Cum să detectați programele de monitorizare sau de spionaj a calculatoarelor și a e-mailurilor

În calitate de profesionist IT, monitorizez în mod obișnuit calculatoarele și e-mailurile angajaților. Este esențial într-un mediu de lucru, atât în scopuri administrative, cât și de securitate. Monitorizarea e-mailurilor, de exemplu, vă permite să blocați atașamentele care ar putea conține un virus sau spyware. Singura dată când trebuie să mă conectez la computerul unui utilizator și să lucrez direct pe computerul său este pentru a rezolva o problemă.

Cu toate acestea, dacă simțiți că sunteți monitorizat atunci când nu ar trebui să fiți, există câteva mici trucuri pe care le puteți folosi pentru a determina dacă aveți dreptate. În primul rând, a monitoriza computerul cuiva înseamnă că acesta poate urmări în timp real tot ceea ce faci pe computerul tău. Blocarea site-urilor pornografice, eliminarea atașamentelor sau blocarea spam-ului înainte ca acesta să ajungă în căsuța dvs. de primire, etc. nu reprezintă cu adevărat monitorizare, ci mai degrabă filtrare.

Una MARE problemă pe care vreau să o subliniez înainte de a trece mai departe este că, dacă vă aflați într-un mediu corporatist și credeți că sunteți monitorizat, ar trebui să presupuneți că pot vedea TOT ce faceți pe calculator. De asemenea, presupuneți că nu veți putea găsi de fapt software-ul care înregistrează totul. În mediile corporative, computerele sunt atât de personalizate și reconfigurate încât este aproape imposibil să detectezi ceva, cu excepția cazului în care ești un hacker. Acest articol se adresează mai mult utilizatorilor casnici care cred că un prieten sau un membru al familiei încearcă să îi monitorizeze.

Monitorizarea calculatoarelor

Acum, dacă tot credeți că cineva vă spionează, iată ce puteți face! Cel mai simplu și mai simplu mod în care cineva se poate conecta la computerul tău este prin utilizarea desktopului la distanță. Partea bună este că Windows nu suportă mai multe conexiuni simultane în timp ce cineva este conectat la consolă (există un hack pentru acest lucru, dar nu mi-aș face griji). Ceea ce înseamnă că, dacă sunteți conectat la computerul dvs. XP, 7 sau Windows 8 și cineva ar trebui să se conecteze la acesta folosind funcția BUILT-IN REMOTE DESKTOP a Windows, ecranul dvs. ar deveni blocat și v-ar spune cine este conectat.

Atunci de ce este asta util? Este util pentru că înseamnă că, pentru ca cineva să se conecteze la sesiunea DUMNEAVOASTRĂ fără ca dumneavoastră să vă dați seama sau fără ca ecranul să vă fie ocupat, trebuie să folosească un software terț. Cu toate acestea, în 2014, nimeni nu va fi atât de evident și este mult mai greu să detectezi un software invizibil de la terți.

Dacă suntem în căutarea unui software de la terți, care este de obicei denumit software de control la distanță sau software de calcul în rețea virtuală (VNC), trebuie să începem de la zero. De obicei, atunci când cineva instalează acest tip de software pe computerul dumneavoastră, trebuie să o facă în timp ce dumneavoastră nu sunteți acolo și trebuie să vă repornească computerul. Așadar, primul lucru care ar putea să vă dea un indiciu este dacă computerul a fost repornit și nu vă amintiți că ați făcut acest lucru.

În al doilea rând, ar trebui să verificați în meniul Start – Toate programele și să vedeți dacă este sau nu instalat ceva de genul VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc. De multe ori, oamenii sunt neglijenți și se gândesc că un utilizator normal nu va ști ce este o bucată de software și o va ignora pur și simplu. Dacă oricare dintre aceste programe sunt instalate, atunci cineva se poate conecta la computerul dvs. fără ca dvs. să știți, atâta timp cât programul rulează în fundal ca un serviciu Windows.

Acesta ne aduce la cel de-al treilea punct. De obicei, dacă unul dintre programele enumerate mai sus este instalat, va exista o pictogramă pentru acesta în bara de sarcini, deoarece trebuie să ruleze în mod constant pentru a funcționa.

Verificați toate pictogramele (chiar și cele ascunse) și vedeți ce rulează. Dacă găsiți ceva de care nu ați auzit, faceți o căutare rapidă pe Google pentru a vedea ce apare. Este destul de ușor pentru un software de monitorizare să ascundă pictograma din bara de activități, așa că dacă nu vedeți nimic neobișnuit acolo, nu înseamnă că nu aveți instalat un software de monitorizare.

Dacă nu apare nimic în locurile evidente, să trecem la lucruri mai complicate.

Controlați porturile Firewall

Din nou, deoarece acestea sunt aplicații terțe, trebuie să se conecteze la Windows pe diferite porturi de comunicare. Porturile sunt pur și simplu o conexiune virtuală de date prin care computerele fac schimb direct de informații. După cum probabil știți deja, Windows vine cu un firewall încorporat care blochează multe dintre porturile de intrare din motive de securitate. Dacă nu rulați un site FTP, de ce ar trebui ca portul 23 să fie deschis, nu-i așa?

Din acest motiv, pentru ca aceste aplicații terțe să se conecteze la computerul dumneavoastră, ele trebuie să vină printr-un port, care trebuie să fie deschis pe computerul dumneavoastră. Puteți verifica toate porturile deschise mergând la Start, Control Panel și Windows Firewall. Apoi faceți clic pe Allow a program of feature through Windows Firewall (Permiteți un program sau o caracteristică prin Windows Firewall) în partea stângă.

Aici veți vedea o listă de programe cu căsuțe de verificare lângă ele. Cele care sunt bifate sunt „deschise”, iar cele care nu sunt bifate sau nelistate sunt „închise”. Parcurgeți lista și vedeți dacă există vreun program cu care nu sunteți familiarizat sau care se potrivește cu VNC, telecomanda, etc. Dacă da, puteți bloca programul debifând căsuța aferentă!”

Check Outbound Connections

Din păcate, este un pic mai complicat decât atât. În unele cazuri, poate exista o conexiune de intrare, dar în multe cazuri, software-ul instalat pe computerul dumneavoastră va avea doar o conexiune de ieșire către un server. În Windows, toate conexiunile outbounds sunt permise, ceea ce înseamnă că nimic nu este blocat. Dacă tot ceea ce face software-ul de spionaj este să înregistreze date și să le trimită către un server, atunci acesta folosește doar o conexiune de ieșire și, prin urmare, nu va apărea în acea listă de firewall.

Pentru a prinde un astfel de program, trebuie să vedem conexiunile de ieșire de la calculatorul nostru către servere. Există o întreagă serie de moduri în care putem face acest lucru și voi vorbi despre unul sau două aici. După cum am spus mai devreme, devine puțin mai complicat acum pentru că avem de-a face cu un software foarte invizibil și nu îl veți găsi ușor.

TCPView

În primul rând, descărcați un program numit TCPView de la Microsoft. Este un fișier foarte mic și nici măcar nu trebuie să îl instalați, doar descompuneți-l și faceți dublu clic pe Tcpview. Fereastra principală va arăta așa și probabil că nu va avea nici un sens.

În principiu, vă arată toate conexiunile de la calculatorul dvs. la alte calculatoare. În partea stângă este numele procesului, care va fi numele programelor care rulează, adică Chrome, Dropbox, etc. Singurele alte coloane la care trebuie să ne uităm sunt Remote Address și State. Mergeți mai departe și sortați după coloana State și uitați-vă la toate procesele listate sub ESTABLISHED. Established înseamnă că există în prezent o conexiune deschisă. Rețineți că este posibil ca software-ul de spionaj să nu fie întotdeauna conectat la serverul de la distanță, așa că este o idee bună să lăsați acest program deschis și să monitorizați orice proces nou care ar putea să apară sub starea established.

Ceea ce doriți să faceți este să filtrați această listă la procesele al căror nume nu îl recunoașteți. Chrome și Dropbox sunt în regulă și nu reprezintă un motiv de alarmă, dar ce sunt openvpn.exe și rubyw.exe? Ei bine, în cazul meu, folosesc un VPN pentru a mă conecta la internet, așa că aceste procese sunt pentru serviciul meu VPN. Cu toate acestea, puteți pur și simplu să căutați pe Google aceste servicii și să vă dați seama rapid singuri. Software-ul VPN nu este un software de spionaj, așa că nu vă faceți griji în acest sens. Când căutați un proces, veți putea să vă dați seama instantaneu dacă este sau nu sigur doar uitându-vă la rezultatele căutării.

Un alt lucru pe care doriți să îl verificați sunt coloanele din extrema dreaptă numite Pachete trimise, Bytes trimiși, etc. Sortați după Bytes trimiși și puteți vedea instantaneu ce proces trimite cele mai multe date de pe computerul dumneavoastră. Dacă cineva vă monitorizează calculatorul, trebuie să trimită datele undeva, așa că, dacă procesul nu este extrem de bine ascuns, ar trebui să îl vedeți aici.

Process Explorer

Un alt program pe care îl puteți folosi pentru a găsi toate procesele care rulează pe calculatorul dumneavoastră este Process Explorer de la Microsoft. Când îl rulați, veți vedea o mulțime de informații despre fiecare proces în parte și chiar despre procesele copil care rulează în interiorul proceselor părinte.

Process Explorer este destul de grozav pentru că se conectează cu VirusTotal și vă poate spune instantaneu dacă un proces a fost detectat ca fiind malware sau nu. Pentru a face acest lucru, faceți clic pe Options, VirusTotal.com și apoi faceți clic pe Check VirusTotal.com. Vă va duce pe site-ul lor pentru a citi TOS, doar închideți-l și faceți clic pe Yes în dialogul din program.

După ce faceți asta, veți vedea o nouă coloană care arată rata de detectare a ultimei scanări pentru o mulțime de procese. Nu va putea obține valoarea pentru toate procesele, dar este mai bine decât nimic. Pentru cele care nu au un scor, mergeți mai departe și căutați manual acele procese în Google. Pentru cele care au scoruri, doriți ca acesta să fie mai degrabă 0/XX. Dacă nu este 0, mergeți mai departe și căutați procesul pe Google sau faceți clic pe numere pentru a fi direcționat către site-ul VirusTotal pentru acel proces.

De asemenea, am tendința de a sorta lista după numele companiei și orice proces care nu are o companie listată, îl caut pe Google pentru a verifica. Cu toate acestea, chiar și cu aceste programe este posibil să nu vedeți toate procesele.

Rootkits

Există, de asemenea, o clasă de programe invizibile numite rootkits, pe care cele două programe de mai sus nici măcar nu le vor putea vedea. În acest caz, dacă nu ați găsit nimic suspect atunci când ați verificat toate procesele de mai sus, va trebui să încercați instrumente și mai robuste. Un alt instrument bun de la Microsoft este Rootkit Revealer, însă este foarte vechi.

Alte instrumente anti-rootkit bune sunt Malwarebytes Anti-Rootkit Beta, pe care l-aș recomanda cu căldură, deoarece instrumentul lor anti-malware a fost clasat pe locul 1 în 2014. Un alt popular este GMER.

Vă sugerez să instalați aceste instrumente și să le rulați. Dacă găsesc ceva, eliminați sau ștergeți tot ceea ce vă sugerează. În plus, ar trebui să instalați un software anti-malware și anti-virus. Multe dintre aceste programe invizibile pe care le folosesc oamenii sunt considerate malware/viruși, așa că vor fi eliminate dacă rulați software-ul corespunzător. Dacă ceva este detectat, asigurați-vă că îl căutați pe Google, astfel încât să puteți afla dacă a fost un software de monitorizare sau nu.

Email & Monitorizarea site-urilor web

Să verificați dacă e-mailul dvs. este monitorizat este, de asemenea, complicat, dar ne vom limita la lucrurile ușoare pentru acest articol. Ori de câte ori trimiteți un e-mail din Outlook sau un alt client de e-mail de pe computerul dumneavoastră, acesta trebuie să se conecteze întotdeauna la un server de e-mail. Acum se poate conecta direct sau se poate conecta prin ceea ce se numește un server proxy, care preia o cerere, o modifică sau o verifică și o transmite mai departe către un alt server.

Dacă treceți printr-un server proxy pentru e-mail sau navigare pe internet, atunci site-urile web pe care le accesați sau e-mailurile pe care le scrieți pot fi salvate și vizualizate ulterior. Puteți verifica pentru ambele și iată cum. Pentru IE, mergeți la Tools (Instrumente), apoi la Internet Options (Opțiuni Internet). Faceți clic pe fila Conexiuni și alegeți Setări LAN.

Dacă este bifată căsuța Server Proxy și are o adresă IP locală cu un număr de port, înseamnă că trece mai întâi printr-un server local înainte de a ajunge la serverul web. Acest lucru înseamnă că orice site web pe care îl vizitați trece mai întâi printr-un alt server pe care rulează un fel de software care fie blochează adresa, fie pur și simplu o înregistrează. Singurul moment în care ați fi oarecum în siguranță este dacă site-ul pe care îl vizitați utilizează SSL (HTTPS în bara de adrese), ceea ce înseamnă că tot ceea ce este trimis de la computerul dumneavoastră la serverul de la distanță este criptat. Chiar și în cazul în care compania dvs. ar captura datele între timp, acestea ar fi criptate. Spun oarecum în siguranță pentru că, dacă există un software de spionaj instalat pe computerul dumneavoastră, acesta poate capta tastele și, prin urmare, poate capta tot ceea ce tastați pe acele site-uri securizate.

Pentru e-mailul corporativ, verificați același lucru, o adresă IP locală pentru serverele de e-mail POP și SMTP. Pentru a verifica în Outlook, mergeți la Instrumente, Conturi de e-mail și faceți clic pe Modificare sau Proprietăți și găsiți valorile pentru POP și server SMTP. Din nefericire, în mediile corporative, serverul de e-mail este probabil local și, prin urmare, sunteți cu siguranță monitorizat, chiar dacă nu este prin intermediul unui proxy.

Ar trebui să fiți întotdeauna atenți când scrieți e-mailuri sau navigați pe site-uri web în timp ce vă aflați la birou. Încercarea de a trece de securitate, de asemenea, vă poate aduce probleme dacă vor afla că le-ați ocolit sistemele! Oamenilor de la IT nu le place asta, pot să vă spun din experiență! Cu toate acestea, dacă doriți să vă securizați activitatea de navigare pe web și de e-mail, cea mai bună soluție este să folosiți VPN, cum ar fi Private Internet Access.

Acest lucru necesită instalarea de software pe computer, ceea ce s-ar putea să nu puteți face în primul rând. Cu toate acestea, dacă puteți, puteți fi destul de sigur că nimeni nu este capabil să vadă ceea ce faceți în browser, atâta timp cât nu este instalat un software local de spionaj! Nu există nimic care să vă poată ascunde activitățile de un software de spionaj instalat la nivel local, deoarece acesta poate înregistra apăsările de taste etc., așa că încercați să faceți tot posibilul să urmați instrucțiunile mele de mai sus și să dezactivați programul de monitorizare. Dacă aveți întrebări sau nelămuriri, nu ezitați să comentați. Distracție plăcută!

Lasă un răspuns

Adresa ta de email nu va fi publicată.