Tietokoneen ja sähköpostin seuranta- tai vakoiluohjelmiston havaitseminen

Tietotekniikan ammattilaisena seuraan rutiininomaisesti työntekijöiden tietokoneita ja sähköposteja. Se on välttämätöntä työympäristössä sekä hallinnollisista syistä että turvallisuuden vuoksi. Sähköpostin valvonnan avulla voit esimerkiksi estää liitetiedostot, jotka voivat sisältää viruksen tai vakoiluohjelman. Ainoa kerta, kun joudun muodostamaan yhteyden käyttäjän tietokoneeseen ja tekemään työtä suoraan hänen tietokoneellaan, on ongelman korjaaminen.

Jos kuitenkin tunnet, että sinua valvotaan, vaikka sinun ei pitäisi, on olemassa muutama pieni temppu, joilla voit selvittää, oletko oikeassa. Ensinnäkin, jonkun tietokoneen tarkkailu tarkoittaa sitä, että hän voi seurata reaaliajassa kaikkea, mitä teet tietokoneellasi. Pornosivustojen estäminen, liitetiedostojen poistaminen tai roskapostin estäminen ennen kuin se pääsee postilaatikkoosi jne. ei oikeastaan ole tarkkailua, vaan pikemminkin suodattamista.

Yksi SUURI ongelma, jota haluan korostaa ennen kuin siirryn eteenpäin, on se, että jos olet yritysympäristössä ja luulet olevasi tarkkailun kohteena, sinun pitäisi olettaa, että he näkevät KAIKEN, mitä teet tietokoneella. Oleta myös, että et pysty itse asiassa löytämään ohjelmistoa, joka tallentaa kaiken. Yritysympäristöissä tietokoneet ovat niin räätälöityjä ja uudelleen konfiguroituja, että on lähes mahdotonta havaita mitään, ellet ole hakkeri. Tämä artikkeli on suunnattu enemmän kotikäyttäjille, jotka luulevat ystävän tai perheenjäsenen yrittävän tarkkailla heitä.

Tietokoneen tarkkailu

Jos siis edelleen luulet jonkun vakoilevan sinua, tässä on mitä voit tehdä! Helpoin ja yksinkertaisin tapa, jolla joku voi kirjautua tietokoneeseesi, on käyttää etätyöpöytää. Hyvä puoli on se, että Windows ei tue useita samanaikaisia yhteyksiä, kun joku on kirjautuneena konsoliin (tähän on olemassa hakkerointi, mutta en huolehtisi siitä). Tämä tarkoittaa sitä, että jos olet kirjautuneena XP-, 7- tai Windows 8 -tietokoneeseesi ja joku ottaisi siihen yhteyden käyttämällä Windowsin sisäänrakennettua etätyöpöytäominaisuutta, näyttösi lukkiutuisi ja se kertoisi, kuka on yhteydessä.

Miksi siitä on hyötyä? Se on hyödyllistä, koska se tarkoittaa, että jotta joku voisi muodostaa yhteyden SINUN istuntoosi ilman, että huomaat sitä tai että näyttösi otetaan haltuun, hänen on käytettävä kolmannen osapuolen ohjelmistoa. Vuonna 2014 kukaan ei kuitenkaan ole niin ilmiselvä, ja on paljon vaikeampaa havaita kolmannen osapuolen ohjelmistojen häivähdysohjelmia.

Jos etsimme kolmannen osapuolen ohjelmistoja, joihin yleensä viitataan etähallintaohjelmistoina tai virtuaalisen verkkolaskennan (Virtual Network Computing, VNC) ohjelmistoina, meidän on aloitettava tyhjästä. Yleensä, kun joku asentaa tämäntyyppisen ohjelmiston tietokoneellesi, hänen on tehtävä se, kun et ole paikalla, ja hänen on käynnistettävä tietokoneesi uudelleen. Ensimmäinen asia, joka voi siis antaa vihjeen, on se, jos tietokoneesi on käynnistetty uudelleen etkä muista tehneesi sitä.

Toiseksi sinun pitäisi tarkistaa Käynnistä-valikosta – Kaikki ohjelmat ja katsoa, onko sinne asennettu jotain VNC:tä, RealVNC:tä, RealVNC:tä, TightVNC:tä, UltraVNC:tä, LogMeIn:iä, GoToMyPC:tä jne. vastaavaa. Usein ihmiset ovat huolimattomia ja ajattelevat, että tavallinen käyttäjä ei tiedä, mikä jokin ohjelmisto on, ja jättää sen yksinkertaisesti huomiotta. Jos jokin näistä ohjelmista on asennettu, joku voi muodostaa yhteyden tietokoneeseesi tietämättäsi, kunhan ohjelma on käynnissä taustalla Windows-palveluna.

Tästä pääsemme kolmanteen kohtaan. Jos jokin edellä luetelluista ohjelmista on asennettu, tehtäväpalkissa on yleensä sen kuvake, koska sen on oltava jatkuvasti käynnissä toimiakseen.

Tarkista kaikki kuvakkeet (myös piilotetut) ja katso, mikä on käynnissä. Jos löydät jotain, josta et ole kuullut, tee nopea Google-haku ja katso, mitä tulee esiin. Tarkkailuohjelmat piilottavat tehtäväpalkin kuvakkeen melko helposti, joten jos et näe siellä mitään epätavallista, se ei tarkoita, ettei sinulla ole asennettuna tarkkailuohjelmia.

Jos mikään ei näy ilmeisissä paikoissa, siirrytään monimutkaisempiin asioihin.

Tarkista palomuurin portit

Jälleen kerran, koska nämä ovat kolmansien osapuolten sovelluksia, niiden on muodostettava yhteys Windowsiin eri tietoliikennöintiportteja käyttäen. Portit ovat yksinkertaisesti virtuaalinen datayhteys, jonka kautta tietokoneet jakavat tietoja suoraan. Kuten ehkä jo tiedät, Windowsissa on sisäänrakennettu palomuuri, joka estää monia saapuvia portteja turvallisuussyistä. Jos et käytä FTP-sivustoa, miksi portin 23 pitäisi olla auki, eikö niin?

Jotta nämä kolmannen osapuolen sovellukset voisivat muodostaa yhteyden tietokoneeseesi, niiden on siis tultava portin kautta, jonka on oltava auki tietokoneessasi. Voit tarkistaa kaikki avoimet portit valitsemalla Käynnistä, Ohjauspaneeli ja Windowsin palomuuri. Napsauta sitten vasemmalla puolella olevaa Salli ohjelma tai ominaisuus Windowsin palomuurin kautta.

Tässä näet luettelon ohjelmista, joiden vieressä on valintaruutuja. Rastitetut ovat ”avoinna” ja ruksittomat tai listaamattomat ovat ”suljettuja”. Käy lista läpi ja katso, onko siellä jokin ohjelma, jota et tunne tai joka vastaa VNC:tä, kauko-ohjausta tms. Jos näin on, voit estää ohjelman poistamalla sen valintaruudun!

Tarkista lähtevät yhteydet

Valitettavasti asia on hieman monimutkaisempi kuin tämä. Joissakin tapauksissa voi olla saapuva yhteys, mutta monissa tapauksissa tietokoneeseen asennetulla ohjelmalla on vain lähtevä yhteys palvelimeen. Windowsissa kaikki lähtevät yhteydet ovat sallittuja, eli mitään ei estetä. Jos vakoiluohjelmisto vain tallentaa tietoja ja lähettää ne palvelimelle, se käyttää vain lähtevää yhteyttä eikä siksi näy tuossa palomuuriluettelossa.

Voidaksemme saada kiinni tuollaisen ohjelman, meidän on nähtävä lähtevät yhteydet tietokoneeltamme palvelimille. On olemassa koko joukko tapoja, joilla voimme tehdä tämän, ja aion puhua tässä yhdestä tai kahdesta. Kuten sanoin jo aiemmin, tästä tulee nyt hieman monimutkaista, koska olemme tekemisissä todella salakavalien ohjelmistojen kanssa, etkä löydä niitä helposti.

TCPView

Lataa ensin ohjelma nimeltä TCPView Microsoftilta. Se on hyvin pieni tiedosto, eikä sitä tarvitse edes asentaa, vaan purat vain pussin ja kaksoisnapsautat Tcpview:tä. Pääikkuna näyttää tältä, eikä siinä luultavasti ole mitään järkeä.

Periaatteessa se näyttää sinulle kaikki yhteydet tietokoneeltasi muihin tietokoneisiin. Vasemmalla puolella on prosessin nimi, joka on käynnissä olevat ohjelmat, eli Chrome, Dropbox jne. Ainoat muut sarakkeet, joita meidän on tarkasteltava, ovat Remote Address ja State. Lajittele State-sarakkeen mukaan ja katso kaikki ESTABLISHED-kohdassa luetellut prosessit. Established tarkoittaa, että yhteys on tällä hetkellä auki. Huomaa, että vakoiluohjelmisto ei välttämättä ole aina yhteydessä etäpalvelimeen, joten kannattaa jättää tämä ohjelma auki ja tarkkailla uusia prosesseja, jotka saattavat näkyä Established State -tilan alla.

Haluat suodattaa tuosta listasta pois prosessit, joiden nimeä et tunnista. Chrome ja Dropbox ovat kunnossa eikä syytä huoleen, mutta mikä on openvpn.exe ja rubyw.exe? No, minun tapauksessani käytän VPN:ää Internet-yhteyden muodostamiseen, joten nämä prosessit ovat VPN-palvelua varten. Voit kuitenkin vain googlettaa nuo palvelut ja selvittää asian nopeasti itse. VPN-ohjelmisto ei ole vakoiluohjelmisto, joten ei hätää. Kun haet prosessia, pystyt heti päättelemään, onko se turvallinen vai ei, vain katsomalla hakutuloksia.

Toinen asia, joka kannattaa tarkistaa, ovat oikeanpuoleiset sarakkeet nimeltä Sent Packets, Sent Bytes jne. Lajittele Sent Bytesin mukaan ja näet heti, mikä prosessi lähettää eniten dataa tietokoneeltasi. Jos joku tarkkailee tietokonettasi, sen on lähetettävä dataa jonnekin, joten ellei prosessi ole erittäin hyvin piilossa, sinun pitäisi nähdä se täällä.

Process Explorer

Toinen ohjelma, jolla voit löytää kaikki tietokoneellasi käynnissä olevat prosessit, on Microsoftin Process Explorer. Kun käynnistät sen, näet paljon tietoa jokaisesta yksittäisestä prosessista ja jopa vanhemman prosessin sisällä toimivista lapsiprosesseista.

Process Explorer on aika mahtava, koska se on yhteydessä VirusTotaliin ja voi kertoa sinulle heti, onko prosessi havaittu haittaohjelmaksi vai ei. Voit tehdä sen klikkaamalla Options, VirusTotal.com ja sitten Check VirusTotal.com. Se vie sinut heidän verkkosivustolleen lukemaan käyttöehdot, sulje se vain ja napsauta ohjelman valintaikkunassa Kyllä.

Kun teet sen, näet uuden sarakkeen, joka näyttää viimeisimmän skannauksen havaitsemisasteen monille prosesseille. Se ei pysty saamaan arvoa kaikille prosesseille, mutta se on parempi kuin ei mitään. Niiden prosessien osalta, joilla ei ole pistemäärää, voit hakea niitä manuaalisesti Googlesta. Niiden prosessien, joilla on pistemäärä, haluat, että se on suurin piirtein 0/XX. Jos se ei ole 0, mene eteenpäin ja googlaa prosessi tai klikkaa numeroita, jotta pääset kyseisen prosessin VirusTotal-sivustolle.

Minulla on myös tapana lajitella lista yrityksen nimen mukaan ja kaikki prosessit, joissa ei ole yritystä listattuna, googletan tarkistamaan. Näilläkään ohjelmilla et kuitenkaan välttämättä näe kaikkia prosesseja.

Rootkitit

On olemassa myös luokka stealth-ohjelmia nimeltä rootkitit, joita kaksi edellä mainittua ohjelmaa eivät edes näe. Tässä tapauksessa, jos et löytänyt mitään epäilyttävää tarkistaessasi kaikkia edellä mainittuja prosesseja, sinun on kokeiltava vielä järeämpiä työkaluja. Toinen hyvä työkalu Microsoftilta on Rootkit Revealer, mutta se on hyvin vanha.

Muita hyviä anti-rootkit-työkaluja ovat Malwarebytes Anti-Rootkit Beta, jota suosittelen lämpimästi, koska heidän anti-malware-työkalunsa oli vuonna 2014 sijalla 1. Toinen suosittu on GMER.

Suosittelen asentamaan nämä työkalut ja ajamaan ne. Jos ne löytävät jotain, poista tai poista mitä ne ehdottavat. Lisäksi kannattaa asentaa haittaohjelmien ja virusten torjuntaohjelmat. Monet näistä ihmisten käyttämistä stealth-ohjelmista katsotaan haittaohjelmiksi/viruksiksi, joten ne saadaan poistettua, jos suoritat asianmukaiset ohjelmat. Jos jotain havaitaan, muista googlettaa se, jotta saat selville, oliko kyseessä seurantaohjelma vai ei.

Sähköposti & Verkkosivujen seuranta

Sähköpostisi seurannan tarkistaminen on myös monimutkaista, mutta pitäydymme tässä artikkelissa helpoissa asioissa. Aina kun lähetät sähköpostia Outlookista tai jostain tietokoneen sähköpostiohjelmasta, sen on aina muodostettava yhteys sähköpostipalvelimeen. Nyt se voi olla joko suoraan yhteydessä tai se voi olla yhteydessä niin sanotun välityspalvelimen kautta, joka ottaa pyynnön vastaan, muuttaa tai tarkistaa sen ja lähettää sen eteenpäin toiselle palvelimelle.

Jos käytät välityspalvelinta sähköpostin lähettämiseen tai verkkoselaamiseen, käyttämäsi verkkosivut tai kirjoittamasi sähköpostiviestit voidaan tallentaa ja katsoa myöhemmin. Voit tarkistaa molemmat, ja tässä kerrotaan miten. Mene IE:ssä kohtaan Työkalut ja sitten Internet-asetukset. Napsauta Yhteydet-välilehteä ja valitse LAN-asetukset.

Jos Välityspalvelin-ruutu on ruksattu ja siinä on paikallinen IP-osoite porttinumerolla, se tarkoittaa, että yhteys kulkee ensin paikallisen palvelimen kautta, ennen kuin se saapuu verkkopalvelimelle. Tämä tarkoittaa sitä, että kaikki vierailemasi verkkosivut kulkevat ensin toisen palvelimen kautta, jossa on käytössä jonkinlainen ohjelmisto, joka joko estää osoitteen tai vain kirjaa sen. Ainoa kerta, jolloin olisit jokseenkin turvassa, on, jos vierailemasi sivusto käyttää SSL-yhteyttä (HTTPS osoitepalkissa), mikä tarkoittaa, että kaikki tietokoneeltasi etäpalvelimelle lähetetyt tiedot on salattu. Vaikka yrityksesi kaappaisi tietoja välissä, ne olisivat salattuja. Sanon jokseenkin turvallinen, koska jos tietokoneellesi on asennettu vakoiluohjelmisto, se voi kaapata näppäinpainallukset ja siten kaapata kaiken, mitä kirjoitat näille suojatuille sivustoille.

Yrityssähköpostin osalta tarkistat saman asian, paikallisen IP-osoitteen POP- ja SMTP-postipalvelimille. Voit tarkistaa sen Outlookissa menemällä Työkalut, Sähköpostitilit ja valitsemalla Muuta tai Ominaisuudet ja etsimällä POP- ja SMTP-palvelimen arvot. Valitettavasti yritysympäristöissä sähköpostipalvelin on luultavasti paikallinen, ja siksi sinua seurataan aivan varmasti, vaikka se ei tapahtuisikaan välityspalvelimen kautta.

Ole aina varovainen kirjoittaessasi sähköpostiviestejä tai selatessasi verkkosivuja, kun olet toimistossa. Yrittämällä murtautua turvatoimien läpi saatat myös joutua vaikeuksiin, jos he saavat selville, että ohitit heidän järjestelmänsä! IT-ihmiset eivät pidä siitä, voin kertoa kokemuksesta! Jos kuitenkin haluat turvata verkkoselailusi ja sähköpostitoimintasi, paras vaihtoehtosi on käyttää VPN:ää, kuten yksityistä Internet-yhteyttä.

Tämä edellyttää ohjelmiston asentamista tietokoneelle, mitä et välttämättä pysty tekemään alun alkaenkaan. Jos kuitenkin pystyt, voit olla melko varma, ettei kukaan pysty katsomaan, mitä teet selaimessasi, kunhan heidän paikallisia vakoiluohjelmia ei ole asennettu! Mikään ei voi piilottaa toimintaasi paikallisesti asennetuilta vakoiluohjelmilta, koska ne voivat tallentaa näppäinpainalluksia jne., joten yritä parhaasi mukaan noudattaa yllä olevia ohjeitani ja poistaa valvontaohjelma käytöstä. Jos sinulla on kysyttävää tai huolenaiheita, voit vapaasti kommentoida. Nauti!

Vastaa

Sähköpostiosoitettasi ei julkaista.