší schránky, atd. není ve skutečnosti monitorování, ale spíše filtrování.

Jediný VELKÝ problém, který chci zdůraznit, než přejdu dál, je, že pokud jste ve firemním prostředí a myslíte si, že jste monitorováni, měli byste předpokládat, že mohou vidět VŠECHNO, co na počítači děláte. Také předpokládejte, že nebudete schopni skutečně najít software, který vše zaznamenává. Ve firemním prostředí jsou počítače natolik přizpůsobené a překonfigurované, že je téměř nemožné cokoli zjistit, pokud nejste hacker. Tento článek je spíše zaměřen na domácí uživatele, kteří si myslí, že se je snaží sledovat přítel nebo člen rodiny.

Monitorování počítače

Takže pokud si přesto myslíte, že vás někdo špehuje, tady je, co můžete dělat! Nejjednodušší a nejsnadnější způsob, jak se někdo může přihlásit do vašeho počítače, je použití vzdálené plochy. Dobré je, že Windows nepodporují více souběžných připojení, když je někdo přihlášen do konzole (existuje na to hack, ale toho bych se nebál). To znamená, že pokud jste přihlášeni k počítači s operačním systémem XP, 7 nebo Windows 8 a někdo by se k němu připojil pomocí vestavěné funkce vzdálené plochy systému Windows, vaše obrazovka by se uzamkla a oznámila by vám, kdo je připojen.

K čemu je to tedy užitečné? Je to užitečné, protože to znamená, že aby se někdo mohl připojit k VAŠÍ relaci, aniž byste si toho všimli nebo aniž by byla vaše obrazovka zabrána, musí použít software třetí strany. V roce 2014 však nikdo nebude tak nápadný a je mnohem těžší odhalit skrytý software třetích stran.

Pokud hledáme software třetích stran, který se obvykle označuje jako software pro vzdálené ovládání nebo software pro virtuální síťové počítače (VNC), musíme začít od nuly. Obvykle, když někdo instaluje tento typ softwaru do vašeho počítače, musí to udělat v době vaší nepřítomnosti a musí restartovat váš počítač. Takže první věc, která by vás mohla napovědět, je, že váš počítač byl restartován a vy si nepamatujete, že byste to dělali.

Druhá věc je, že byste se měli podívat do nabídky Start – Všechny programy a zjistit, zda není nainstalováno něco jako VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC atd. Mnohokrát jsou lidé nedbalí a domnívají se, že běžný uživatel nebude vědět, co je to za software, a prostě ho budou ignorovat. Pokud je některý z těchto programů nainstalován, může se někdo připojit k vašemu počítači, aniž byste o tom věděli, pokud program běží na pozadí jako služba systému Windows.

Tím se dostáváme ke třetímu bodu. Pokud je nainstalován některý z výše uvedených programů, obvykle pro něj bude na hlavním panelu ikona, protože ke své činnosti potřebuje být neustále spuštěn.

Zkontrolujte všechny své ikony (i ty skryté) a podívejte se, co je spuštěno. Pokud najdete něco, o čem jste neslyšeli, rychle vyhledejte na Googlu, co se objeví. Monitorovací software poměrně snadno skryje ikonu na hlavním panelu, takže pokud tam nevidíte nic neobvyklého, neznamená to, že nemáte nainstalovaný monitorovací software.

Pokud se tedy na zjevných místech nic nezobrazuje, přejděme ke složitějším věcem.

Kontrola portů brány firewall

Jelikož se jedná o aplikace třetích stran, musí se opět připojovat k systému Windows na různých komunikačních portech. Porty jsou jednoduše virtuální datové spojení, pomocí kterého počítače přímo sdílejí informace. Jak již možná víte, systém Windows je vybaven integrovanou bránou firewall, která z bezpečnostních důvodů blokuje mnoho příchozích portů. Pokud nepoužíváte web FTP, proč by měl být váš port 23 otevřený, že?“

Aby se tedy tyto aplikace třetích stran mohly připojit k vašemu počítači, musí přicházet přes port, který musí být ve vašem počítači otevřený. Všechny otevřené porty můžete zkontrolovat tak, že přejdete do nabídky Start, Ovládací panely a Brána firewall systému Windows. Poté klikněte na možnost Povolit program funkce prostřednictvím brány Windows Firewall na levé straně.

Zde uvidíte seznam programů, u kterých jsou zaškrtávací políčka. Ty, které jsou zaškrtnuté, jsou „otevřené“ a nezaškrtnuté nebo neuvedené v seznamu jsou „zavřené“. Projděte seznam a podívejte se, zda v něm není program, který neznáte nebo který odpovídá VNC, dálkovému ovládání atd. Pokud ano, můžete program zablokovat zrušením zaškrtnutí políčka u něj!

Kontrola odchozích připojení

Naneštěstí je to trochu složitější. V některých případech může existovat příchozí připojení, ale v mnoha případech bude mít software nainstalovaný v počítači pouze odchozí připojení k serveru. V systému Windows jsou všechna odchozí připojení povolena, což znamená, že nic není blokováno. Pokud špehovací software pouze zaznamenává data a odesílá je na server, pak používá pouze odchozí připojení, a proto se v tomto seznamu brány firewall nezobrazí.

Chceme-li takový program zachytit, musíme vidět odchozí připojení z našeho počítače na servery. Existuje celá řada způsobů, jak toho můžeme dosáhnout, a já se zde zmíním o jednom nebo dvou. Jak jsem již řekl, nyní se to trochu komplikuje, protože máme co do činění s opravdu skrytým softwarem a nenajdete ho snadno.

TCPView

Nejprve si stáhněte program s názvem TCPView od společnosti Microsoft. Je to velmi malý soubor a nemusíte ho ani instalovat, stačí ho rozbalit a dvakrát kliknout na TcpView. Hlavní okno bude vypadat takto a pravděpodobně nebude dávat žádný smysl.

Základem je zobrazení všech připojení z vašeho počítače k jiným počítačům. Na levé straně je název procesu, což budou spuštěné programy, tedy Chrome, Dropbox atd. Jediné další sloupce, na které se musíme podívat, jsou Vzdálená adresa a Stav. Pokračujte a seřaďte je podle sloupce State a podívejte se na všechny procesy uvedené v položce ESTABLISHED. Established znamená, že v současné době existuje otevřené připojení. Všimněte si, že špehovací software nemusí být vždy připojen ke vzdálenému serveru, takže je dobré nechat tento program otevřený a sledovat všechny nové procesy, které se mohou objevit pod stavem established.

To, co chcete udělat, je odfiltrovat tento seznam na procesy, jejichž název neznáte. Chrome a Dropbox jsou v pořádku a není důvod k obavám, ale co je openvpn.exe a rubyw.exe? No, v mém případě používám k připojení k internetu VPN, takže tyto procesy jsou pro mou službu VPN. Můžete si však tyto služby jednoduše vygooglovat a rychle na to přijít sami. Software VPN není špehovací software, takže žádné obavy. Když vyhledáte nějaký proces, budete moci okamžitě zjistit, zda je bezpečný, nebo ne, pouhým pohledem na výsledky vyhledávání.

Další věc, kterou chcete zkontrolovat, jsou sloupce zcela vpravo nazvané Odeslané pakety, Odeslané bajty atd. Seřaďte je podle odeslaných bytů a okamžitě zjistíte, který proces odesílá z vašeho počítače nejvíce dat. Pokud někdo sleduje váš počítač, musí data někam odesílat, takže pokud není proces extrémně dobře skrytý, měli byste ho zde vidět.

Process Explorer

Dalším programem, který můžete použít pro zjištění všech procesů běžících v počítači, je Process Explorer od společnosti Microsoft. Po jeho spuštění uvidíte celou řadu informací o každém jednotlivém procesu a dokonce i o podřízených procesech běžících uvnitř nadřazených procesů.

Process Explorer je docela úžasný, protože se propojí s VirusTotal a může vám okamžitě sdělit, zda byl proces detekován jako malware, nebo ne. To provedete tak, že kliknete na Možnosti, VirusTotal.com a poté na Zkontrolovat VirusTotal.com. Přesune vás to na jejich webovou stránku, kde si přečtěte podmínky používání, tu zavřete a v dialogovém okně programu klikněte na Ano.

Jakmile to uděláte, zobrazí se nový sloupec, který u mnoha procesů ukazuje míru detekce při posledním skenování. Nebude možné získat hodnotu pro všechny procesy, ale je to lepší než nic. U těch, které nemají skóre, pokračujte v ručním vyhledávání těchto procesů ve službě Google. U těch, které skóre mají, chcete, aby bylo v podstatě uvedeno 0/XX. Pokud to není 0, pokračujte a vygooglujte proces nebo klikněte na čísla, abyste byli přesměrováni na webovou stránku VirusTotal pro daný proces.

Mám také tendenci řadit seznam podle názvu společnosti a každý proces, který nemá uvedenou společnost, zkontroluji pomocí Googlu. Ani s těmito programy však nemusíte vidět všechny procesy.

Rootkity

Existuje také třída skrytých programů zvaných rootkity, které výše uvedené dva programy ani neuvidí. Pokud jste v tomto případě při kontrole všech výše uvedených procesů nenašli nic podezřelého, budete muset vyzkoušet ještě robustnější nástroje. Dalším dobrým nástrojem od společnosti Microsoft je Rootkit Revealer, který je však velmi starý.

Dalším dobrým nástrojem proti rootkitům je Malwarebytes Anti-Rootkit Beta, který bych vřele doporučil, protože jeho nástroj proti malwaru se v roce 2014 umístil na prvním místě. Dalším oblíbeným je GMER.

Doporučuji tyto nástroje nainstalovat a spustit. Pokud něco najdou, odstraňte nebo vymažte vše, co navrhnou. Kromě toho byste si měli nainstalovat antimalwarový a antivirový software. Mnoho těchto skrytých programů, které lidé používají, je považováno za malware/viry, takže se odstraní, pokud spustíte příslušný software. Pokud něco zjistíte, nezapomeňte si to vygooglovat, abyste mohli zjistit, zda to byl monitorovací software, nebo ne.

Email &Monitorování webových stránek

Zjistit, zda je váš e-mail monitorován, je také složité, ale pro tento článek zůstaneme u těch jednodušších věcí. Kdykoli odešlete e-mail z aplikace Outlook nebo jiného e-mailového klienta v počítači, vždy se musí připojit k e-mailovému serveru. Nyní se může připojit buď přímo, nebo se může připojit prostřednictvím takzvaného proxy serveru, který přijme požadavek, změní ho nebo zkontroluje a přepošle ho na jiný server.

Pokud pro e-mail nebo prohlížení webu procházíte přes proxy server, než webové stránky, na které přistupujete, nebo e-maily, které píšete, mohou být uloženy a později zobrazeny. Obojí můžete zkontrolovat a zde je návod, jak na to. V případě IE přejděte do Nástroje a poté do Možnosti Internetu. Klepněte na kartu Připojení a vyberte možnost Nastavení sítě LAN.

Je-li zaškrtnuto políčko Proxy server a je uvedena místní IP adresa s číslem portu, znamená to, že nejprve procházíte přes místní server, než se dostane na webový server. To znamená, že jakýkoli navštívený web nejprve prochází přes jiný server, na kterém běží nějaký software, který adresu buď blokuje, nebo ji jednoduše zaznamená. Jediný případ, kdy byste byli v určitém bezpečí, je, že navštívený web používá protokol SSL (HTTPS v adresním řádku), což znamená, že vše, co se posílá z vašeho počítače na vzdálený server, je šifrováno. I kdyby vaše společnost zachytila data mezi nimi, byla by zašifrována. Říkám do jisté míry bezpečné, protože pokud je na vašem počítači nainstalován špehovací software, může zachytit stisky kláves, a tedy zachytit vše, co zadáte na těchto zabezpečených stránkách.

U firemního e-mailu kontrolujete totéž, místní IP adresu pro poštovní servery POP a SMTP. Kontrolu provedete v Outlooku tak, že přejdete na Nástroje, E-mailové účty, kliknete na Změnit nebo Vlastnosti a najdete hodnoty pro POP a SMTP server. Bohužel ve firemním prostředí je e-mailový server pravděpodobně místní, a proto jste zcela jistě sledováni, i když to není přes proxy server.

Při psaní e-mailů nebo prohlížení webových stránek v kanceláři byste měli být vždy opatrní. Pokusy o prolomení zabezpečení vás také mohou dostat do problémů, pokud zjistí, že jste obešli jejich systémy! Lidé z IT oddělení to nemají rádi, to vám mohu říct z vlastní zkušenosti! Pokud však chcete zabezpečit prohlížení webových stránek a práci s elektronickou poštou, nejlepší volbou je použít VPN, například Private Internet Access.

To vyžaduje instalaci softwaru do počítače, což se vám nemusí podařit hned na začátku. Pokud to však dokážete, můžete si být docela jistí, že nikdo nebude moci sledovat, co děláte v prohlížeči, pokud není nainstalován místní špehovací software! Neexistuje nic, co by mohlo skrýt vaše aktivity před místně nainstalovaným špehovacím softwarem, protože ten může zaznamenávat stisky kláves atd. proto se snažte co nejlépe postupovat podle mých výše uvedených pokynů a monitorovací program deaktivovat. Pokud máte nějaké dotazy nebo obavy, neváhejte se vyjádřit. Užijte si to!

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.