Sådan opdager du computer- og e-mail-overvågning eller spionagesoftware

Som it-professionel overvåger jeg rutinemæssigt medarbejdernes computere og e-mails. Det er vigtigt i et arbejdsmiljø til administrative formål såvel som til sikkerhed. Overvågning af e-mail giver dig f.eks. mulighed for at blokere vedhæftede filer, der kan indeholde virus eller spyware. Den eneste gang, jeg skal oprette forbindelse til en brugers computer og udføre arbejde direkte på dennes computer, er for at løse et problem.

Hvis du føler, at du bliver overvåget, når du ikke burde blive overvåget, er der dog et par små tricks, du kan bruge til at afgøre, om du har ret. For det første betyder overvågning af en andens computer, at de kan se alt, hvad du foretager dig på din computer i realtid. Blokering af pornosider, fjernelse af vedhæftede filer eller blokering af spam, før det kommer til din indbakke osv. er ikke rigtig overvågning, men mere filtrering.

Det ene STORE problem, som jeg gerne vil understrege, før jeg går videre, er, at hvis du befinder dig i et virksomhedsmiljø og tror, at du bliver overvåget, skal du gå ud fra, at de kan se ALT, hvad du laver på computeren. Du skal også antage, at du ikke vil være i stand til rent faktisk at finde den software, der optager alt. I virksomhedsmiljøer er computerne så tilpassede og omkonfigurerede, at det næsten er umuligt at opdage noget, medmindre du er hacker. Denne artikel er mere rettet mod hjemmebrugere, der tror, at en ven eller et familiemedlem forsøger at overvåge dem.

Computerovervågning

Så nu, hvis du stadig tror, at nogen udspionerer dig, så er her, hvad du kan gøre! Den nemmeste og enkleste måde, hvorpå nogen kan logge ind på din computer, er ved at bruge fjernskrivebord. Det gode er, at Windows ikke understøtter flere samtidige forbindelser, mens nogen er logget ind på konsollen (der findes et hack til dette, men det ville jeg ikke bekymre mig om). Det betyder, at hvis du er logget ind på din XP-, 7- eller Windows 8-computer, og nogen skulle oprette forbindelse til den ved hjælp af den indbyggede fjernskrivebordsfunktion i Windows, vil din skærm blive låst, og den vil fortælle dig, hvem der er tilsluttet.

Så hvorfor er det nyttigt? Det er nyttigt, fordi det betyder, at for at nogen kan oprette forbindelse til DIN session, uden at du opdager det, eller uden at din skærm bliver overtaget, skal de bruge software fra tredjepart. Men i 2014 er der ingen, der vil være så åbenlys, og det er meget sværere at opdage stealth-software fra tredjepartssoftware.

Hvis vi leder efter tredjepartssoftware, som normalt betegnes som fjernstyringssoftware eller VNC-software (Virtual Network Computing), skal vi starte fra bunden. Når nogen installerer denne type software på din computer, skal de som regel gøre det, mens du ikke er til stede, og de skal genstarte din computer. Så det første, der kan give dig et fingerpeg, er, hvis din computer er blevet genstartet, og du ikke kan huske, at du har gjort det.

For det andet bør du tjekke i din Start Menu – Alle programmer og se, om noget som VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC osv. er installeret. Mange gange er folk sjusket og regner med at en normal bruger ikke ved hvad et stykke software er, og vil simpelthen ignorere det. Hvis et af disse programmer er installeret, kan nogen oprette forbindelse til din computer, uden at du ved det, så længe programmet kører i baggrunden som en Windows-tjeneste.

Det bringer os til det tredje punkt. Hvis et af de ovennævnte programmer er installeret, vil der normalt være et ikon for det i proceslinjen, fordi det skal køre konstant for at virke.

Kontroller alle dine ikoner (selv de skjulte) og se, hvad der kører. Hvis du finder noget, du ikke har hørt om, kan du lave en hurtig Google-søgning for at se, hvad der dukker op. Det er ret nemt for overvågningssoftware at skjule ikonet på proceslinjen, så hvis du ikke ser noget usædvanligt der, betyder det ikke, at du ikke har overvågningssoftware installeret.

Så hvis intet dukker op de åbenlyse steder, så lad os gå videre til de mere komplicerede ting.

Kontroller firewallporte

Og fordi der er tale om tredjepartsapplikationer, skal de igen oprette forbindelse til Windows på forskellige kommunikationsporte. Porte er simpelthen en virtuel dataforbindelse, hvormed computere deler oplysninger direkte. Som du måske allerede ved, leveres Windows med en indbygget firewall, der blokerer mange af de indgående porte af sikkerhedshensyn. Hvis du ikke kører et FTP-websted, hvorfor skulle din port 23 så være åben, ikke sandt?

Så for at disse tredjepartsprogrammer kan oprette forbindelse til din computer, skal de komme via en port, som skal være åben på din computer. Du kan kontrollere alle de åbne porte ved at gå til Start, Kontrolpanel og Windows Firewall. Klik derefter på Tillad et program eller en funktion gennem Windows Firewall i venstre side.

Her kan du se se en liste over programmer med afkrydsningsfelter ved siden af dem. De programmer, der er markeret, er “åbne”, og de programmer, der ikke er markeret eller ikke er på listen, er “lukkede”. Gå listen igennem og se, om der er et program, du ikke er bekendt med, eller som passer til VNC, fjernbetjening osv. Hvis det er tilfældet, kan du blokere programmet ved at fjerne markeringen af feltet for det!

Check Outbound Connections

Det er desværre lidt mere kompliceret end dette. I nogle tilfælde kan der være en indgående forbindelse, men i mange tilfælde vil den software, der er installeret på din computer, kun have en udgående forbindelse til en server. I Windows er alle udgående forbindelser tilladt, hvilket betyder, at intet er blokeret. Hvis alt, hvad spionagesoftwaren gør, er at registrere data og sende dem til en server, bruger den kun en udgående forbindelse og vil derfor ikke blive vist på denne firewallliste.

For at fange et sådant program skal vi se udgående forbindelser fra vores computer til servere. Der er et væld af måder, vi kan gøre dette på, og jeg vil tale om en eller to her. Som jeg sagde tidligere, bliver det nu lidt kompliceret, fordi vi har med virkelig snigende software at gøre, og du finder det ikke så let.

TCPView

Først skal du downloade et program kaldet TCPView fra Microsoft. Det er en meget lille fil, og du behøver ikke engang at installere den, du skal bare udpakke den og dobbeltklikke på Tcpview. Hovedvinduet vil se sådan her ud og giver sikkert ingen mening.

Grundlæggende viser det dig alle forbindelserne fra din computer til andre computere. I venstre side er procesnavnet, som vil være de programmer, der kører, f.eks. Chrome, Dropbox osv. De eneste andre kolonner, vi skal kigge på, er Remote Address (fjernadresse) og State (tilstand). Gå videre og sorter efter kolonnen State og se på alle de processer, der er opført under ESTABLISHED. Established betyder, at der i øjeblikket er en åben forbindelse. Bemærk, at spionagesoftwaren måske ikke altid er forbundet til fjernserveren, så det er en god idé at lade dette program være åbent og overvåge for nye processer, der kan dukke op under etableret tilstand.

Det du vil gøre er at filtrere denne liste fra processer, hvis navn du ikke kan genkende. Chrome og Dropbox er fine og ingen grund til alarm, men hvad er openvpn.exe og rubyw.exe? Tja, i mit tilfælde bruger jeg en VPN til at oprette forbindelse til internettet, så disse processer er til min VPN-tjeneste. Du kan dog bare google disse tjenester og hurtigt selv finde ud af det. VPN-software er ikke spionagesoftware, så der er ingen bekymringer der. Når du søger efter en proces, kan du straks se, om den er sikker eller ej ved blot at se på søgeresultaterne.

En anden ting, du vil kontrollere, er kolonnerne længst til højre, der hedder Sendt pakker, Sendt byte osv. Sorter efter Sent Bytes, og du kan straks se, hvilken proces der sender flest data fra din computer. Hvis nogen overvåger din computer, må de sende data et eller andet sted hen, så medmindre processen er ekstremt godt skjult, bør du kunne se den her.

Process Explorer

Et andet program, du kan bruge til at finde alle de processer, der kører på din computer, er Process Explorer fra Microsoft. Når du kører det, kan du se en hel masse oplysninger om hver enkelt proces og endda om børneprocesser, der kører inden for overordnede processer.

Process Explorer er ret fantastisk, fordi det opretter forbindelse til VirusTotal og kan fortælle dig med det samme, om en proces er blevet opdaget som malware eller ej. Det gør du ved at klikke på Indstillinger, VirusTotal.com og derefter klikke på Tjek VirusTotal.com. Det bringer dig til deres websted for at læse TOS, luk det bare ud og klik på Ja i dialogboksen i programmet.

Når du gør det, vil du se en ny kolonne, der viser den seneste scanningsdetektionsrate for mange af processerne. Det vil ikke være i stand til at få værdien for alle processer, men det er bedre end ingenting. For dem, der ikke har en score, kan du gå videre og manuelt søge efter disse processer i Google. For dem, der har en score, skal den stort set sige 0/XX. Hvis det ikke er 0, så gå videre og Google processen eller klik på tallene for at blive ført til VirusTotal-webstedet for den pågældende proces.

Jeg har også en tendens til at sortere listen efter firmanavn, og enhver proces, der ikke har et firma på listen, Google jeg for at tjekke. Men selv med disse programmer kan du stadig ikke se alle processerne.

Rootkits

Der findes også en klasse stealth-programmer kaldet rootkits, som de to ovenstående programmer ikke engang vil kunne se. I dette tilfælde, hvis du ikke fandt noget mistænkeligt, da du kontrollerede alle ovenstående processer, skal du prøve endnu mere robuste værktøjer. Et andet godt værktøj fra Microsoft er Rootkit Revealer, men det er meget gammelt.

Et andet godt anti-rootkit-værktøj er Malwarebytes Anti-Rootkit Beta, som jeg varmt vil anbefale, da deres anti-malware-værktøj blev rangeret som nr. 1 i 2014. Et andet populært værktøj er GMER.

Jeg foreslår, at du installerer disse værktøjer og kører dem. Hvis de finder noget, skal du fjerne eller slette det, som de foreslår. Derudover bør du installere anti-malware- og anti-virus-software. Mange af disse stealth-programmer, som folk bruger, betragtes som malware/virus, så de vil blive fjernet, hvis du kører den relevante software. Hvis noget bliver opdaget, skal du sørge for at google det, så du kan finde ud af, om det var overvågningssoftware eller ej.

E-mail & Web Site Monitoring

At tjekke, om din e-mail bliver overvåget, er også kompliceret, men vi holder os til de nemme ting i denne artikel. Når du sender en e-mail fra Outlook eller en anden e-mail-klient på din computer, skal den altid oprette forbindelse til en e-mail-server. Nu kan den enten oprette forbindelse direkte, eller den kan oprette forbindelse gennem det, der kaldes en proxyserver, som tager en anmodning, ændrer eller kontrollerer den og sender den videre til en anden server.

Hvis du går gennem en proxyserver til e-mail eller webbrowsing, så kan de websteder, du får adgang til, eller de e-mails, du skriver, gemmes og ses senere. Du kan kontrollere for begge dele, og her er hvordan. I IE skal du gå til Værktøjer og derefter Internetindstillinger. Klik på fanen Forbindelser, og vælg LAN-indstillinger.

Hvis feltet Proxyserver er markeret, og den har en lokal IP-adresse med et portnummer, betyder det, at du først går gennem en lokal server, før den når webserveren. Det betyder, at ethvert websted, du besøger, først går gennem en anden server, der kører en eller anden form for software, som enten blokerer adressen eller blot logger den. Det eneste tidspunkt, hvor du er nogenlunde sikker, er, hvis det websted, du besøger, bruger SSL (HTTPS i adresselinjen), hvilket betyder, at alt, hvad der sendes fra din computer til den eksterne server, er krypteret. Selv hvis din virksomhed skulle opsamle dataene i mellemtiden, ville de være krypterede. Jeg siger nogenlunde sikkert, for hvis der er installeret spionagesoftware på din computer, kan den opfange tastetryk og dermed opfange alt, hvad du skriver på disse sikre websteder.

For din virksomheds e-mail tjekker du efter det samme, nemlig en lokal IP-adresse for POP- og SMTP-mailserveren. Du kan kontrollere det i Outlook ved at gå til Værktøjer, E-mailkonti, og klikke på Ændre eller Egenskaber og finde værdierne for POP- og SMTP-server. Desværre er e-mailserveren i virksomhedsmiljøer sandsynligvis lokal, og derfor bliver du helt sikkert overvåget, selv om det ikke sker via en proxy.

Du bør altid være forsigtig med at skrive e-mails eller surfe på websteder, mens du er på kontoret. Hvis du forsøger at bryde igennem sikkerheden, kan det også give dig problemer, hvis de finder ud af, at du har omgået deres systemer! Det kan it-folk ikke lide, kan jeg fortælle dig af erfaring! Hvis du imidlertid ønsker at sikre din webbrowsing og e-mailaktivitet, er dit bedste bud at bruge VPN som Private Internet Access.

Dette kræver, at du installerer software på computeren, hvilket du måske ikke er i stand til at gøre i første omgang. Men hvis du kan, kan du være temmelig sikker på, at ingen kan se, hvad du laver i din browser, så længe der ikke er installeret lokal spionagesoftware! Der er intet, der kan skjule dine aktiviteter for lokalt installeret spionagesoftware, fordi det kan registrere tastetryk osv., så gør dit bedste for at følge mine instruktioner ovenfor og deaktivere overvågningsprogrammet. Hvis du har spørgsmål eller bekymringer, er du velkommen til at kommentere. God fornøjelse!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.