Como um Profissional de TI, eu rotineiramente monitorava computadores e e-mails dos funcionários. É essencial em um ambiente de trabalho para fins administrativos, bem como para segurança. O monitoramento de e-mails, por exemplo, permite bloquear anexos que possam conter um vírus ou spyware. O único tempo que eu tenho para me conectar a um computador de usuário e trabalhar diretamente em seu computador é para corrigir um problema.
No entanto, se você sente que está sendo monitorado quando não deveria estar, há alguns pequenos truques que você pode usar para determinar se você está certo. Em primeiro lugar, para monitorar alguns computadores significa que eles podem observar tudo o que você está fazendo no seu computador em tempo real. Bloquear sites porno, remover anexos ou bloquear spam antes de chegar à sua caixa de entrada, etc. não é realmente monitorar, mas mais como filtrar.
O grande problema que quero enfatizar antes de seguir em frente é que se você está em um ambiente corporativo e pensa que está sendo monitorado, você deve assumir que eles podem ver TUDO o que você faz no computador. Além disso, assuma que você não será capaz de realmente encontrar o software que está gravando tudo. Em ambientes corporativos, os computadores são tão personalizados e reconfigurados que é quase impossível detectar qualquer coisa, a menos que você seja um hacker. Este artigo é mais voltado para usuários domésticos que pensam que um amigo ou membro da família está tentando monitorá-los.
Monitoramento de computadores
Então agora, se você ainda acha que alguém está espionando você, aqui está o que você pode fazer! A maneira mais fácil e simples que alguém pode entrar no seu computador é usando a área de trabalho remota. O bom é que o Windows não suporta múltiplas conexões simultâneas enquanto alguém está conectado ao console (há um hack para isso, mas eu não me preocuparia com isso). O que isto significa é que se você estiver conectado ao seu computador XP, 7 ou Windows 8 e alguém se conectar a ele usando o recurso BUILT-IN REMOTE DESKTOP do Windows, sua tela ficaria bloqueada e ela lhe diria quem está conectado.
Então por que isso é útil? É útil porque significa que para que alguém se ligue à SUA sessão sem que você repare ou sem que a sua tela seja assumida, eles têm usado software de terceiros. No entanto, em 2014, ninguém vai ser tão óbvio e é muito mais difícil de detectar software de terceiros.
Se estamos à procura de software de terceiros, que normalmente é referido como software de controlo remoto ou software de computação em rede virtual (VNC), temos de começar do zero. Normalmente, quando alguém instala este tipo de software no seu computador, tem de o fazer enquanto você não está lá e tem de reiniciar o seu computador. Portanto, a primeira coisa que pode lhe dar uma pista é se seu computador foi reiniciado e você não se lembra de ter feito isso.
Segundo, você deve verificar no seu Menu Iniciar – Todos os Programas e ver se algo como VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc. está instalado. Muitas vezes as pessoas são descuidadas e acham que um usuário normal não saberá o que é um software e simplesmente o ignorarão. Se algum desses programas estiver instalado, então alguém poderá se conectar ao seu computador sem que você saiba, desde que o programa esteja sendo executado em segundo plano como um serviço do Windows.
Isso nos leva ao terceiro ponto. Normalmente, se um dos programas listados acima estiver instalado, haverá um ícone para ele na barra de tarefas porque ele precisa estar constantemente rodando para funcionar.
>
Cheque todos os seus ícones (mesmo os ocultos) e veja o que está rodando. Se você encontrar algo que não tenha ouvido falar, faça uma pesquisa rápida no Google para ver o que aparece. É muito fácil para o software de monitoramento esconder o ícone da barra de tarefas, então se você não vê nada fora do comum lá, não significa que você não tenha o software de monitoramento instalado.
Então se nada está aparecendo nos lugares óbvios, vamos passar para as coisas mais complicadas.
Check Firewall Ports
Again, porque estes são aplicativos de terceiros, eles têm que se conectar ao Windows em diferentes portas de comunicação. As portas são simplesmente uma conexão de dados virtual através da qual os computadores compartilham informações diretamente. Como você já deve saber, o Windows vem com um firewall embutido que bloqueia muitas das portas de entrada por razões de segurança. Se você não estiver executando um site FTP, por que sua porta 23 deve estar aberta, certo?
Então, para que esses aplicativos de terceiros se conectem ao seu computador, eles devem vir através de uma porta, que tem que estar aberta no seu computador. Você pode verificar todas as portas abertas indo para Iniciar, Painel de Controle, e Firewall do Windows. Depois clique em Permitir um programa de recurso através do Firewall do Windows no lado esquerdo.
Aqui você verá uma lista de programas com caixas de seleção ao lado deles. Os que estão assinalados são “abertos” e os não assinalados ou não listados são “fechados”. Vá à lista e veja se existe um programa com o qual não esteja familiarizado ou que corresponda a VNC, controlo remoto, etc. Se assim for, você pode bloquear o programa desmarcando a caixa para ele!
Check Outbound Connections
Felizmente, é um pouco mais complicado do que isso. Em alguns casos, pode haver uma conexão de entrada, mas em muitos casos, o software instalado no seu computador só terá uma conexão de saída para um servidor. No Windows, todas as conexões de saída são permitidas, o que significa que nada está bloqueado. Se tudo o que o software espião faz é gravar dados e enviá-los para um servidor, então ele só usa uma conexão de saída e, portanto, não aparecerá nessa lista de firewall.
Para pegar um programa como esse, temos que ver as conexões de saída do nosso computador para os servidores. Há uma série de maneiras de fazermos isso e eu vou falar sobre uma ou duas aqui. Como eu disse antes, agora fica um pouco complicado porque estamos lidando com software realmente furtivo e você não vai encontrá-lo facilmente.
TCPView
Primeiro, baixe um programa chamado TCPView da Microsoft. É um arquivo muito pequeno e você nem precisa instalá-lo, apenas descompacte-o e dê um duplo clique no Tcpview. A janela principal terá este aspecto e provavelmente não fará sentido.
Basicamente, está a mostrar-lhe todas as ligações do seu computador para outros computadores. No lado esquerdo está o nome do processo, que serão os programas em execução, ou seja, Chrome, Dropbox, etc. As únicas outras colunas que precisamos ver são Endereço Remoto e Estado. Vá em frente e ordene por coluna Estado e veja todos os processos listados em ESTABELECIDO. Estabelecido significa que atualmente há uma conexão aberta. Note que o software espião pode nem sempre estar conectado ao servidor remoto, então é uma boa idéia deixar este programa aberto e monitorar quaisquer novos processos que possam aparecer sob o estado estabelecido.
O que você quer fazer é filtrar essa lista para processos cujo nome você não reconhece. Chrome e Dropbox estão bem e não há motivo para alarme, mas o que é openvpn.exe e rubyw.exe? Bem, no meu caso, eu uso uma VPN para me conectar à Internet, então esses processos são para o meu serviço VPN. No entanto, você pode apenas pesquisar esses serviços no Google e rapidamente descobrir isso por si mesmo. O software VPN não é um software espião, por isso não se preocupe. Quando você procura por um processo, você poderá instantaneamente dizer se ele é ou não seguro apenas olhando para os resultados da pesquisa.
Outra coisa que você quer verificar são as colunas da extrema direita chamadas Pacotes Enviados, Bytes Enviados, etc. Ordenar por Bytes Enviados e você pode ver instantaneamente qual processo está enviando a maioria dos dados do seu computador. Se alguém estiver monitorando seu computador, ele tem que estar enviando os dados em algum lugar, então a menos que o processo esteja extremamente bem escondido, você deve vê-lo aqui.
Process Explorer
Outro programa que você pode usar para encontrar todos os processos em execução no seu computador é o Process Explorer da Microsoft. Quando você o executa, você verá um monte de informações sobre cada processo e até mesmo sobre os processos filhos executados dentro dos processos dos pais.
Process Explorer é bastante impressionante porque ele se conecta com o VirusTotal e pode dizer instantaneamente se um processo foi detectado como malware ou não. Para fazer isso, clique em Options, VirusTotal.com e depois clique em Check VirusTotal.com. Ele o levará ao site deles para ler o TOS, basta fechar isso e clicar em Sim na caixa de diálogo do programa.
Após fazer isso, você verá uma nova coluna que mostra a última taxa de detecção de varredura para muitos dos processos. Não conseguirá obter o valor para todos os processos, mas é melhor do que nada. Para os que não têm uma pontuação, vá em frente e pesquise manualmente esses processos no Google. Para os que têm pontuação, você quer que digam praticamente 0/XX. Se não for 0, vá em frente e faça o Google o processo ou clique nos números a serem levados para o site da VirusTotal para esse processo.
Eu também tendo a classificar a lista por Nome da Empresa e qualquer processo que não tenha uma empresa listada, eu faço o Google para verificar. Entretanto, mesmo com esses programas você ainda pode não ver todos os processos.
Rootkits
Há também um programa de stealth de classe chamado rootkits, que os dois programas acima não serão capazes de ver. Neste caso, se você não encontrou nada de suspeito ao verificar todos os processos acima, você precisará tentar ferramentas ainda mais robustas. Outra boa ferramenta da Microsoft é o Rootkit Revealer, porém é muito antigo.
Outras boas ferramentas anti-rootkit são Malwarebytes Anti-Rootkit Beta, o que eu recomendaria muito, já que a sua ferramenta anti-malware foi classificada como #1 em 2014. Outra popular é GMER.
Eu sugiro que você instale estas ferramentas e as execute. Se eles encontrarem alguma coisa, remova ou apague o que eles sugerirem. Além disso, você deve instalar software anti-malware e anti-vírus. Muitos destes programas furtivos que as pessoas usam são considerados malware/vírus, portanto eles serão removidos se você executar o software apropriado. Se alguma coisa for detectada, certifique-se de que o Google o detecta para que você possa descobrir se foi ou não software de monitoramento.
Email & Monitoramento de Web Site
Para verificar se o seu e-mail está sendo monitorado também é complicado, mas vamos ficar com o material fácil para este artigo. Sempre que você enviar um e-mail do Outlook ou algum cliente de e-mail no seu computador, ele sempre terá que se conectar a um servidor de e-mail. Agora ele pode se conectar diretamente ou através do que é chamado de servidor proxy, que pega um pedido, altera ou verifica, e o encaminha para outro servidor.
Se você estiver passando por um servidor proxy para e-mail ou navegação na web, então os sites que você acessa ou os e-mails que você escreve podem ser salvos e visualizados mais tarde. Você pode verificar por ambos e aqui está como. Para IE, vá para Ferramentas, depois Opções da Internet. Clique na guia Conexões e escolha Configurações LAN.
Se a caixa Servidor Proxy estiver marcada e tiver um endereço IP local com um número de porta, então isso significa que você está passando por um servidor local primeiro antes que ele chegue ao servidor web. Isto significa que qualquer site que você visitar primeiro passa por outro servidor rodando algum tipo de software que ou bloqueia o endereço ou simplesmente o registra. O único momento em que você estaria um pouco seguro é se o site que você está visitando estiver usando SSL (HTTPS na barra de endereços), o que significa que tudo enviado do seu computador para o servidor remoto é criptografado. Mesmo que a sua empresa captasse os dados intermediários, eles seriam criptografados. Eu digo algo seguro porque se houver um software espião instalado no seu computador, ele pode capturar teclas e, portanto, capturar o que você digitar nesses sites seguros.
Para o seu e-mail corporativo, você está verificando a mesma coisa, um endereço IP local para os servidores de e-mail POP e SMTP. Para verificar no Outlook, vá em Ferramentas, Contas de E-mail, e clique em Alterar ou Propriedades, e encontre os valores para os servidores POP e SMTP. Infelizmente, em ambientes corporativos, o servidor de e-mail é provavelmente local e, portanto, você está sendo monitorado, mesmo que não seja através de um proxy.
Você deve sempre ter cuidado ao escrever e-mails ou navegar em sites da web enquanto estiver no escritório. Tentar quebrar a segurança também pode lhe causar problemas se eles descobrirem que você contornou seus sistemas! As pessoas de TI não gostam disso, eu posso dizer por experiência própria! No entanto, se você quer proteger sua navegação na web e atividade de e-mail, sua melhor aposta é usar VPN como o Private Internet Access.
Isso requer a instalação de software no computador, o que você pode não ser capaz de fazer em primeiro lugar. No entanto, se você puder, você pode ter certeza que ninguém é capaz de ver o que você está fazendo em seu navegador, desde que não haja um software de espionagem local instalado! Não há nada que possa esconder suas atividades do software espião instalado localmente porque ele pode gravar toques de teclas, etc, então tente ao máximo seguir minhas instruções acima e desabilitar o programa de monitoramento. Se você tiver alguma dúvida ou preocupação, sinta-se à vontade para comentar. Aproveite!