Come IT Pro, controllo abitualmente i computer e le e-mail dei dipendenti. È essenziale in un ambiente di lavoro per scopi amministrativi e di sicurezza. Il monitoraggio della posta elettronica, per esempio, permette di bloccare gli allegati che potrebbero contenere un virus o uno spyware. L’unica volta che devo connettermi al computer di un utente e lavorare direttamente sul suo computer è per risolvere un problema.
Tuttavia, se hai la sensazione di essere monitorato quando non dovresti, ci sono alcuni piccoli trucchi che puoi usare per determinare se hai ragione. Prima di tutto, monitorare il computer di qualcuno significa che possono guardare tutto quello che state facendo sul vostro computer in tempo reale. Bloccare i siti porno, rimuovere gli allegati o bloccare lo spam prima che arrivi alla tua casella di posta, ecc. non è davvero un monitoraggio, ma più simile al filtraggio.
L’unico GRANDE problema che voglio sottolineare prima di andare avanti è che se sei in un ambiente aziendale e pensi di essere monitorato, dovresti assumere che possano vedere TUTTO quello che fai sul computer. Inoltre, supponete che non sarete in grado di trovare effettivamente il software che sta registrando tutto. Negli ambienti aziendali, i computer sono così personalizzati e riconfigurati che è quasi impossibile rilevare qualcosa, a meno che tu non sia un hacker. Questo articolo è più orientato agli utenti domestici che pensano che un amico o un membro della famiglia stia cercando di monitorarli.
Monitoraggio del computer
Quindi, se pensate ancora che qualcuno vi stia spiando, ecco cosa potete fare! Il modo più facile e semplice in cui qualcuno può accedere al tuo computer è usando il desktop remoto. La cosa buona è che Windows non supporta connessioni multiple simultanee mentre qualcuno è connesso alla console (c’è un hack per questo, ma non me ne preoccuperei). Ciò significa che se sei connesso al tuo computer XP, 7 o Windows 8 e qualcuno si connette usando la funzione BUILT-IN REMOTE DESKTOP di Windows, il tuo schermo si bloccherà e ti dirà chi è connesso.
Quindi perché è utile? È utile perché significa che, affinché qualcuno si connetta alla TUA sessione senza che tu te ne accorga o che il tuo schermo venga preso in consegna, deve usare un software di terze parti. Tuttavia, nel 2014, nessuno sarà così ovvio ed è molto più difficile rilevare il software stealth di terze parti.
Se stiamo cercando un software di terze parti, che di solito è indicato come software di controllo remoto o software VNC (virtual network computing), dobbiamo partire da zero. Di solito, quando qualcuno installa questo tipo di software sul vostro computer, deve farlo mentre voi non ci siete e deve riavviare il computer. Quindi la prima cosa che potrebbe farti capire è se il tuo computer è stato riavviato e non ricordi di averlo fatto.
In secondo luogo, dovresti controllare nel tuo menu Start – Tutti i programmi e vedere se qualcosa come VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, ecc è installato. Molte volte la gente è negligente e pensa che un utente normale non saprà cosa sia un pezzo di software e semplicemente lo ignorerà. Se uno di questi programmi è installato, allora qualcuno può connettersi al tuo computer senza che tu lo sappia, finché il programma è in esecuzione in background come un servizio di Windows.
Questo ci porta al terzo punto. Di solito, se uno dei programmi sopra elencati è installato, ci sarà una sua icona nella barra delle applicazioni perché ha bisogno di essere costantemente in esecuzione per funzionare.
Controlla tutte le tue icone (anche quelle nascoste) e vedi cosa è in esecuzione. Se trovi qualcosa di cui non hai mai sentito parlare, fai una rapida ricerca su Google per vedere cosa salta fuori. È abbastanza facile per il software di monitoraggio nascondere l’icona della barra delle applicazioni, quindi se non vedi niente di insolito lì, non significa che non hai un software di monitoraggio installato.
Quindi, se non c’è niente nei posti ovvi, passiamo alle cose più complicate.
Controlla le porte del firewall
Ancora una volta, perché queste sono applicazioni di terze parti, devono collegarsi a Windows su diverse porte di comunicazione. Le porte sono semplicemente una connessione virtuale di dati con cui i computer condividono direttamente le informazioni. Come forse già sapete, Windows è dotato di un firewall integrato che blocca molte delle porte in entrata per motivi di sicurezza. Se non stai eseguendo un sito FTP, perché la tua porta 23 dovrebbe essere aperta, giusto?
Quindi, affinché queste applicazioni di terze parti si connettano al tuo computer, devono passare attraverso una porta, che deve essere aperta sul tuo computer. Puoi controllare tutte le porte aperte andando su Start, Pannello di controllo e Windows Firewall. Poi clicca su Consenti un programma o una funzione attraverso Windows Firewall sul lato sinistro.
Qui vedrai una lista di programmi con caselle di controllo accanto. Quelli che sono spuntati sono “aperti” e quelli non spuntati o non elencati sono “chiusi”. Scorri la lista e vedi se c’è un programma che non ti è familiare o che corrisponde a VNC, controllo remoto, ecc. Se è così, puoi bloccare il programma deselezionando la relativa casella!
Check Outbound Connections
Purtroppo, è un po’ più complicato di così. In alcuni casi, ci può essere una connessione in entrata, ma in molti casi, il software installato sul tuo computer avrà solo una connessione in uscita verso un server. In Windows, tutte le connessioni in uscita sono permesse, il che significa che nulla è bloccato. Se tutto ciò che il software di spionaggio fa è registrare dati e inviarli a un server, allora utilizza solo una connessione in uscita e quindi non apparirà in quella lista di firewall.
Per catturare un programma come questo, dobbiamo vedere le connessioni in uscita dal nostro computer ai server. Ci sono molti modi in cui possiamo farlo e qui ne parlerò uno o due. Come ho detto prima, ora diventa un po’ complicato perché abbiamo a che fare con un software molto furtivo e non lo troverai facilmente.
TCPView
Prima di tutto, scarica un programma chiamato TCPView da Microsoft. È un file molto piccolo e non devi nemmeno installarlo, basta decomprimerlo e fare doppio clic su Tcpview. La finestra principale sarà simile a questa e probabilmente non avrà senso.
Fondamentalmente, ti mostra tutte le connessioni dal tuo computer ad altri computer. Sul lato sinistro c’è il nome del processo, che sarà il programma in esecuzione, cioè Chrome, Dropbox, ecc. Le uniche altre colonne che dobbiamo guardare sono Remote Address e State. Andate avanti e ordinate per la colonna Stato e guardate tutti i processi elencati sotto ESTABLISHED. Established significa che c’è attualmente una connessione aperta. Si noti che il software di spionaggio potrebbe non essere sempre connesso al server remoto, quindi è una buona idea lasciare questo programma aperto e monitorare eventuali nuovi processi che possono apparire sotto lo stato stabilito.
Quello che si vuole fare è filtrare la lista ai processi il cui nome non si riconosce. Chrome e Dropbox vanno bene e non sono motivo di allarme, ma cosa sono openvpn.exe e rubyw.exe? Beh, nel mio caso, uso una VPN per connettermi a Internet, quindi quei processi sono per il mio servizio VPN. Tuttavia, puoi semplicemente cercare su Google quei servizi e capirlo velocemente da solo. Il software VPN non è un software di spionaggio, quindi non c’è da preoccuparsi. Quando cerchi un processo, sarai immediatamente in grado di dire se è sicuro o meno semplicemente guardando i risultati della ricerca.
Un’altra cosa che vuoi controllare sono le colonne all’estrema destra chiamate Sent Packets, Sent Bytes, ecc. Ordina per Bytes inviati e puoi vedere immediatamente quale processo sta inviando più dati dal tuo computer. Se qualcuno sta monitorando il tuo computer, deve inviare i dati da qualche parte, quindi a meno che il processo sia nascosto molto bene, dovresti vederlo qui.
Process Explorer
Un altro programma che puoi usare per trovare tutti i processi in esecuzione sul tuo computer è Process Explorer di Microsoft. Quando lo eseguirai, vedrai un sacco di informazioni su ogni singolo processo e anche sui processi figli in esecuzione all’interno dei processi genitori.
Process Explorer è piuttosto impressionante perché si collega con VirusTotal e può dirti istantaneamente se un processo è stato rilevato come malware o no. Per farlo, clicca su Opzioni, VirusTotal.com e poi clicca su Controlla VirusTotal.com. Ti porterà al loro sito web per leggere il TOS, basta chiuderlo e fare clic su Sì nella finestra di dialogo del programma.
Una volta fatto questo, vedrai una nuova colonna che mostra il tasso di rilevamento dell’ultima scansione per molti dei processi. Non sarà in grado di ottenere il valore per tutti i processi, ma è meglio di niente. Per quelli che non hanno un punteggio, vai avanti e cerca manualmente quei processi in Google. Per quelli che hanno un punteggio, volete che dica più o meno 0/XX. Se non è 0, vai avanti e cerca su Google il processo o clicca sui numeri per essere portato al sito di VirusTotal per quel processo.
Tendo anche a ordinare l’elenco per nome della società e qualsiasi processo che non ha una società elencata, lo cerco su Google per controllare. Tuttavia, anche con questi programmi potresti non vedere tutti i processi.
Rootkits
C’è anche una classe di programmi stealth chiamati rootkits, che i due programmi di cui sopra non saranno nemmeno in grado di vedere. In questo caso, se non avete trovato nulla di sospetto controllando tutti i processi di cui sopra, dovrete provare strumenti ancora più robusti. Un altro buon strumento di Microsoft è Rootkit Revealer, tuttavia è molto vecchio.
Altri buoni strumenti anti-rootkit sono Malwarebytes Anti-Rootkit Beta, che raccomando vivamente dato che il loro strumento anti-malware è stato classificato al primo posto nel 2014. Un altro popolare è GMER.
Si consiglia di installare questi strumenti ed eseguirli. Se trovano qualcosa, rimuovete o cancellate qualsiasi cosa vi suggeriscano. Inoltre, dovresti installare un software anti-malware e anti-virus. Molti di questi programmi stealth che la gente usa sono considerati malware/virus, quindi verranno rimossi se si esegue il software appropriato. Se qualcosa viene rilevato, assicurati di cercarlo su Google in modo da poter scoprire se si tratta di un software di monitoraggio o meno.
Email & Monitoraggio siti web
Anche controllare se la tua e-mail viene monitorata è complicato, ma ci limiteremo alle cose facili per questo articolo. Ogni volta che invii un’e-mail da Outlook o da qualche client di posta elettronica sul tuo computer, deve sempre connettersi a un server di posta elettronica. Ora può connettersi direttamente o può connettersi attraverso quello che viene chiamato un server proxy, che prende una richiesta, la modifica o la controlla, e la inoltra ad un altro server.
Se stai andando attraverso un server proxy per la posta elettronica o la navigazione web, allora i siti web a cui accedi o le e-mail che scrivi possono essere salvati e visti in seguito. Puoi controllare per entrambi ed ecco come. Per IE, vai su Strumenti, poi Opzioni Internet. Clicca sulla scheda Connessioni e scegli Impostazioni LAN.
Se la casella Server Proxy è selezionata e ha un indirizzo IP locale con un numero di porta, allora significa che stai passando attraverso un server locale prima di raggiungere il server web. Questo significa che qualsiasi sito web che visitate passa prima attraverso un altro server che esegue qualche tipo di software che blocca l’indirizzo o semplicemente lo registra. L’unico momento in cui saresti in qualche modo al sicuro è se il sito che stai visitando sta usando SSL (HTTPS nella barra degli indirizzi), il che significa che tutto ciò che viene inviato dal tuo computer al server remoto è criptato. Anche se l’azienda dovesse catturare i dati nel mezzo, questi sarebbero criptati. Dico in qualche modo sicuro perché se c’è un software di spionaggio installato sul tuo computer, può catturare le sequenze di tasti e quindi catturare qualsiasi cosa tu digiti in quei siti sicuri.
Per la tua email aziendale, stai controllando la stessa cosa, un indirizzo IP locale per i server di posta POP e SMTP. Per controllare in Outlook, vai su Strumenti, Account di posta elettronica, e clicca su Modifica o Proprietà, e trova i valori per il server POP e SMTP. Sfortunatamente, negli ambienti aziendali, il server di posta elettronica è probabilmente locale e quindi sei sicuramente monitorato, anche se non è attraverso un proxy.
Dovresti sempre fare attenzione nello scrivere e-mail o nel navigare su siti web mentre sei in ufficio. Cercare di sfondare la sicurezza potrebbe anche metterti nei guai se scoprono che hai bypassato i loro sistemi! Agli informatici questo non piace, te lo posso dire per esperienza! Tuttavia, se vuoi rendere sicura la tua navigazione sul web e la tua attività di posta elettronica, la cosa migliore è usare VPN come Private Internet Access.
Questo richiede l’installazione di un software sul computer, che potresti non essere in grado di fare in primo luogo. Tuttavia, se puoi, puoi essere abbastanza sicuro che nessuno sia in grado di vedere quello che stai facendo nel tuo browser, finché non è installato un software di spionaggio locale! Non c’è niente che possa nascondere le tue attività da un software di spionaggio installato localmente, perché può registrare le sequenze di tasti, ecc, quindi fai del tuo meglio per seguire le mie istruzioni sopra e disabilitare il programma di monitoraggio. Se hai domande o dubbi, sentiti libero di commentare. Buon divertimento!