Come rilevare il computer e il monitoraggio e-mail o software di spionaggio
Come professionista IT, monitorizzo regolarmente i computer degli impiegati e le e-mail. È essenziale in un ambiente di lavoro per scopi amministrativi e di sicurezza. Monitoraggio della posta elettronica, ad esempio, consente di bloccare gli allegati che potrebbero contenere virus o spyware. L'unica volta che devo collegarmi a un computer degli utenti e lavorare direttamente sul loro computer è di risolvere un problema.
Tuttavia, se ritieni di essere monitorato quando non dovresti esserlo, ci sono alcuni piccoli trucchi che puoi usare per determinare se hai ragione. Prima di tutto, per monitorare qualcuno, un computer significa che possono guardare tutto ciò che stai facendo sul tuo computer in tempo reale. Bloccando siti porno, rimuovendo allegati o bloccando lo spam prima che arrivi alla tua casella di posta, ecc. Non si sta davvero monitorando, ma più come filtrare.
L'unico GRANDE problema che voglio sottolineare prima di andare avanti è che se sei in un ambiente aziendale e pensi di essere monitorato, dovresti pensare che possano vedere TUTTO quello che fai sul computer. Inoltre, supponi che non sarai in grado di trovare effettivamente il software che sta registrando tutto. Negli ambienti aziendali, i computer sono così personalizzati e riconfigurati che è quasi impossibile rilevare qualsiasi cosa, a meno che tu non sia un hacker. Questo articolo è più orientato verso gli utenti domestici che pensano che un amico o un familiare stia cercando di monitorarli.
Monitoraggio del computer
Quindi, se pensi ancora che qualcuno ti stia spiando, ecco cosa puoi fare! Il modo più semplice e semplice per accedere al tuo computer è utilizzando il desktop remoto. La cosa buona è che Windows non supporta più connessioni simultanee mentre qualcuno è collegato alla console (c'è un trucco per questo, ma non mi preoccuperei). Ciò significa che se sei connesso al tuo computer XP, 7 o Windows 8 e qualcuno deve connettersi ad esso usando il DESKTOP REMOTO INTEGRATO funzionalità di Windows, il tuo schermo si bloccherebbe e direbbe chi è connesso.
Allora, perché è utile? È utile perché significa che per consentire a qualcuno di connettersi alla TUA sessione senza che tu te ne accorga o che lo schermo venga preso in consegna, hanno utilizzato software di terze parti. Tuttavia, nel 2014, nessuno sarà così ovvio ed è molto più difficile individuare software stealth di software di terze parti.
Se stiamo cercando software di terze parti, che di solito viene definito software di controllo remoto o software di rete virtuale (VNC), dobbiamo iniziare da zero. Di solito, quando qualcuno installa questo tipo di software sul computer, deve farlo mentre non ci sei e deve riavviare il computer. Quindi la prima cosa che potrebbe farti capire è se il tuo computer è stato riavviato e non ricordi di averlo fatto.
In secondo luogo, dovresti controllare il tuo Menu Start - Tutti i programmi e per vedere se sono installati o meno qualcosa come VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, ecc. Molte volte le persone sono sciatte e capiscono che un utente normale non saprà che cos'è un software e semplicemente lo ignorerà. Se uno di questi programmi è installato, qualcuno può connettersi al tuo computer senza che tu lo sappia finché il programma è in esecuzione in background come servizio Windows.
Questo ci porta al terzo punto. Di solito, se uno dei programmi sopra elencati è installato, ci sarà un'icona nella barra delle applicazioni perché deve essere costantemente in esecuzione per funzionare.
Controlla tutte le tue icone (anche quelle nascoste) e guarda cosa sta succedendo. Se trovi qualcosa di cui non hai sentito parlare, fai una rapida ricerca su Google per vedere cosa appare. È abbastanza facile per il software di monitoraggio nascondere l'icona della barra delle applicazioni, quindi se non vedi nulla di insolito lì, non significa che non hai installato il software di monitoraggio.
Quindi se non compare nulla nei posti più ovvi, passiamo alle cose più complicate.
Controlla le porte del firewall
Anche in questo caso, poiché si tratta di app di terze parti, devono connettersi a Windows su diverse porte di comunicazione. Le porte sono semplicemente una connessione dati virtuale tramite la quale i computer condividono direttamente le informazioni. Come forse già saprai, Windows è dotato di un firewall integrato che blocca molte delle porte in ingresso per motivi di sicurezza. Se non stai utilizzando un sito FTP, perché la tua porta 23 dovrebbe essere aperta, giusto?
Quindi, per consentire a queste app di terze parti di connettersi al computer, è necessario che provengano da una porta, che deve essere aperta sul computer. Puoi controllare tutte le porte aperte andando a Inizio, Pannello di controllo, e firewall di Windows. Quindi fare clic su Consentire un programma di funzionalità tramite Windows Firewall sul lato sinistro.
Qui vedrai una lista di programmi con caselle di controllo accanto a loro. Quelli che sono spuntati sono "aperti" e quelli non marcati o non elencati sono "chiusi". Passa attraverso la lista e vedi se c'è un programma che non ti è familiare o che corrisponde a VNC, controllo remoto, ecc. In tal caso, puoi bloccare il programma deselezionando la casella per esso!
Controlla connessioni in uscita
Sfortunatamente, è un po 'più complicato di così. In alcuni casi, potrebbe esserci una connessione in entrata, ma in molti casi il software installato sul computer avrà solo una connessione in uscita verso un server. In Windows, sono consentite tutte le connessioni in uscita, il che significa che nulla è bloccato. Se tutto il software di spionaggio fa registrare i dati e inviarli a un server, utilizza solo una connessione in uscita e quindi non verrà visualizzato nell'elenco di firewall.
Per prendere un programma del genere, dobbiamo vedere le connessioni in uscita dal nostro computer ai server. Ci sono un sacco di modi in cui possiamo farlo e ne parlerò uno o due qui. Come ho detto prima, diventa un po 'complicato ora perché abbiamo a che fare con software davvero invisibili e non lo troverai facilmente.
TCPView
Innanzitutto, scarica un programma chiamato TCPView di Microsoft. È un file molto piccolo e non è nemmeno necessario installarlo, basta decomprimerlo e fare doppio clic su TCPView. La finestra principale sarà simile a questa e probabilmente non ha senso.
Fondamentalmente, ti mostra tutte le connessioni dal tuo computer ad altri computer. Sul lato sinistro è il nome del processo, che saranno i programmi in esecuzione, ad esempio Chrome, Dropbox, ecc. Le uniche altre colonne che dobbiamo esaminare sono Indirizzo remoto e Stato. Vai avanti e ordina per colonna di stato e guarda tutti i processi elencati sotto STABILITO. Stabilito significa che c'è attualmente una connessione aperta. Si noti che il software di spionaggio potrebbe non essere sempre connesso al server remoto, quindi è una buona idea lasciare questo programma aperto e monitorare eventuali nuovi processi che potrebbero apparire sotto lo stato stabilito.
Quello che vuoi fare è filtrare quella lista ai processi il cui nome non riconosci. Chrome e Dropbox vanno bene e non c'è motivo di allarme, ma cosa sono openvpn.exe e rubyw.exe? Bene, nel mio caso, utilizzo una VPN per connettermi a Internet in modo tale che tali processi siano per il mio servizio VPN. Tuttavia, puoi solo Google questi servizi e scoprirlo rapidamente. Il software VPN non sta spiando software, quindi non preoccuparti. Quando cerchi un processo, sarai immediatamente in grado di dire se è sicuro solo guardando i risultati della ricerca.
Un'altra cosa che vuoi controllare sono le colonne all'estrema destra denominate Pacchetti inviati, Byte inviati, ecc. Ordina per Byte inviati e puoi vedere immediatamente quale processo sta inviando la maggior parte dei dati dal tuo computer. Se qualcuno sta monitorando il tuo computer, devono inviare i dati ovunque, quindi a meno che il processo non sia nascosto molto bene, dovresti vederlo qui.
Process Explorer
Un altro programma che puoi utilizzare per trovare tutti i processi in esecuzione sul tuo computer è Process Explorer di Microsoft. Quando lo esegui, visualizzerai un sacco di informazioni su ogni singolo processo e persino sui processi figlio in esecuzione all'interno dei processi parent.
Process Explorer è davvero fantastico perché si collega a VirusTotal e può dirti immediatamente se un processo è stato rilevato come malware o meno. Per farlo, clicca su Opzioni, VirusTotal.com e quindi fare clic su Controlla VirusTotal.com. Ti porterà al loro sito web per leggere il TOS, basta chiuderlo e fare clic sì sulla finestra di dialogo nel programma.
Una volta fatto, vedrai una nuova colonna che mostra l'ultima velocità di rilevamento della scansione per molti processi. Non sarà in grado di ottenere il valore per tutti i processi, ma è meglio di niente. Per quelli che non hanno un punteggio, vai avanti e cerca manualmente quei processi in Google. Per quelli con punteggi, lo vuoi quasi dire 0 / XX. Se non è 0, andare avanti e Google il processo o fare clic sui numeri da portare al sito Web VirusTotal per quel processo.
Tendo anche a ordinare la lista per nome della società e qualsiasi processo che non ha una società elencata, io Google per controllare. Tuttavia, anche con questi programmi è possibile che non vengano visualizzati tutti i processi.
rootkit
Esistono anche programmi di stealth di classe chiamati rootkit, che i due programmi sopra non saranno nemmeno in grado di vedere. In questo caso, se non hai trovato nulla di sospetto durante il controllo di tutti i processi precedenti, dovrai provare anche strumenti più robusti. Un altro ottimo strumento di Microsoft è Rootkit Revealer, tuttavia è molto vecchio.
Altri buoni strumenti anti-rootkit sono Malwarebytes Anti-Rootkit Beta, che consiglio vivamente poiché il loro strumento anti-malware è stato classificato al primo posto nel 2014. Un altro popolare è GMER.
Ti suggerisco di installare questi strumenti ed eseguirli. Se trovano qualcosa, rimuovere o eliminare qualsiasi cosa suggeriscono. Inoltre, è necessario installare software anti-malware e anti-virus. Molti di questi programmi invisibili che le persone usano sono considerati malware / virus, quindi verranno rimossi se si esegue il software appropriato. Se viene rilevato qualcosa, assicurati di Google in modo da poter scoprire se si trattava di software di monitoraggio o meno.
Email e monitoraggio del sito Web
Per verificare se la tua e-mail viene monitorata è anche complicata, ma continueremo con le cose facili per questo articolo. Ogni volta che si invia un messaggio di posta elettronica da Outlook o un client di posta elettronica sul computer, deve sempre connettersi a un server di posta elettronica. Ora può connettersi direttamente o connettersi tramite un server proxy, che accetta una richiesta, la altera o la controlla e la inoltra a un altro server.
Se stai attraversando un server proxy per la posta elettronica o la navigazione web, i siti web a cui accedi o le email che scrivi possono essere salvati e visualizzati in seguito. Puoi controllare entrambi e ecco come. Per IE, vai a Utensili, poi Opzioni Internet. Clicca sul Connessioni scheda e scegliere Impostazioni LAN.
Se la casella Server proxy è selezionata e ha un indirizzo IP locale con un numero di porta, significa che stai passando per un server locale prima di raggiungere il server web. Ciò significa che qualsiasi sito web visitato prima passa attraverso un altro server che esegue una sorta di software che blocca l'indirizzo o semplicemente lo registra. L'unica volta in cui sei al sicuro è se il sito che stai visitando utilizza SSL (HTTPS nella barra degli indirizzi), il che significa che tutto ciò che viene inviato dal tuo computer al server remoto è crittografato. Anche se la tua azienda dovesse acquisire i dati nel mezzo, sarebbe crittografata. Dico un po 'di sicurezza perché se sul tuo computer è installato un software di spionaggio, può acquisire sequenze di tasti e quindi catturare qualsiasi cosa digiti in quei siti sicuri.
Per la tua e-mail aziendale, stai controllando la stessa cosa, un indirizzo IP locale per i server di posta POP e SMTP. Per controllare in Outlook, vai a Utensili, Account email, e fare clic su Cambia o Proprietà e trovare i valori per il server POP e SMTP. Sfortunatamente, negli ambienti aziendali, il server di posta elettronica è probabilmente locale e quindi si è sicuramente monitorati, anche se non è attraverso un proxy.
Dovresti sempre stare attento a scrivere e-mail o navigare in siti web mentre sei in ufficio. Anche cercare di sfondare la sicurezza potrebbe metterti nei guai se scoprono che hai bypassato i loro sistemi! Alle persone IT non piace, posso dirti per esperienza! Tuttavia, si desidera proteggere la navigazione Web e l'attività di posta elettronica, la soluzione migliore è utilizzare VPN come accesso Internet privato.
Ciò richiede l'installazione di software sul computer, che potresti non essere in grado di fare in primo luogo. Tuttavia, se puoi, puoi essere abbastanza sicuro che nessuno è in grado di visualizzare ciò che stai facendo nel tuo browser purché non sia installato alcun software di spionaggio locale! Non c'è nulla che possa nascondere le tue attività dal software di spionaggio installato localmente perché può registrare sequenze di tasti, ecc. Quindi fai del tuo meglio per seguire le mie istruzioni sopra e disabilitare il programma di monitoraggio. Se avete domande o dubbi, sentitevi liberi di commentare. Godere!