Als IT-professional controleer ik regelmatig de computers en e-mails van werknemers. Dit is essentieel in een werkomgeving, zowel voor administratieve doeleinden als voor de veiligheid. Door e-mail te monitoren, kun je bijvoorbeeld bijlagen blokkeren die een virus of spyware kunnen bevatten. De enige keer dat ik verbinding moet maken met een computer van een gebruiker en rechtstreeks op zijn computer moet werken, is om een probleem op te lossen.
Als je echter het gevoel hebt dat je in de gaten wordt gehouden terwijl dat niet zou moeten, zijn er een paar kleine trucjes die je kunt gebruiken om vast te stellen of je gelijk hebt. Ten eerste betekent het monitoren van iemands computer dat ze alles wat je op je computer doet in real time kunnen bekijken. Het blokkeren van pornosites, het verwijderen van bijlagen of het blokkeren van spam voordat het in je inbox komt, etc is niet echt monitoring, maar meer als filteren.
Het ene GROTE probleem dat ik wil benadrukken voordat we verder gaan, is dat als je in een bedrijfsomgeving bent en denkt dat je wordt gemonitord, je moet aannemen dat ze ALLES kunnen zien wat je op de computer doet. Ga er ook van uit dat je niet in staat zult zijn om de software te vinden die alles opneemt. In bedrijfsomgevingen zijn de computers zo aangepast en geconfigureerd dat het bijna onmogelijk is om iets te detecteren, tenzij je een hacker bent. Dit artikel is meer gericht op thuisgebruikers die denken dat een vriend of familielid hen probeert te bespioneren.
Computer Monitoring
Dus nu, als je nog steeds denkt dat iemand je bespioneert, hier is wat je kunt doen! De makkelijkste en eenvoudigste manier waarop iemand op je computer kan inloggen is door gebruik te maken van remote desktop. Het mooie is dat Windows geen meervoudige gelijktijdige verbindingen ondersteunt terwijl iemand is ingelogd op de console (er is een hack voor, maar ik zou me er geen zorgen over maken). Wat dit betekent is dat als je ingelogd bent op je XP, 7 of Windows 8 computer en iemand zou er verbinding mee maken met behulp van de ingebouwde REMOTE DESKTOP functie van Windows, je scherm vergrendeld zou worden en het zou je vertellen wie er verbonden is.
Dus waarom is dat nuttig? Het is nuttig omdat het betekent dat iemand om verbinding te maken met UW sessie zonder dat u het merkt of uw scherm wordt overgenomen, software van derden moet gebruiken. Echter, in 2014 zal niemand zo voor de hand liggend zijn en het is een stuk moeilijker om stealth-software van derden te detecteren.
Als we op zoek zijn naar software van derden, die meestal wordt aangeduid als software voor afstandsbediening of virtual network computing (VNC) software, moeten we vanaf nul beginnen. Gewoonlijk, wanneer iemand dit soort software op uw computer installeert, moeten ze dat doen terwijl u er niet bent en moeten ze uw computer opnieuw opstarten. Dus het eerste wat je zou kunnen opvallen is als je computer opnieuw is opgestart en je je niet herinnert dat je dat hebt gedaan.
Ten tweede, moet je in je Start Menu – Alle Programma’s kijken of er iets als VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc is geinstalleerd. Vaak zijn mensen slordig en denken ze dat een normale gebruiker niet weet wat voor software het is en het gewoon zullen negeren. Als een van deze programma’s is geïnstalleerd, dan kan iemand verbinding maken met uw computer zonder dat u het weet, zolang het programma op de achtergrond draait als een Windows service.
Dat brengt ons bij het derde punt. Als een van de bovengenoemde programma’s is geïnstalleerd, staat er meestal een pictogram voor in de taakbalk, omdat het constant moet worden uitgevoerd om te kunnen werken.
Controleer al uw pictogrammen (zelfs de verborgen pictogrammen) en kijk wat er wordt uitgevoerd. Als u iets tegenkomt waar u nog nooit van hebt gehoord, zoek dan eens op Google om te zien wat er allemaal opduikt. Het is vrij gemakkelijk voor bewakingssoftware om het taakbalkpictogram te verbergen, dus als u daar niets ongewoons ziet, betekent dit niet dat u geen bewakingssoftware hebt geïnstalleerd.
Dus als er niets te zien is op de voor de hand liggende plaatsen, laten we verder gaan met de meer ingewikkelde dingen.
Check Firewall Ports
Wederom, omdat dit apps van derden zijn, moeten ze verbinding maken met Windows op verschillende communicatiepoorten. Poorten zijn eenvoudigweg een virtuele gegevensverbinding waarmee computers rechtstreeks informatie uitwisselen. Zoals je misschien al weet, heeft Windows een ingebouwde firewall die veel van de inkomende poorten blokkeert om veiligheidsredenen. Als je geen FTP site draait, waarom zou je poort 23 dan open hebben staan, toch?
Om deze apps van derden verbinding te laten maken met je computer, moeten ze dus door een poort komen, die open moet staan op je computer. U kunt alle open poorten controleren door naar Start, Configuratiescherm en Windows Firewall te gaan. Klik vervolgens aan de linkerkant op Een programma of functie toestaan via Windows Firewall.
Hier ziet u een lijst met programma’s met selectievakjes ernaast. De aangevinkte programma’s zijn “open” en de niet-aangevinkte of niet in de lijst opgenomen programma’s zijn “gesloten”. Ga door de lijst en kijk of er een programma is dat je niet kent of dat overeenkomt met VNC, afstandsbediening, enz. Als dat zo is, kunt u het programma blokkeren door het vinkje weg te halen!
Check Outbound Connections
Het is helaas iets ingewikkelder dan dit. In sommige gevallen kan er een inkomende verbinding zijn, maar in veel gevallen zal de software die op uw computer is geïnstalleerd alleen een uitgaande verbinding met een server hebben. In Windows zijn alle uitgaande verbindingen toegestaan, wat betekent dat niets wordt geblokkeerd. Als het enige wat de spionage software doet is gegevens opnemen en naar een server sturen, dan gebruikt het alleen een uitgaande verbinding en zal daarom niet opduiken in die firewall lijst.
Om een dergelijk programma te pakken te krijgen, moeten we uitgaande verbindingen van onze computer naar servers zien. Er zijn een heleboel manieren waarop we dit kunnen doen en ik ga het hier over een of twee hebben. Zoals ik al eerder zei, het wordt nu een beetje ingewikkeld omdat we te maken hebben met echt stealthy software en je gaat het niet gemakkelijk vinden.
TCPView
Voreerst, download een programma genaamd TCPView van Microsoft. Het is een heel klein bestand en je hoeft het niet eens te installeren, gewoon uitpakken en dubbel-klikken op Tcpview. Het hoofdvenster ziet er zo uit en is waarschijnlijk onbegrijpelijk.
In principe laat het je alle verbindingen zien tussen jouw computer en andere computers. Aan de linkerkant staat de procesnaam, dat zijn de programma’s die worden uitgevoerd, bijv. Chrome, Dropbox, enz. De enige andere kolommen waar we naar moeten kijken zijn Remote Address en State. Ga je gang en sorteer op State kolom en kijk naar alle processen die onder ESTABLISHED staan. Established betekent dat er momenteel een open verbinding is. Merk op dat de spionage software niet altijd verbonden is met de server op afstand, dus het is een goed idee om dit programma open te laten staan en te kijken of er nieuwe processen opduiken onder de established state.
Wat je wilt doen is die lijst uitfilteren op processen waarvan je de naam niet herkent. Chrome en Dropbox zijn prima en geen reden voor alarm, maar wat is openvpn.exe en rubyw.exe? Wel, in mijn geval gebruik ik een VPN om verbinding te maken met het Internet, dus die processen zijn voor mijn VPN service. Maar je kunt die diensten gewoon googlen en dat snel zelf uitzoeken. VPN software is geen spionage software, dus maak je daar geen zorgen over. Als je naar een proces zoekt, kun je direct zien of het veilig is of niet door alleen maar naar de zoekresultaten te kijken.
Een ander ding dat je wilt controleren zijn de uiterst rechtse kolommen genaamd Sent Packets, Sent Bytes, enz. Sorteer op Verzonden bytes en u kunt direct zien welk proces de meeste data vanaf uw computer verstuurt. Als iemand uw computer in de gaten houdt, moet hij de gegevens ergens naartoe sturen, dus tenzij het proces extreem goed verborgen is, zou u het hier moeten zien.
Process Explorer
Een ander programma dat u kunt gebruiken om alle processen te vinden die op uw computer worden uitgevoerd, is Process Explorer van Microsoft. Wanneer u dit programma uitvoert, krijgt u een heleboel informatie te zien over elk afzonderlijk proces en zelfs over child-processen die binnen parent-processen draaien.
Process Explorer is behoorlijk geweldig omdat het verbinding maakt met VirusTotal en u direct kan vertellen of een proces al dan niet als malware is gedetecteerd. Om dat te doen, klik je op Opties, VirusTotal.com en dan op Controleer VirusTotal.com. Je gaat dan naar hun website om de TOS te lezen, sluit die en klik op Ja in het dialoogvenster van het programma.
Zodra je dat doet, zie je een nieuwe kolom die de laatste scandetectie toont voor veel van de processen. Het zal niet mogelijk zijn om de waarde voor alle processen te krijgen, maar het is beter dan niets. Voor degene die geen score hebben, ga je gang en zoek handmatig naar die processen in Google. Voor degene met een score, wil je dat er ongeveer 0/XX staat. Als het geen 0 is, ga je gang en Google het proces of klik op de nummers om naar de VirusTotal website voor dat proces te worden gebracht.
Ik heb ook de neiging om de lijst te sorteren op Bedrijfsnaam en elk proces waar geen bedrijf bij staat vermeld, Google ik om te controleren. Maar zelfs met deze programma’s is het mogelijk dat u nog steeds niet alle processen ziet.
Rootkits
Er is ook een klasse stealth programma’s die rootkits worden genoemd en die de twee bovenstaande programma’s niet eens kunnen zien. In dit geval, als u niets verdachts hebt gevonden bij het controleren van alle processen hierboven, moet u nog robuustere hulpmiddelen proberen. Een andere goede tool van Microsoft is Rootkit Revealer, het is echter erg oud.
Andere goede anti-rootkit tools zijn Malwarebytes Anti-Rootkit Beta, die ik ten zeerste zou aanbevelen omdat hun anti-malware tool in 2014 op de eerste plaats stond. Een andere populaire tool is GMER.
Ik stel voor dat u deze tools installeert en uitvoert. Als ze iets vinden, verwijdert u wat ze aanraden. Daarnaast moet u anti-malware en anti-virussoftware installeren. Veel van deze stealth programma’s die mensen gebruiken worden beschouwd als malware/virussen, dus ze zullen worden verwijderd als u de juiste software gebruikt. Als iets wordt gedetecteerd, zorg er dan voor dat u het googelt, zodat u kunt achterhalen of het bewakingssoftware was of niet.
Email & Web Site Monitoring
Om te controleren of uw e-mail wordt bewaakt is ook ingewikkeld, maar we houden het bij de makkelijke dingen voor dit artikel. Wanneer je een email verstuurt vanuit Outlook of een andere email client op je computer, moet het altijd verbinding maken met een email server. Dat kan rechtstreeks of via een zogenaamde proxy server, die een verzoek aanneemt, wijzigt of controleert, en doorstuurt naar een andere server.
Als je door een proxy server gaat voor e-mail of web browsing, dan kunnen de websites die je bezoekt of de emails die je schrijft worden opgeslagen en later worden bekeken. Je kunt het voor beide controleren en hier is hoe. Voor IE, ga naar Extra, dan Internet Opties. Klik op het tabblad Verbindingen en kies LAN-instellingen.
Als het vakje Proxyserver is aangevinkt en het heeft een lokaal IP-adres met een poortnummer, dan betekent dit dat je eerst door een lokale server gaat voordat het de webserver bereikt. Dit betekent dat elke website die je bezoekt eerst door een andere server gaat waarop een soort software draait die het adres blokkeert of het gewoon logt. De enige keer dat u enigszins veilig zou zijn, is als de site die u bezoekt SSL gebruikt (HTTPS in de adresbalk), wat betekent dat alles wat van uw computer naar de externe server wordt verzonden, gecodeerd is. Zelfs als uw bedrijf de gegevens tussendoor zou vastleggen, zouden ze gecodeerd zijn. Ik zeg enigszins veilig, omdat als er spionage software op uw computer is geïnstalleerd, deze toetsaanslagen kan vastleggen en dus kan vastleggen wat u typt op die beveiligde sites.
Voor uw bedrijfs e-mail, controleert u op hetzelfde, een lokaal IP adres voor de POP en SMTP mail servers. Om dit te controleren in Outlook, ga naar Extra, E-mail Accounts, en klik op Wijzigen of Eigenschappen, en zoek de waarden voor POP en SMTP server. Helaas is in bedrijfsomgevingen de e-mailserver waarschijnlijk lokaal en wordt u dus zeker in de gaten gehouden, zelfs als dat niet via een proxy gebeurt.
U moet altijd voorzichtig zijn met het schrijven van e-mails of het surfen op websites terwijl u op kantoor bent. Als je probeert de beveiliging te omzeilen, kun je in de problemen komen als ze erachter komen dat je hun systemen hebt omzeild! IT mensen houden daar niet van, kan ik je uit ervaring vertellen! Echter, als u wilt uw web browsen en e-mail activiteiten te beveiligen, uw beste weddenschap is het gebruik van VPN, zoals Private Internet Access.
Dit vereist het installeren van software op de computer, die je misschien niet in staat zijn om te doen in de eerste plaats. Maar als u dat wel kunt, kunt u er vrij zeker van zijn dat niemand kan zien wat u in uw browser doet, zolang er geen lokale spionagesoftware is geïnstalleerd! Er is niets dat uw activiteiten kan verbergen voor lokaal geïnstalleerde spionagesoftware omdat die toetsaanslagen, enz. kan registreren, dus doe uw best om mijn instructies hierboven te volgen en het bewakingsprogramma uit te schakelen. Als u vragen of zorgen heeft, voel je vrij om commentaar te geven. Veel plezier!