Hur man upptäcker programvara för dator- och e-postövervakning eller spionage

Som IT-proffs övervakar jag rutinmässigt de anställdas datorer och e-post. Det är viktigt i en arbetsmiljö för administrativa ändamål samt för säkerheten. Genom att övervaka e-post kan du till exempel blockera bilagor som kan innehålla virus eller spionprogram. Den enda gången jag måste ansluta till en användares dator och göra arbete direkt på deras dator är för att åtgärda ett problem.

Och om du känner att du övervakas när du inte borde göra det, finns det några små knep som du kan använda för att avgöra om du har rätt. För det första innebär övervakning av någons dator att de kan se allt du gör på din dator i realtid. Att blockera porrsidor, ta bort bilagor eller blockera skräppost innan den når din inkorg osv. är inte riktigt övervakning, utan mer som filtrering.

Ett STORT problem som jag vill betona innan jag går vidare är att om du befinner dig i en företagsmiljö och tror att du är övervakad, bör du anta att de kan se ALLT du gör på datorn. Anta också att du inte kommer att kunna hitta den programvara som registrerar allting. I företagsmiljöer är datorerna så anpassade och omkonfigurerade att det är nästan omöjligt att upptäcka något om man inte är en hackare. Den här artikeln är mer inriktad på hemanvändare som tror att en vän eller familjemedlem försöker övervaka dem.

Datorövervakning

Så nu, om du fortfarande tror att någon spionerar på dig, här är vad du kan göra! Det enklaste och enklaste sättet som någon kan logga in på din dator är genom att använda fjärrskrivbord. Det som är bra är att Windows inte stöder flera samtidiga anslutningar medan någon är inloggad i konsolen (det finns ett hack för detta, men jag skulle inte oroa mig för det). Vad detta innebär är att om du är inloggad på din XP-, 7- eller Windows 8-dator och någon skulle ansluta till den med hjälp av den inbyggda funktionen REMOTE DESKTOP i Windows, skulle din skärm bli låst och det skulle tala om för dig vem som är ansluten.

Så varför är det användbart? Det är användbart eftersom det innebär att för att någon ska kunna ansluta till DIN session utan att du märker det eller utan att din skärm tas över, måste de använda programvara från tredje part. År 2014 kommer dock ingen att vara så uppenbar och det är mycket svårare att upptäcka smygprogramvara från tredje part.

Om vi letar efter programvara från tredje part, som vanligtvis kallas fjärrstyrningsprogramvara eller VNC-programvara (Virtual Network Computing), måste vi börja från början. Vanligtvis när någon installerar denna typ av programvara på din dator måste de göra det medan du inte är där och de måste starta om din dator. Så det första som kan ge dig en ledtråd är om datorn har startats om och du inte kommer ihåg att du har gjort det.

För det andra bör du kontrollera i din Start-meny – Alla program och se om något som VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC osv. är installerat eller inte. Många gånger är folk slarviga och tror att en normal användare inte vet vad en programvara är och helt enkelt ignorerar den. Om något av dessa program är installerat kan någon ansluta till din dator utan att du vet om det så länge programmet körs i bakgrunden som en Windows-tjänst.

Detta för oss till den tredje punkten. Vanligtvis, om något av de ovan nämnda programmen är installerat, finns det en ikon för det i aktivitetsfältet eftersom det måste vara ständigt igång för att fungera.

Kontrollera alla dina ikoner (även de dolda) och se vad som är igång. Om du hittar något som du inte har hört talas om kan du göra en snabb Google-sökning för att se vad som dyker upp. Det är ganska lätt för övervakningsprogram att dölja ikonen i aktivitetsfältet, så om du inte ser något ovanligt där betyder det inte att du inte har övervakningsprogram installerat.

Om inget dyker upp på de uppenbara ställena går vi vidare till de mer komplicerade sakerna.

Kontrollera brandväggens portar

Också här, eftersom det här är tredjepartsappar, måste de ansluta till Windows på olika kommunikationsportar. Portar är helt enkelt en virtuell dataanslutning genom vilken datorer delar information direkt. Som du kanske redan vet har Windows en inbyggd brandvägg som blockerar många av de inkommande portarna av säkerhetsskäl. Om du inte driver en FTP-webbplats, varför skulle din port 23 vara öppen, eller hur?

För att dessa tredjepartsappar ska kunna ansluta till din dator måste de alltså komma via en port, som måste vara öppen på din dator. Du kan kontrollera alla öppna portar genom att gå till Start, Kontrollpanelen och Windows brandvägg. Klicka sedan på Tillåt ett program eller en funktion genom Windows-brandväggen på vänster sida.

Här ser du en lista över program med kryssrutor bredvid. De som är markerade är ”öppna” och de som inte är markerade eller inte finns på listan är ”stängda”. Gå igenom listan och se om det finns ett program som du inte är bekant med eller som matchar VNC, fjärrkontroll osv. Om så är fallet kan du blockera programmet genom att avmarkera rutan för det!

Kontrollera utgående anslutningar

Tyvärr är det lite mer komplicerat än så. I vissa fall kan det finnas en inkommande anslutning, men i många fall har den programvara som är installerad på din dator endast en utgående anslutning till en server. I Windows är alla utgående anslutningar tillåtna, vilket innebär att ingenting blockeras. Om allt spionprogramvaran gör är att registrera data och skicka dem till en server, så använder den bara en utgående anslutning och kommer därför inte att dyka upp i den där brandväggslistan.

För att fånga ett sådant program måste vi se utgående anslutningar från vår dator till servrar. Det finns en mängd olika sätt vi kan göra detta på och jag kommer att tala om ett eller två här. Som jag sa tidigare blir det lite komplicerat nu eftersom vi har att göra med riktigt smygande programvara och du kommer inte att hitta den lätt.

TCPView

För det första laddar du ner ett program som heter TCPView från Microsoft. Det är en mycket liten fil och du behöver inte ens installera den, packa bara upp den och dubbelklicka på Tcpview. Huvudfönstret kommer att se ut så här och förmodligen inte ge någon mening.

I grund och botten visar det dig alla anslutningar från din dator till andra datorer. På vänster sida finns processnamnet, vilket kommer att vara de program som körs, dvs. Chrome, Dropbox osv. De enda andra kolumnerna som vi behöver titta på är Remote Address och State. Gå vidare och sortera efter kolumnen State och titta på alla de processer som listas under ESTABLISHED. Established betyder att det för närvarande finns en öppen anslutning. Observera att spionprogramvaran kanske inte alltid är ansluten till fjärrservern, så det är en bra idé att låta det här programmet vara öppet och övervaka alla nya processer som kan dyka upp under established state.

Vad du vill göra är att filtrera bort den där listan till processer vars namn du inte känner igen. Chrome och Dropbox är bra och ingen anledning till oro, men vad är openvpn.exe och rubyw.exe? I mitt fall använder jag en VPN för att ansluta till Internet, så dessa processer är för min VPN-tjänst. Du kan dock bara googla dessa tjänster och snabbt räkna ut det själv. VPN-programvara är inte spionprogramvara, så inga bekymmer där. När du söker efter en process kan du omedelbart avgöra om den är säker eller inte genom att bara titta på sökresultaten.

En annan sak du vill kontrollera är kolumnerna längst till höger som heter Sent Packets, Sent Bytes osv. Sortera efter Sent Bytes och du kan omedelbart se vilken process som skickar mest data från din dator. Om någon övervakar din dator måste de skicka data någonstans, så om processen inte är extremt väl dold bör du se den här.

Process Explorer

Ett annat program du kan använda för att hitta alla processer som körs på din dator är Process Explorer från Microsoft. När du kör det ser du en hel del information om varje enskild process och till och med om barnprocesser som körs i överordnade processer.

Process Explorer är ganska häftigt eftersom det är anslutet till VirusTotal och kan berätta direkt om en process har upptäckts som skadlig kod eller inte. Det gör du genom att klicka på Alternativ, VirusTotal.com och sedan klicka på Kontrollera VirusTotal.com. Det tar dig till deras hemsida för att läsa TOS, stäng bara den och klicka på Ja i dialogrutan i programmet.

När du gör det kommer du att se en ny kolumn som visar den senaste skanningens detektionsfrekvens för många av processerna. Den kommer inte att kunna få fram värdet för alla processer, men det är bättre än ingenting. För de som inte har ett värde kan du gå vidare och manuellt söka efter dessa processer i Google. För de processer som har poäng vill du att det ska stå 0/XX. Om det inte är 0, gå vidare och googla processen eller klicka på siffrorna för att komma till VirusTotal-webbplatsen för den processen.

Jag brukar också sortera listan efter företagsnamn och alla processer som inte har ett företag listat, googlar jag för att kontrollera. Men även med dessa program kanske du fortfarande inte ser alla processer.

Rootkits

Det finns också en klass smygprogram som kallas rootkits, som de två programmen ovan inte ens kommer att kunna se. I det här fallet, om du inte hittade något misstänkt när du kontrollerade alla processer ovan, måste du prova ännu mer robusta verktyg. Ett annat bra verktyg från Microsoft är Rootkit Revealer, men det är väldigt gammalt.

Andra bra anti-rootkit-verktyg är Malwarebytes Anti-Rootkit Beta, som jag starkt rekommenderar eftersom deras anti-malwareverktyg rankades som nummer 1 2014. Ett annat populärt verktyg är GMER.

Jag föreslår att du installerar dessa verktyg och kör dem. Om de hittar något tar du bort eller raderar det som de föreslår. Dessutom bör du installera program mot skadlig kod och antivirusprogram. Många av dessa smygprogram som folk använder betraktas som malware/virus, så de kommer att tas bort om du kör lämplig programvara. Om något upptäcks, se till att googla det så att du kan ta reda på om det var övervakningsprogram eller inte.

Email & Web Site Monitoring

Att kontrollera om din e-post övervakas är också komplicerat, men vi håller oss till det enkla i den här artikeln. När du skickar ett e-postmeddelande från Outlook eller någon e-postklient på din dator måste den alltid ansluta till en e-postserver. Nu kan den antingen ansluta direkt eller via en så kallad proxyserver, som tar emot en förfrågan, ändrar eller kontrollerar den och skickar den vidare till en annan server.

Om du går via en proxyserver för e-post eller surfning på webben, så kan de webbplatser du går in på eller de e-postmeddelanden du skriver sparas och ses senare. Du kan kontrollera båda och så här gör du. För IE, gå till Verktyg och sedan Internetalternativ. Klicka på fliken Anslutningar och välj LAN-inställningar.

Om rutan Proxyserver är markerad och den har en lokal IP-adress med ett portnummer betyder det att du går igenom en lokal server först innan den når webbservern. Detta innebär att alla webbplatser som du besöker först går genom en annan server som kör någon form av programvara som antingen blockerar adressen eller helt enkelt loggar den. Den enda gången du skulle vara någorlunda säker är om webbplatsen du besöker använder SSL (HTTPS i adressfältet), vilket innebär att allt som skickas från din dator till fjärrservern är krypterat. Även om ditt företag skulle fånga uppgifterna däremellan skulle de vara krypterade. Jag säger ganska säkert eftersom om det finns spionprogram installerat på din dator kan det fånga upp tangenttryckningar och därmed fånga upp vad du skriver på dessa säkra webbplatser.

För företagets e-post kontrollerar du samma sak, en lokal IP-adress för POP- och SMTP-postservrarna. För att kontrollera i Outlook går du till Verktyg, E-postkonton och klickar på Ändra eller Egenskaper och letar upp värdena för POP- och SMTP-server. Tyvärr är e-postservern i företagsmiljöer förmodligen lokal och därför övervakas du med största sannolikhet, även om det inte sker via en proxy.

Du bör alltid vara försiktig när du skriver e-post eller surfar på webbplatser när du är på kontoret. Att försöka bryta igenom säkerheten kan också ge dig problem om de får reda på att du tagit dig förbi deras system! IT-folk gillar inte det, det kan jag berätta av erfarenhet! Men om du vill säkra din surfning på webben och din e-postaktivitet är det bästa sättet att använda VPN, som Private Internet Access.

Detta kräver att du installerar programvara på datorn, vilket du kanske inte har möjlighet att göra i första hand. Men om du kan det kan du vara ganska säker på att ingen kan se vad du gör i din webbläsare så länge det inte finns någon lokal spionprogramvara installerad! Det finns inget som kan dölja dina aktiviteter från lokalt installerad spionprogramvara eftersom den kan registrera tangenttryckningar etc. Så gör ditt bästa för att följa mina instruktioner ovan och inaktivera övervakningsprogrammet. Om du har några frågor eller funderingar är du välkommen att kommentera. Ha det så trevligt!

Lämna ett svar

Din e-postadress kommer inte publiceras.