Informatikai szakemberként rendszeresen ellenőrzöm az alkalmazottak számítógépeit és e-mailjeit. Ez elengedhetetlen a munkakörnyezetben adminisztratív és biztonsági okokból egyaránt. Az e-mailek figyelése például lehetővé teszi, hogy blokkolja azokat a mellékleteket, amelyek vírust vagy kémprogramot tartalmazhatnak. Az egyetlen alkalom, amikor csatlakoznom kell egy felhasználó számítógépéhez, és közvetlenül az ő számítógépén kell munkát végeznem, az egy probléma kijavítása.
Ha azonban úgy érzi, hogy megfigyelik, amikor nem kellene, van néhány apró trükk, amivel megállapíthatja, hogy igaza van-e. Először is, valakinek a számítógépét megfigyelni azt jelenti, hogy valós időben figyelhetnek mindent, amit a számítógépeden csinálsz. A pornóoldalak blokkolása, a csatolmányok eltávolítása vagy a spam blokkolása, mielőtt az a postaládájába kerülne, stb. nem igazán megfigyelés, hanem inkább szűrés.
Az egyetlen NAGY probléma, amit hangsúlyozni szeretnék, mielőtt továbblépnék, hogy ha vállalati környezetben van, és úgy gondolja, hogy megfigyelik, akkor feltételeznie kell, hogy MINDENT látnak, amit a számítógépen csinál. Feltételezd azt is, hogy valójában nem fogod tudni megtalálni azt a szoftvert, ami mindent rögzít. A vállalati környezetben a számítógépeket annyira testre szabják és átkonfigurálják, hogy szinte lehetetlen bármit is észrevenni, hacsak nem hacker vagy. Ez a cikk inkább az otthoni felhasználóknak szól, akik úgy gondolják, hogy egy barátjuk vagy családtagjuk próbálja megfigyelni őket.
Computer Monitoring
Szóval, ha még mindig úgy gondolod, hogy valaki kémkedik utánad, íme, mit tehetsz! A legegyszerűbb és legkönnyebb módja annak, hogy valaki bejelentkezzen a számítógépedre, a távoli asztal használata. Az a jó, hogy a Windows nem támogatja a több egyidejű kapcsolatot, miközben valaki be van jelentkezve a konzolba (erre van egy hack, de én nem aggódnék emiatt). Ez azt jelenti, hogy ha bejelentkeztél az XP, 7 vagy Windows 8-as számítógépedre, és valaki csatlakozna hozzá a Windows BUILT-IN REMOTE DESKTOP funkcióját használva, akkor a képernyőd zárolt lesz, és megmondja, hogy ki csatlakozott.
Miért hasznos ez? Azért hasznos, mert azt jelenti, hogy ahhoz, hogy valaki úgy tudjon csatlakozni az Ön munkamenetéhez, hogy Ön ezt ne vegye észre, vagy a képernyőjét ne vegye át, harmadik féltől származó szoftvert kell használnia. 2014-ben azonban senki sem lesz ennyire nyilvánvaló, és sokkal nehezebb felismerni a harmadik féltől származó lopakodó szoftvereket.
Ha harmadik féltől származó szoftvert keresünk, amelyet általában távvezérlő szoftverként vagy virtuális hálózati számítási szoftverként (VNC) emlegetnek, akkor a nulláról kell kezdenünk. Általában, amikor valaki ilyen típusú szoftvert telepít az Ön számítógépére, akkor kell ezt megtennie, amikor Ön nincs ott, és újra kell indítania a számítógépét. Tehát az első dolog, ami elárulhatja, ha a számítógépét újraindították, és nem emlékszik rá, hogy ezt megtette.
Második lépésként ellenőrizze a Start menü – Minden program menüpontban, hogy telepítve van-e valami VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, stb. Sokszor az emberek hanyagok, és úgy gondolják, hogy egy normális felhasználó nem tudja, mi az a szoftver, és egyszerűen figyelmen kívül hagyja. Ha ezek közül a programok közül bármelyik telepítve van, akkor valaki csatlakozhat a számítógépéhez anélkül, hogy Ön tudna róla, amíg a program a Windows szolgáltatásaként fut a háttérben.
Ez elvezet minket a harmadik ponthoz. Általában, ha a fent felsorolt programok közül valamelyik telepítve van, akkor a feladatsorban lesz egy ikonja, mert a működéséhez folyamatosan futnia kell.
Nézze meg az összes ikonját (még a rejtetteket is), és nézze meg, mi fut. Ha olyat találsz, amiről még nem hallottál, végezz egy gyors Google-keresést, hogy lásd, mi bukkan fel. A felügyeleti szoftverek elég könnyen elrejthetik a feladatsor ikonját, így ha ott nem lát semmi szokatlant, az nem jelenti azt, hogy nincs telepítve felügyeleti szoftver.
Ha tehát a nyilvánvaló helyeken semmi sem jelenik meg, térjünk át a bonyolultabb dolgokra.
Tűzfalportok ellenőrzése
Még egyszer, mivel ezek harmadik féltől származó alkalmazások, különböző kommunikációs portokon kell csatlakozniuk a Windowshoz. A portok egyszerűen egy virtuális adatkapcsolat, amelyen keresztül a számítógépek közvetlenül megosztják egymással az információkat. Mint azt már bizonyára tudja, a Windows beépített tűzfallal rendelkezik, amely biztonsági okokból sok bejövő portot blokkol. Ha nem FTP-oldalt futtat, miért kellene a 23-as portnak nyitva lennie, nem igaz?
Azért, hogy ezek a harmadik féltől származó alkalmazások csatlakozhassanak a számítógépéhez, egy olyan porton keresztül kell érkezniük, amelynek nyitva kell lennie a számítógépén. Az összes nyitott portot ellenőrizheti a Start, Vezérlőpult és a Windows tűzfal menüpontban. Ezután kattintson a bal oldalon a Windows tűzfalon keresztül egy program vagy funkció engedélyezése gombra.
Itt láthatja a programok listáját a mellettük lévő jelölőnégyzetekkel. A bepipáltak “nyitva”, a be nem pipáltak vagy a listán nem szereplő programok pedig “zárva” vannak. Nézd végig a listát, hátha van olyan program, amit nem ismersz, vagy ami megfelel a VNC-nek, távirányítónak stb. Ha igen, akkor blokkolhatja a programot a jelölőnégyzet kiiktatásával!
Kimenő kapcsolatok ellenőrzése
Ez sajnos ennél egy kicsit bonyolultabb. Bizonyos esetekben lehet bejövő kapcsolat, de sok esetben a számítógépre telepített szoftver csak kimenő kapcsolatot tart fenn egy szerverrel. A Windowsban minden kimenő kapcsolat engedélyezett, vagyis semmi sincs blokkolva. Ha a kémkedő szoftver csak adatokat rögzít és küld egy szerverre, akkor csak kimenő kapcsolatot használ, és ezért nem jelenik meg a tűzfal listájában.
Hogy egy ilyen programot elkapjunk, látnunk kell a számítógépünkről a szerverek felé irányuló kimenő kapcsolatokat. Ennek rengeteg módja van, amivel ezt megtehetjük, és itt most egy-kettőről fogok beszélni. Mint már mondtam, ez most egy kicsit bonyolulttá válik, mert egy igazán lopakodó szoftverrel van dolgunk, és nem fogod könnyen megtalálni.
TCPView
Először is, töltsd le a Microsoft-tól a TCPView nevű programot. Ez egy nagyon kicsi fájl, és nem is kell telepítened, csak kicsomagolod, és duplán kattintasz a Tcpview-ra. A főablak így fog kinézni, és valószínűleg semmi értelme.
Lényegében megmutatja az összes kapcsolatot a számítógépedről más számítógépekhez. A bal oldalon van a folyamat neve, ami a futó programokat jelenti, pl. Chrome, Dropbox, stb. Az egyetlen további oszlop, amit meg kell néznünk, a Távoli cím és az Állapot. Menjünk előre és rendezzük az Állapot oszlop szerint, és nézzük meg az összes ESTABLISHED alatt felsorolt folyamatot. A Established azt jelenti, hogy jelenleg van egy nyitott kapcsolat. Vegyük figyelembe, hogy a kémszoftver nem biztos, hogy mindig csatlakozik a távoli szerverhez, ezért érdemes nyitva hagyni ezt a programot, és figyelni az új folyamatokat, amelyek a létrehozott állapot alatt jelennek meg.
Azt szeretnénk, hogy kiszűrjük a listából azokat a folyamatokat, amelyek nevét nem ismerjük. A Chrome és a Dropbox rendben van és nincs ok az aggodalomra, de mi az openvpn.exe és a rubyw.exe? Nos, az én esetemben VPN-t használok az internethez való csatlakozáshoz, így ezek a folyamatok a VPN-szolgáltatásomhoz tartoznak. Azonban egyszerűen rákereshetsz ezekre a szolgáltatásokra a Google-ban, és gyorsan kitalálhatod magad. A VPN szoftver nem kémkedő szoftver, úgyhogy itt nem kell aggódni. Amikor rákeres egy folyamatra, azonnal meg tudja állapítani, hogy biztonságos-e vagy sem, ha csak a keresési eredményeket nézi.
A másik dolog, amit ellenőrizni szeretne, a jobb szélső oszlopok, az úgynevezett Sent Packets, Sent Bytes stb. Rendezd a Sent Bytes szerint, és azonnal láthatod, hogy melyik folyamat küldi a legtöbb adatot a számítógépedről. Ha valaki figyeli a számítógépét, akkor valahová el kell küldenie az adatokat, így hacsak a folyamat nincs rendkívül jól elrejtve, akkor itt kell látnia.
Process Explorer
Egy másik program, amellyel megtalálhatja a számítógépén futó összes folyamatot, a Microsoft Process Explorer programja. Ha futtatja, rengeteg információt láthat minden egyes folyamatról, sőt még a szülői folyamatokon belül futó gyermekfolyamatokról is.
A Process Explorer elég nagyszerű, mert összekapcsolódik a VirusTotal programmal, és azonnal meg tudja mondani, hogy egy folyamatot rosszindulatú programként észleltek-e vagy sem. Ehhez kattints az Opciók, VirusTotal.com menüpontra, majd a Check VirusTotal.com-ra. Ez elviszi a weboldalukra, hogy elolvassa az ÁSZF-et, csak zárja be azt, és kattintson a programban lévő párbeszédpanelen az Igen gombra.
Mihelyt ezt megteszi, egy új oszlopot fog látni, amely sok folyamat esetében mutatja a legutóbbi vizsgálat észlelési arányát. Nem fogja tudni minden folyamatra megkapni az értéket, de jobb, mint a semmi. Azoknak, amelyeknek nincs pontszámuk, menjen előre, és keressen rá manuálisan ezekre a folyamatokra a Google-ban. Azoknál, amelyeknek van pontszáma, azt szeretné, ha nagyjából 0/XX állna rajta. Ha nem 0, menjen előre, és Google a folyamatot, vagy kattintson a számokra, hogy a VirusTotal weboldalra kerüljön az adott folyamathoz.
Én is hajlamos vagyok a listát cégnév szerint rendezni, és minden olyan folyamatot, amelynél nem szerepel cég, Google ellenőrizni. Azonban még ezekkel a programokkal sem biztos, hogy az összes folyamatot látod.
Rootkits
Létezik egy osztály lopakodó program is, az úgynevezett rootkitek, amelyeket a fenti két program nem is fog látni. Ebben az esetben, ha a fenti folyamatok ellenőrzése során semmi gyanúsat nem találtál, akkor még robusztusabb eszközökkel kell próbálkoznod. Egy másik jó eszköz a Microsofttól a Rootkit Revealer, azonban ez már nagyon régi.
A másik jó rootkit-ellenes eszköz a Malwarebytes Anti-Rootkit Beta, amit nagyon ajánlok, mivel a malware-ellenes eszközük 2014-ben az első helyen szerepelt a rangsorban. Egy másik népszerű eszköz a GMER.
Azt javaslom, hogy telepítse ezeket az eszközöket és futtassa őket. Ha találnak valamit, távolítsa el vagy törölje el, amit javasolnak. Ezen kívül érdemes telepíteni a malware- és vírusirtó szoftvert is. Sok ilyen lopakodó program, amit az emberek használnak, rosszindulatú programnak/vírusnak minősül, így eltávolítják őket, ha futtatod a megfelelő szoftvert. Ha valamit észlelnek, mindenképpen guglizzon rá, így megtudhatja, hogy megfigyelő szoftver volt-e vagy sem.
Email & Weboldal megfigyelése
Az, hogy ellenőrizze, figyelik-e az e-mailjét, szintén bonyolult, de ebben a cikkben maradunk az egyszerű dolgoknál. Amikor e-mailt küldesz az Outlookból vagy valamilyen e-mail kliensből a számítógépeden, annak mindig csatlakoznia kell egy e-mail szerverhez. Most vagy közvetlenül csatlakozhat, vagy csatlakozhat egy úgynevezett proxy szerveren keresztül, amely átveszi a kérést, módosítja vagy ellenőrzi azt, és továbbítja egy másik szerverre.
Ha egy proxy szerveren keresztül megy az e-mail vagy a webböngészés, akkor a weboldalak, amelyekhez hozzáfér, vagy az e-mailek, amelyeket ír, elmenthetők és később megtekinthetők. Mindkettőt ellenőrizheti, és itt van, hogyan. Az IE esetében válassza az Eszközök, majd az Internetbeállítások menüpontot. Kattintson a Kapcsolatok fülre, és válassza a LAN-beállítások menüpontot.
Ha a Proxy-kiszolgáló négyzet be van jelölve, és helyi IP-cím van rajta egy portszámmal, akkor ez azt jelenti, hogy először egy helyi kiszolgálón megy keresztül, mielőtt eléri a webkiszolgálót. Ez azt jelenti, hogy minden meglátogatott webhely először egy másik szerveren keresztül megy át, amelyen valamilyen szoftver fut, amely vagy blokkolja a címet, vagy egyszerűen naplózza azt. Csak akkor van némileg biztonságban, ha a meglátogatott webhely SSL-t használ (HTTPS a címsorban), ami azt jelenti, hogy minden, amit a számítógépéről a távoli szerverre küld, titkosítva van. Még akkor is titkosítva lenne az adat, ha a vállalat a kettő között rögzítené az adatokat. Azért mondom, hogy valamennyire biztonságos, mert ha kémszoftver van telepítve a számítógépére, az rögzítheti a billentyűleütéseket, és így rögzítheti, amit beír ezeken a biztonságos webhelyeken.
A vállalati e-mail esetében ugyanezt ellenőrzi, a POP és SMTP levelezőszerverek helyi IP-címét. Az ellenőrzéshez az Outlookban menjen az Eszközök, E-mail fiókok menüpontra, majd kattintson a Módosítás vagy a Tulajdonságok gombra, és keresse meg a POP és SMTP szerver értékeit. Sajnos a vállalati környezetben az e-mail szerver valószínűleg helyi, és ezért egészen biztosan megfigyelés alatt áll, még akkor is, ha nem proxy-n keresztül történik.
Az irodában mindig óvatosnak kell lennie, amikor e-maileket ír vagy weboldalakat böngészik. Ha megpróbálod áttörni a biztonsági rendszert, az is bajba sodorhat, ha rájönnek, hogy megkerülted a rendszerüket! Az informatikusok ezt nem szeretik, ezt tapasztalatból mondhatom! Ha azonban biztonságban szeretné tudni a webböngészési és e-mail tevékenységét, akkor a legjobb megoldás a VPN, például a Private Internet Access használata.
Ezhez szoftvereket kell telepíteni a számítógépre, amire nem biztos, hogy eleve képes lesz. Azonban ha képes vagy rá, akkor elég biztos lehetsz benne, hogy senki sem látja, hogy mit csinálsz a böngésződben, amíg nincs helyi kémszoftver telepítve! Semmi sem tudja elrejteni a tevékenységeit a helyileg telepített kémkedő szoftverek elől, mivel azok rögzíthetik a billentyűleütéseket stb., ezért próbálja meg a lehető legjobban követni a fenti utasításaimat, és kikapcsolni a megfigyelő programot. Ha bármilyen kérdése vagy aggálya van, nyugodtan kommentáljon. Jó szórakozást!