Jak wykryć monitorowanie komputera i poczty e-mail lub oprogramowanie szpiegowskie
Jako IT Pro rutynowo monitoruję komputery pracowników i e-maile. Jest to niezbędne w środowisku pracy dla celów administracyjnych, jak również dla bezpieczeństwa. Na przykład monitorowanie wiadomości e-mail umożliwia blokowanie załączników, które mogą zawierać wirusy lub oprogramowanie szpiegujące. Jedynym momentem, w którym muszę połączyć się z komputerem użytkownika i pracować bezpośrednio na komputerze, jest rozwiązanie problemu.
Jeśli jednak czujesz, że jesteś monitorowany, kiedy nie powinieneś być, istnieje kilka małych sztuczek, których możesz użyć do ustalenia, czy masz rację. Po pierwsze, monitorowanie czyjegoś komputera oznacza, że mogą oglądać wszystko, co robisz na komputerze w czasie rzeczywistym. Blokowanie stron z pornografią, usuwanie załączników lub blokowanie spamu, zanim trafi on do skrzynki odbiorczej, itp. Nie jest w rzeczywistości monitorowaniem, ale bardziej jak filtrowanie.
Jedynym dużym problemem, który chcę podkreślić przed przejściem do kolejnego etapu, jest to, że jeśli jesteś w środowisku korporacyjnym i uważasz, że jesteś monitorowany, powinieneś założyć, że mogą zobaczyć WSZYSTKO, co robisz na komputerze. Załóżmy również, że nie będziesz w stanie znaleźć oprogramowania, które wszystko nagrywa. W środowiskach korporacyjnych komputery są tak dostosowane i rekonfigurowane, że wykrycie czegokolwiek jest prawie niemożliwe, chyba że jesteś hakerem. Ten artykuł jest bardziej ukierunkowany na użytkowników domowych, którzy myślą, że przyjaciel lub członek rodziny próbuje je monitorować.
Monitorowanie komputerowe
Więc jeśli nadal uważasz, że ktoś cię szpieguje, oto co możesz zrobić! Najprostszym i najprostszym sposobem zalogowania się na komputerze jest użycie zdalnego pulpitu. Dobrą rzeczą jest to, że Windows nie obsługuje wielu jednoczesnych połączeń, gdy ktoś jest zalogowany do konsoli (jest to hack, ale nie martwiłbym się o to). Oznacza to, że jeśli jesteś zalogowany do komputera XP, 7 lub Windows 8 i ktoś ma się z nim połączyć za pomocą WBUDOWANY ZDALNY PULPIT funkcja systemu Windows, ekran zostanie zablokowany i powie ci, kto jest podłączony.
Dlaczego więc jest to przydatne? Jest to przydatne, ponieważ oznacza, że aby ktoś mógł połączyć się z TWOJĄ sesją bez zauważenia lub przejęcia ekranu, korzysta z oprogramowania innych firm. Jednak w 2014 roku nikt nie będzie tak oczywisty i znacznie trudniej jest wykryć oprogramowanie do ukrywania oprogramowania innych firm.
Jeśli szukamy oprogramowania innych firm, które zwykle określa się jako oprogramowanie do zdalnego sterowania lub oprogramowanie do wirtualnej sieci komputerowej (VNC), musimy zacząć od zera. Zwykle, gdy ktoś instaluje na komputerze ten typ oprogramowania, musi to zrobić, gdy go nie ma, i musi ponownie uruchomić komputer. Pierwszą rzeczą, która może cię odszukać, jest ponowne uruchomienie komputera i nie pamiętasz tego.
Po drugie, powinieneś sprawdzić swoje Menu Start - Wszystkie programy i aby sprawdzić, czy zainstalowano coś takiego jak VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC itp. Wiele razy ludzie są niechlujni i przekonani, że normalny użytkownik nie będzie wiedział, co to jest oprogramowanie i po prostu go zignoruje. Jeśli którykolwiek z tych programów jest zainstalowany, ktoś może połączyć się z komputerem bez wiedzy użytkownika, o ile program działa w tle jako usługa systemu Windows.
To prowadzi nas do trzeciego punktu. Zazwyczaj, jeśli zainstalowany jest jeden z wyżej wymienionych programów, na pasku zadań pojawi się ikona, ponieważ musi on być stale uruchomiony, aby działał.
Sprawdź wszystkie swoje ikony (nawet te ukryte) i zobacz, co działa. Jeśli znajdziesz coś, o czym nie słyszałeś, wykonaj szybkie wyszukiwanie Google, aby zobaczyć, co się pojawi. Monitorowanie oprogramowania pozwala ukryć ikonę paska zadań, więc jeśli nie widzisz tam niczego niezwykłego, nie oznacza to, że nie masz zainstalowanego oprogramowania do monitorowania.
Więc jeśli nic nie pojawia się w oczywistych miejscach, przejdźmy do bardziej skomplikowanych rzeczy.
Sprawdź porty zapory
Ponownie, ponieważ są to aplikacje innych firm, muszą łączyć się z Windows na różnych portach komunikacyjnych. Porty są po prostu wirtualnym połączeniem danych, dzięki któremu komputery dzielą się informacjami bezpośrednio. Jak zapewne wiesz, system Windows ma wbudowaną zaporę ogniową, która ze względów bezpieczeństwa blokuje wiele portów przychodzących. Jeśli nie korzystasz z witryny FTP, dlaczego twój port 23 powinien być otwarty, prawda?
Aby te aplikacje innych firm mogły się łączyć z komputerem, muszą przejść przez port, który musi być otwarty na komputerze. Możesz sprawdzić wszystkie otwarte porty, przechodząc do Początek, Panel sterowania, i zapora systemu Windows. Następnie kliknij Zezwalaj na program funkcji za pośrednictwem Zapory systemu Windows po lewej stronie.
Tutaj zobaczysz listę programów z polami wyboru obok nich. Te, które są zaznaczone, są „otwarte”, a niezaznaczone lub niepubliczne są „zamknięte”. Przejrzyj listę i sprawdź, czy istnieje program, którego nie znasz lub który pasuje do VNC, pilota zdalnego sterowania itp. Jeśli tak, możesz zablokować program, odznaczając to pole.!
Sprawdź połączenia wychodzące
Niestety jest to trochę bardziej skomplikowane. W niektórych przypadkach może być połączenie przychodzące, ale w wielu przypadkach oprogramowanie zainstalowane na komputerze będzie miało połączenie wychodzące z serwerem. W systemie Windows wszystkie połączenia wychodzące są dozwolone, co oznacza, że nic nie jest zablokowane. Jeśli całe oprogramowanie szpiegujące rejestruje dane i wysyła je na serwer, wówczas używa tylko połączenia wychodzącego i dlatego nie pojawi się na tej liście zapór.
Aby złapać taki program, musimy zobaczyć połączenia wychodzące z naszego komputera na serwery. Istnieje wiele sposobów, w jakie możemy to zrobić, i zamierzam tutaj porozmawiać o jednym lub dwóch. Tak jak powiedziałem wcześniej, staje się to teraz trochę skomplikowane, ponieważ mamy do czynienia z naprawdę ukrytym oprogramowaniem i nie znajdziesz go łatwo.
TCPView
Po pierwsze, pobierz program o nazwie TCPView od firmy Microsoft. Jest to bardzo mały plik i nawet nie trzeba go instalować, wystarczy go rozpakować i kliknąć dwukrotnie Tcpview. Główne okno będzie wyglądało tak i prawdopodobnie nie ma sensu.
Zasadniczo pokazuje wszystkie połączenia z komputera do innych komputerów. Po lewej stronie znajduje się nazwa procesu, czyli programy uruchomione, tj. Chrome, Dropbox itp. Jedyne inne kolumny, które musimy obejrzeć, to Adres zdalny i Stan. Śmiało i posortuj według kolumny Stan i spójrz na wszystkie z wymienionych procesów USTANOWIONY. Ustalone oznacza, że obecnie istnieje otwarte połączenie. Pamiętaj, że oprogramowanie szpiegujące nie zawsze może być połączone ze zdalnym serwerem, dlatego dobrym pomysłem jest pozostawienie tego programu otwartego i monitorowanie nowych procesów, które mogą pojawić się w ustalonym stanie.
To, co chcesz zrobić, to odfiltrować tę listę do procesów, których nazwy nie rozpoznajesz. Chrome i Dropbox są w porządku i nie powodują alarmów, ale co to jest openvpn.exe i rubyw.exe? W moim przypadku używam VPN do łączenia się z Internetem, więc te procesy są przeznaczone dla mojej usługi VPN. Możesz jednak po prostu Google tych usług i szybko dowiedzieć się sam. Oprogramowanie VPN nie jest oprogramowaniem szpiegującym, więc nie ma obaw. Podczas wyszukiwania procesu będziesz mógł natychmiast stwierdzić, czy jest to bezpieczne, po prostu patrząc na wyniki wyszukiwania.
Inną rzeczą, którą chcesz sprawdzić, są skrajnie prawe kolumny o nazwie Wysłane pakiety, Wysłane bajty itd. Sortuj według Wysłane bajty i możesz natychmiast zobaczyć, który proces wysyła najwięcej danych z komputera. Jeśli ktoś monitoruje twój komputer, musi przesłać dane gdzieś, więc jeśli proces nie jest ukryty bardzo dobrze, powinieneś go zobaczyć tutaj.
Proces Explorer
Innym programem, którego można użyć do znalezienia wszystkich procesów uruchomionych na komputerze, jest Process Explorer firmy Microsoft. Po uruchomieniu zobaczysz wiele informacji o każdym procesie, a nawet o procesach potomnych działających w procesach nadrzędnych.
Process Explorer jest całkiem niesamowity, ponieważ łączy się z VirusTotal i może natychmiast powiedzieć, czy proces został wykryty jako złośliwe oprogramowanie, czy nie. Aby to zrobić, kliknij Opcje, VirusTotal.com a następnie kliknij Sprawdź VirusTotal.com. Spowoduje to przejście do ich strony internetowej, aby przeczytać TOS, po prostu zamknij go i kliknij tak w oknie dialogowym programu.
Gdy to zrobisz, zobaczysz nową kolumnę, która pokazuje wskaźnik wykrycia ostatniego skanowania dla wielu procesów. Nie będzie w stanie uzyskać wartości dla wszystkich procesów, ale jest lepszy niż nic. Dla tych, którzy nie mają punktów, idź dalej i ręcznie wyszukaj te procesy w Google. Dla tych, którzy mają wyniki, chcesz powiedzieć 0 / XX. Jeśli nie jest 0, idź dalej i przeprowadź Google proces lub kliknij numery, które mają zostać przeniesione na stronę VirusTotal dla tego procesu.
Mam również tendencję do sortowania listy według nazwy firmy i każdego procesu, który nie ma firmy na liście, I Google do sprawdzenia. Jednak nawet w przypadku tych programów nadal nie możesz zobaczyć wszystkich procesów.
Rootkity
Istnieją również klasowe programy stealth zwane rootkitami, których dwa powyższe programy nawet nie będą w stanie zobaczyć. W takim przypadku, jeśli nie znajdziesz niczego podejrzanego podczas sprawdzania wszystkich powyższych procesów, musisz wypróbować jeszcze bardziej niezawodne narzędzia. Kolejnym dobrym narzędziem firmy Microsoft jest Rootkit Revealer, jednak jest on bardzo stary.
Innymi dobrymi narzędziami do zwalczania rootkitów są Malwarebytes Anti-Rootkit Beta, które bardzo polecam, ponieważ ich narzędzie anty-malware zostało sklasyfikowane na pierwszym miejscu w 2014 roku. Innym popularnym jest GMER.
Proponuję zainstalować te narzędzia i uruchomić je. Jeśli coś znajdą, usuń lub usuń to, co sugerują. Ponadto należy zainstalować oprogramowanie antywirusowe i antywirusowe. Wiele z tych programów ukrywania, które ludzie używają, jest uważanych za złośliwe / wirusy, więc zostaną usunięte, jeśli uruchomisz odpowiednie oprogramowanie. Jeśli coś zostanie wykryte, upewnij się, że go Google, aby dowiedzieć się, czy było to oprogramowanie monitorujące, czy nie.
Monitorowanie poczty e-mail i witryn internetowych
Sprawdzenie, czy Twój adres e-mail jest monitorowany, jest również skomplikowane, ale będziemy trzymać się prostych elementów tego artykułu. Zawsze, gdy wysyłasz wiadomość e-mail z programu Outlook lub innego klienta poczty e-mail na komputerze, zawsze musi on połączyć się z serwerem poczty e-mail. Teraz może się połączyć bezpośrednio lub może połączyć się za pomocą serwera proxy, który odbiera żądanie, zmienia je lub sprawdza i przekazuje dalej na inny serwer.
Jeśli przechodzisz przez serwer proxy do poczty e-mail lub przeglądania stron internetowych, witryny, do których masz dostęp lub wiadomości e-mail, które piszesz, mogą być zapisywane i przeglądane później. Możesz sprawdzić, czy są oba i jak to zrobić. W przypadku IE przejdź do Przybory, następnie opcje internetowe. Kliknij na Znajomości karta i wybierz Ustawienia sieci LAN.
Jeśli pole Serwer proxy jest zaznaczone i ma lokalny adres IP z numerem portu, oznacza to, że najpierw przejdziesz przez serwer lokalny, zanim dotrze on do serwera WWW. Oznacza to, że każda odwiedzana strona internetowa przechodzi najpierw przez inny serwer z uruchomionym oprogramowaniem, które albo blokuje adres, albo po prostu go loguje. Jedynym bezpiecznym momentem jest to, że odwiedzana witryna korzysta z SSL (HTTPS w pasku adresu), co oznacza, że wszystko wysłane z komputera do zdalnego serwera jest zaszyfrowane. Nawet jeśli Twoja firma przechwyciłaby dane między sobą, byłaby zaszyfrowana. Mówię nieco bezpiecznie, ponieważ jeśli na komputerze jest zainstalowane oprogramowanie szpiegujące, może ono przechwytywać naciśnięcia klawiszy, a zatem przechwytywać to, co wpiszesz w tych bezpiecznych witrynach.
W przypadku firmowej poczty e-mail sprawdzasz to samo, lokalny adres IP serwerów poczty POP i SMTP. Aby sprawdzić w programie Outlook, przejdź do Przybory, Konta email, i kliknij Zmień lub Właściwości i znajdź wartości dla serwera POP i SMTP. Niestety w środowiskach korporacyjnych serwer e-mail jest prawdopodobnie lokalny i dlatego zdecydowanie jesteś monitorowany, nawet jeśli nie jest to przez proxy.
Zawsze należy zachować ostrożność podczas pisania wiadomości e-mail lub przeglądania stron internetowych w biurze. Próba przełamania zabezpieczeń może również spowodować kłopoty, jeśli okaże się, że omijasz ich systemy! Ludzie tego nie lubią, mogę ci powiedzieć z doświadczenia! Jednak chcesz zabezpieczyć przeglądanie stron internetowych i aktywność poczty e-mail, najlepszym rozwiązaniem jest korzystanie z VPN, takiego jak prywatny dostęp do Internetu.
Wymaga to zainstalowania oprogramowania na komputerze, co może nie być możliwe w pierwszej kolejności. Jeśli jednak możesz, możesz być pewien, że nikt nie jest w stanie wyświetlić tego, co robisz w przeglądarce, o ile nie jest zainstalowane lokalne oprogramowanie szpiegujące! Nic nie jest w stanie ukryć twoich działań przed lokalnie zainstalowanym oprogramowaniem szpiegowskim, ponieważ może ono rejestrować naciśnięcia klawiszy itp., Więc staraj się postępować zgodnie z powyższymi instrukcjami i wyłączyć program monitorowania. Jeśli masz jakieś pytania lub wątpliwości, skomentuj. Cieszyć się!