Jako IT Pro, rutynowo monitorować komputery pracowników i wiadomości e-mail. Jest to niezbędne w środowisku pracy dla celów administracyjnych, jak również dla bezpieczeństwa. Monitorowanie poczty elektronicznej, na przykład, pozwala na blokowanie załączników, które mogą zawierać wirusy lub programy szpiegujące. Jedyny czas, kiedy muszę podłączyć się do komputera użytkownika i wykonać pracę bezpośrednio na jego komputerze jest naprawić problem.
Jednakże, jeśli czujesz, że jesteś monitorowany, gdy nie powinno być, istnieje kilka małych sztuczek można użyć, aby określić, czy masz rację. Po pierwsze, monitorowanie czyjegoś komputera oznacza, że może on obserwować wszystko, co robisz na swoim komputerze w czasie rzeczywistym. Blokowanie stron porno, usuwanie załączników lub blokowanie spamu zanim trafi do skrzynki odbiorczej, itp. nie jest tak naprawdę monitorowaniem, ale bardziej jak filtrowanie.
Jednym WIELKIM problemem, który chcę podkreślić przed przejściem dalej jest to, że jeśli jesteś w środowisku korporacyjnym i myślisz, że jesteś monitorowany, powinieneś założyć, że widzą WSZYSTKO co robisz na komputerze. Również założyć, że nie będzie w stanie faktycznie znaleźć oprogramowanie, które jest nagrywanie wszystkiego. W środowiskach korporacyjnych, komputery są tak dostosowane i rekonfigurowane, że jest to prawie niemożliwe, aby wykryć cokolwiek, chyba że jesteś hakerem. Ten artykuł jest bardziej nastawiony na użytkowników domowych, którzy myślą, że przyjaciel lub członek rodziny próbuje ich monitorować.
Monitorowanie komputera
Więc teraz, jeśli nadal uważasz, że ktoś cię szpieguje, oto co możesz zrobić! Najłatwiejszym i najprostszym sposobem, w jaki ktoś może zalogować się na Twój komputer jest użycie zdalnego pulpitu. Dobrą rzeczą jest to, że Windows nie obsługuje wielu równoczesnych połączeń, gdy ktoś jest zalogowany do konsoli (jest na to hack, ale nie martwiłbym się o to). Oznacza to, że jeśli jesteś zalogowany do swojego komputera z systemem XP, 7 lub Windows 8 i ktoś mógłby się do niego podłączyć używając wbudowanej funkcji zdalnego pulpitu systemu Windows, twój ekran zostałby zablokowany i powiedziałby ci, kto jest podłączony.
Dlaczego więc jest to przydatne? Jest użyteczne, ponieważ oznacza, że aby ktoś mógł się podłączyć do TWOJEJ sesji bez Twojego zauważenia lub przejęcia Twojego ekranu, musi użyć oprogramowania innej firmy. Jednak w 2014 roku, nikt nie będzie tak oczywisty i dużo trudniej jest wykryć oprogramowanie firm trzecich, które jest stealth software.
Jeśli szukamy oprogramowania firm trzecich, które jest zwykle określane jako oprogramowanie zdalnej kontroli lub oprogramowanie wirtualnej sieci komputerowej (VNC), musimy zacząć od podstaw. Zazwyczaj, gdy ktoś instaluje tego typu oprogramowanie na twoim komputerze, musi to zrobić podczas twojej nieobecności i musi zrestartować twój komputer. So the first thing that could clue you off is if your computer has been restarted and you don’t remember doing it.
Secondly, you should check in your Start Menu – All Programs and to see whether or not something like VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc is installed. Wiele razy ludzie są niechlujni i myślą, że zwykły użytkownik nie będzie wiedział co to za oprogramowanie i po prostu je zignoruje. Jeśli którykolwiek z tych programów jest zainstalowany, to ktoś może podłączyć się do twojego komputera bez twojej wiedzy, tak długo jak program działa w tle jako usługa Windows.
To prowadzi nas do trzeciego punktu. Zazwyczaj, jeśli jeden z wyżej wymienionych programów są zainstalowane, będzie ikona dla niego w pasku zadań, ponieważ musi być stale uruchomiony do pracy.
Sprawdź wszystkie swoje ikony (nawet te ukryte) i zobaczyć, co jest uruchomione. Jeśli znajdziesz coś, o czym nie słyszałeś, zrób szybkie wyszukiwanie w Google, aby zobaczyć, co wyskakuje. Jest to dość łatwe dla oprogramowania monitorującego, aby ukryć ikonę paska zadań, więc jeśli nie widzisz tam nic niezwykłego, nie oznacza to, że nie masz zainstalowanego oprogramowania monitorującego.
Więc jeśli nic nie pojawia się w oczywistych miejscach, przejdźmy do bardziej skomplikowanych rzeczy.
Sprawdź porty zapory
Znowu, ponieważ są to aplikacje firm trzecich, muszą łączyć się z systemem Windows na różnych portach komunikacyjnych. Porty to po prostu wirtualne połączenie danych, za pomocą którego komputery bezpośrednio wymieniają informacje. Jak być może już wiesz, Windows posiada wbudowaną zaporę sieciową, która blokuje wiele portów przychodzących ze względów bezpieczeństwa. Jeśli nie korzystasz z witryny FTP, dlaczego twój port 23 powinien być otwarty, prawda?
Więc, aby te aplikacje firm trzecich mogły się połączyć z twoim komputerem, muszą przejść przez port, który musi być otwarty na twoim komputerze. Możesz sprawdzić wszystkie otwarte porty, przechodząc do Start, Panel sterowania i Zapora systemu Windows. Następnie kliknij na Allow a program of feature through Windows Firewall on the left hand side.
Here you’ll see a list of programs with check boxes next to them. Te, które są zaznaczone są „otwarte”, a te niezaznaczone lub nie wymienione są „zamknięte”. Przejrzyj listę i zobacz, czy jest jakiś program, którego nie znasz lub który pasuje do VNC, zdalnego sterowania itp. Jeśli tak, możesz zablokować program przez odznaczenie pola dla niego!
Check Outbound Connections
Niestety, jest to trochę bardziej skomplikowane niż to. W niektórych przypadkach może istnieć połączenie przychodzące, ale w wielu przypadkach oprogramowanie zainstalowane na komputerze będzie miało tylko połączenie wychodzące z serwerem. W systemie Windows wszystkie połączenia wychodzące są dozwolone, co oznacza, że nic nie jest blokowane. Jeśli wszystko, co robi oprogramowanie szpiegujące, to rejestrowanie danych i wysyłanie ich do serwera, to używa ono tylko połączenia wychodzącego i dlatego nie pojawi się na liście zapory sieciowej.
Aby wyłapać taki program, musimy zobaczyć połączenia wychodzące z naszego komputera do serwerów. Istnieje wiele sposobów, aby to zrobić i zamierzam omówić jeden lub dwa z nich. Jak powiedziałem wcześniej, teraz sprawa się nieco komplikuje, ponieważ mamy do czynienia z naprawdę ukrytym oprogramowaniem i nie znajdziesz go łatwo.
TCPView
Po pierwsze, pobierz program o nazwie TCPView z Microsoftu. Jest to bardzo mały plik i nie musisz go nawet instalować, po prostu rozpakuj go i kliknij dwukrotnie na Tcpview. Główne okno będzie wyglądało tak i prawdopodobnie nie będzie miało sensu.
Podstawowo, pokazuje wszystkie połączenia z twojego komputera do innych komputerów. Po lewej stronie znajduje się nazwa procesu, która będzie oznaczała uruchomione programy, czyli Chrome, Dropbox, itp. Jedyne inne kolumny, na które musimy zwrócić uwagę, to Remote Address i State. Przejdź dalej i posortuj według kolumny State i spójrz na wszystkie procesy wymienione pod ESTABLISHED. Established oznacza, że aktualnie istnieje otwarte połączenie. Zauważ, że oprogramowanie szpiegujące nie zawsze jest połączone ze zdalnym serwerem, więc warto zostawić ten program otwarty i monitorować nowe procesy, które mogą pojawić się pod stanem established.
To, co chcesz zrobić, to odfiltrować listę procesów, których nazw nie rozpoznajesz. Chrome i Dropbox są w porządku i nie ma powodów do niepokoju, ale co to jest openvpn.exe i rubyw.exe? Cóż, w moim przypadku używam VPN do łączenia się z Internetem, więc te procesy są dla mojej usługi VPN. Jednak można po prostu Google tych usług i szybko dowiedzieć się, że sam. Oprogramowanie VPN nie jest oprogramowaniem szpiegującym, więc nie ma się czym martwić. Kiedy szukasz procesu, będziesz natychmiast być w stanie powiedzieć, czy jest to bezpieczne, czy nie, po prostu patrząc na wyniki wyszukiwania.
Inna rzecz, którą chcesz sprawdzić są daleko w prawo kolumny o nazwie Wysłane pakiety, Wysłane bajty, itp. Sortuj według Sent Bytes i można natychmiast zobaczyć, który proces jest wysyłanie najwięcej danych z komputera. Jeśli ktoś monitoruje twój komputer, musi gdzieś wysyłać dane, więc jeśli proces nie jest bardzo dobrze ukryty, powinieneś go tu zobaczyć.
Process Explorer
Innym programem, którego możesz użyć do znalezienia wszystkich procesów działających na twoim komputerze jest Process Explorer firmy Microsoft. Kiedy go uruchomisz, zobaczysz całą masę informacji o każdym pojedynczym procesie, a nawet o procesach potomnych uruchomionych wewnątrz procesów macierzystych.
Process Explorer jest całkiem niezły, ponieważ łączy się z VirusTotal i może ci natychmiast powiedzieć, czy proces został wykryty jako malware, czy nie. Aby to zrobić, kliknij na Opcje, VirusTotal.com, a następnie kliknij na Sprawdź VirusTotal.com. To przeniesie cię do ich strony internetowej, aby przeczytać TOS, po prostu zamknij to i kliknij Tak na oknie dialogowym w programie.
Gdy to zrobisz, zobaczysz nową kolumnę, która pokazuje wskaźnik wykrywalności ostatniego skanowania dla wielu procesów. Nie będzie w stanie uzyskać wartości dla wszystkich procesów, ale lepsze to niż nic. Dla tych, które nie mają wyniku, przejdź dalej i ręcznie wyszukaj te procesy w Google. Dla tych z punktacją, chcesz, aby było to 0/XX. Jeśli nie jest to 0, przejdź dalej i wygoogluj proces lub kliknij na numery, aby zostać przeniesionym na stronę VirusTotal dla tego procesu.
Mam również tendencję do sortowania listy według nazwy firmy i każdy proces, który nie ma firmy wymienionej na liście, Google, aby sprawdzić. Jednakże, nawet z tych programów nadal nie widać wszystkich procesów.
Rootkits
Są też programy klasy stealth zwane rootkitami, które dwa programy powyżej nie będą nawet w stanie zobaczyć. W tym przypadku, jeśli nie znalazłeś nic podejrzanego podczas sprawdzania wszystkich procesów powyżej, będziesz musiał spróbować jeszcze bardziej solidnych narzędzi. Innym dobrym narzędziem od Microsoftu jest Rootkit Revealer, jednak jest on bardzo stary.
Innymi dobrymi narzędziami anty-rootkitowymi są Malwarebytes Anti-Rootkit Beta, które gorąco polecam, ponieważ ich narzędzie anty-malware znalazło się w rankingu #1 w 2014 roku. Innym popularnym jest GMER.
Proponuję zainstalować te narzędzia i uruchomić je. Jeśli coś znajdą, usuń lub skasuj to co sugerują. Dodatkowo, powinieneś zainstalować oprogramowanie antywirusowe i anty-malware. Wiele z tych ukrytych programów, których ludzie używają, jest uważanych za złośliwe oprogramowanie/wirusy, więc zostaną one usunięte, jeśli uruchomisz odpowiednie oprogramowanie. Jeśli coś zostanie wykryte, upewnij się, że wygooglujesz to, aby dowiedzieć się, czy było to oprogramowanie monitorujące, czy nie.
Email & Web Site Monitoring
Sprawdzenie, czy twój email jest monitorowany jest również skomplikowane, ale będziemy trzymać się łatwych rzeczy dla tego artykułu. Kiedykolwiek wysyłasz e-mail z Outlooka lub innego klienta poczty na swoim komputerze, zawsze musi on połączyć się z serwerem pocztowym. Teraz może albo połączyć się bezpośrednio lub może połączyć się przez to, co nazywa się serwer proxy, który bierze żądanie, zmienia lub sprawdza go i przekazuje go do innego serwera.
Jeśli przechodzisz przez serwer proxy dla poczty elektronicznej lub przeglądania stron internetowych, niż strony internetowe, do których masz dostęp lub e-maile, które piszesz mogą być zapisywane i przeglądane później. Możesz sprawdzić obie te możliwości i oto jak to zrobić. Dla IE, przejdź do Narzędzi, a następnie Opcje internetowe. Kliknij na zakładkę Połączenia i wybierz Ustawienia LAN.
Jeśli pole Serwer Proxy jest zaznaczone i ma lokalny adres IP z numerem portu, to znaczy, że przechodzisz najpierw przez lokalny serwer, zanim dotrze do serwera WWW. Oznacza to, że każda strona internetowa, którą odwiedzasz najpierw przechodzi przez inny serwer z jakimś oprogramowaniem, które albo blokuje adres, albo po prostu go rejestruje. Jedynym momentem, w którym byłbyś w pewnym stopniu bezpieczny, jest użycie SSL (HTTPS w pasku adresu), co oznacza, że wszystko przesyłane z Twojego komputera do zdalnego serwera jest szyfrowane. Nawet jeśli Twoja firma miałaby przechwytywać dane w międzyczasie, byłyby one zaszyfrowane. Mówię o pewnym bezpieczeństwie, ponieważ jeśli na twoim komputerze jest zainstalowane oprogramowanie szpiegujące, może ono przechwytywać naciśnięcia klawiszy, a zatem przechwytywać wszystko, co wpisujesz na tych bezpiecznych stronach.
W przypadku firmowej poczty elektronicznej sprawdzasz to samo, lokalny adres IP dla serwerów poczty POP i SMTP. Aby sprawdzić w Outlooku, przejdź do Narzędzi, Konta e-mail i kliknij Zmień lub Właściwości, a następnie znajdź wartości dla POP i serwera SMTP. Niestety, w środowiskach korporacyjnych, serwer pocztowy jest prawdopodobnie lokalny i dlatego na pewno jesteś monitorowany, nawet jeśli nie przez proxy.
Powinieneś zawsze być ostrożny w pisaniu e-maili lub przeglądaniu stron internetowych, gdy jesteś w biurze. Próba przełamania zabezpieczeń również może przysporzyć Ci kłopotów, jeśli dowiedzą się, że ominąłeś ich systemy! Ludzie IT nie lubią tego, mogę powiedzieć z doświadczenia! Jednakże, to chcesz zabezpieczyć swoje przeglądanie stron internetowych i aktywność e-mail, najlepiej jest użyć VPN jak Private Internet Access.
To wymaga zainstalowania oprogramowania na komputerze, który może nie być w stanie zrobić w pierwszej kolejności. Jednak jeśli możesz, możesz być całkiem pewien, że nikt nie jest w stanie zobaczyć, co robisz w przeglądarce tak długo, jak ich nie ma zainstalowanego lokalnego oprogramowania szpiegującego! Nie ma nic, co mogłoby ukryć Twoje działania przed lokalnie zainstalowanym oprogramowaniem szpiegującym, ponieważ może ono rejestrować naciśnięcia klawiszy itp., więc postaraj się jak najlepiej wykonać moje powyższe instrukcje i wyłączyć program monitorujący. Jeśli masz jakieś pytania lub wątpliwości, nie krępuj się komentować. Enjoy!