Ako rozpoznať počítačové a e-mailové monitorovanie alebo špionážne softvér
Ako IT Pro, bežne monitorujem zamestnancov počítače a e-maily. Je to dôležité v pracovnom prostredí pre administratívne účely, ako aj pre bezpečnosť. Monitorovanie e-mailu napríklad umožňuje blokovať prílohy, ktoré by mohli obsahovať vírus alebo spyware. Jediný čas, kedy sa musím pripojiť k počítaču používateľa a pracovať priamo na svojom počítači, je vyriešiť problém.
Ak však máte pocit, že ste sledovaní, keby ste nemali byť, existuje niekoľko malých trikov, ktoré môžete použiť na zistenie, či máte pravdu. Po prvé, monitorovanie počítača znamená, že môžu sledovať všetko, čo robíte v počítači v reálnom čase. Blokovanie porno stránok, odstránenie príloh alebo zablokovanie nevyžiadanej pošty skôr, ako sa dostane do vašej doručenej pošty atď., Nie je naozaj monitorovanie, ale skôr ako filtrovanie.
Jeden veľký problém, ktorý chcem zdôrazniť pred tým, ako sa presuniete ďalej, je, že ak ste v podnikovom prostredí a myslíte si, že ste sledovaní, mali by ste predpokladať, že vidia VŠETKO, čo robíte v počítači. Predpokladajme tiež, že nebudete môcť skutočne nájsť softvér, ktorý zaznamenáva všetko. V podnikových prostrediach sú počítače tak prispôsobené a prekonfigurované, že je takmer nemožné zistiť nič, iba ak ste hacker. Tento článok sa zameriava viac na domácich používateľov, ktorí si myslí, že sa ich kamarát alebo člen rodiny snaží sledovať.
Monitorovanie počítača
Takže teraz, ak si stále myslíte, že niekto špehuje na vás, tu je to, čo môžete urobiť! Najjednoduchší a najjednoduchší spôsob, ako sa niekto môže prihlásiť do vášho počítača, je pomocou vzdialenej pracovnej plochy. Dobrá vec je, že systém Windows nepodporuje viac súbežných pripojení, kým niekto je prihlásený do konzoly (je to hack na to, ale nebudem sa báť). Znamená to, že ak ste prihlásený (-á) do počítača XP, 7 alebo Windows 8 a k nemu sa k nemu pripojil niekto VSTAVENÝ DIAĽKOVÝ DESKTOP funkcia Windows, vaša obrazovka sa zamkne a povie vám, kto je pripojený.
Tak prečo je to užitočné? Je to užitočné, pretože to znamená, že aby sa niekto mohol pripojiť k vašej relácii bez toho, aby ste si všimli alebo obrazovku prevzali, používali softvér tretej strany. V roku 2014 však nikto nebude taký očividný a je oveľa ťažšie odhaliť softvér na ochranu softvéru tretej strany.
Ak hľadáme softvér tretej strany, ktorý sa zvyčajne nazýva softvér na diaľkové ovládanie alebo softvér virtuálnej siete (VNC), musíme začať od začiatku. Zvyčajne, keď niekto nainštaluje tento typ softvéru do vášho počítača, musí to robiť, kým tam nie ste a musia reštartovať počítač. Takže prvou vecou, ktorá vás mohla zistiť, je to, že váš počítač bol reštartovaný a nepamätáte sa, že to robíte.
Po druhé, mali by ste skontrolovať svoje Ponuka Štart - Všetky programy a či je nainštalované niečo ako VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC atď. Mnohokrát sú ľudia nedbanliví a zistili, že normálny používateľ nebude vedieť, čo je softvér a jednoducho to ignoruje. Ak je niektorý z týchto programov nainštalovaný, niekto sa môže pripojiť k vášmu počítaču bez toho, aby ste to vedeli, pokiaľ program beží na pozadí ako služba Windows.
To nás privádza k tretiemu bodu. Zvyčajne, ak je nainštalovaný jeden z vyššie uvedených programov, na paneli úloh bude ikona, pretože musí byť neustále spustená do práce.
Skontrolujte všetky vaše ikony (aj tie skryté) a uvidíte, čo je spustené. Ak nájdete niečo, o čom ste nepočuli, vykonajte rýchle vyhľadávanie Google a zistite, čo sa objaví. Je veľmi jednoduché monitorovať softvér, aby sa skryla ikona na paneli úloh, takže ak nevidíte nič neobvyklé, neznamená to, že nemáte nainštalovaný monitorovací softvér.
Ak sa na viditeľných miestach nič nezobrazí, prejdime k zložitejšiemu.
Skontrolujte porty brány firewall
Opäť, pretože sú to aplikácie tretích strán, musia sa pripojiť k systému Windows na rôznych komunikačných portoch. Porty sú jednoducho virtuálne dátové pripojenia, pomocou ktorého počítače priamo zdieľajú informácie. Ako možno už viete, Windows je dodávaný so zabudovaným firewallom, ktorý z bezpečnostných dôvodov blokuje mnoho prichádzajúcich portov. Ak nepoužívate web FTP, prečo by mal byť váš port 23 otvorený, správne?
Takže aby sa tieto aplikácie tretích strán pripojili k počítaču, musia prejsť portom, ktorý musí byť otvorený vo vašom počítači. Všetky otvorené porty môžete skontrolovať tak, že prejdete na štart, Ovládací panel, a Brána firewall systému Windows. Potom kliknite na Povoliť program funkcie cez bránu firewall systému Windows na ľavej strane.
Tu uvidíte zoznam programov so zaškrtávacími políčkami vedľa nich. Tie, ktoré sú kontrolované, sú "otvorené" a nekontrolované alebo neuvedené sú "zatvorené". Prejdite cez zoznam a skontrolujte, či nie je program, ktorý nepoznáte, alebo ktorý sa zhoduje s VNC, diaľkovým ovládačom atď. Ak je to tak, môžete program zablokovať tak, že ho zrušíte začiarknutím políčka!
Skontrolujte odchádzajúce pripojenia
Bohužiaľ, je to trochu zložitejšie ako toto. V niektorých prípadoch môže dôjsť k prichádzajúcemu pripojeniu, ale v mnohých prípadoch bude mať softvér nainštalovaný v počítači iba odchádzajúce pripojenie k serveru. Vo Windows sú povolené všetky odchádzajúce pripojenia, čo znamená, že nič nie je zablokované. Ak všetok špehovací softvér robí, je záznam údajov a ich odoslanie na server, potom používa iba odchádzajúce pripojenie, a preto sa nezobrazí v tomto zozname firewall.
Aby sme mohli zachytiť takýto program, musíme vidieť odchádzajúce spojenia z nášho počítača na servery. Existuje celá rada spôsobov, ako to môžeme urobiť, a budem hovoriť o jednom alebo dvoch. Ako som už povedal, je teraz trochu komplikované, pretože máme na mysli skutočne tajný softvér a nebudete to ľahko nájsť.
TCPView
Najskôr si stiahnite program s názvom TCPView od spoločnosti Microsoft. Je to veľmi malý súbor a nemusíte ho dokonca inštalovať, stačí ho rozbaliť a dvakrát kliknúť na TCPView. Hlavné okno bude vyzerať takto a pravdepodobne nebude mať zmysel.
V podstate vám zobrazuje všetky pripojenia z počítača k iným počítačom. Na ľavej strane je názov procesu, ktorý bude spúšťať programy, t. J. Chrome, Dropbox atď. Jediné ďalšie stĺpce, na ktoré sa musíme pozrieť, sú Vzdialená adresa a stáť. Pokračujte a triedte podľa štátneho stĺpca a pozrite sa na všetky procesy uvedené v časti ESTABLISHED. Založená znamená, že v súčasnosti existuje otvorené spojenie. Upozorňujeme, že špionážny softvér nemusí byť vždy pripojený k vzdialenému serveru, takže je dobré nechať tento program otvorený a monitorovať akékoľvek nové procesy, ktoré sa môžu objaviť v zriadenom stave.
Čo chcete urobiť, je odfiltrovať tento zoznam na procesy, ktorých meno nepoznáte. Chrome a Dropbox sú v poriadku a nie sú príčinou poplachu, ale čo je openvpn.exe a rubyw.exe? V mojom prípade používam sieť VPN na pripojenie k internetu, takže tieto procesy sú pre moju službu VPN. Môžete však tieto služby poskytnúť spoločnosti Google a rýchlo to zistiť sami. Softvér VPN nie je špionážny softvér, takže sa nemusíte obávať. Keď hľadáte proces, okamžite budete môcť povedať, či je to bezpečné, len sa pozeráte na výsledky vyhľadávania.
Ďalšou vecou, ktorú chcete skontrolovať, sú tie pravé stĺpce nazvané Odoslané pakety, Odoslané bajty atď. Zoradiť podľa Odoslané bajty a môžete okamžite zistiť, ktorý proces odosiela najviac údajov z vášho počítača. Ak niekto monitoruje váš počítač, musí posielať údaje somwhere, takže pokiaľ proces nie je skrytý veľmi dobre, mali by ste ho vidieť tu.
Process Explorer
Ďalším programom, ktorý môžete použiť na vyhľadanie všetkých procesov bežiacich vo vašom počítači, je Process Explorer od spoločnosti Microsoft. Keď ho spustíte, uvidíte veľa informácií o každom jednotlivom procese a dokonca aj dieťa procesov bežiacich vo vnútri rodičovských procesov.
Process Explorer je docela úžasné, pretože sa pripája k VirusTotal a môže vám okamžite povedať, či bol proces detekovaný ako malware alebo nie. Ak to chcete urobiť, kliknite na možnosti, VirusTotal.com a potom kliknite na tlačidlo Skontrolujte VirusTotal.com. Prinesie vás na svoje webové stránky, aby ste si prečítali TOS, len to zatvorte a kliknite Áno o dialógu v programe.
Akonáhle to urobíte, uvidíte nový stĺpec, ktorý zobrazuje poslednú mieru detekcie skenovania pre mnoho procesov. Nebude možné získať hodnotu pre všetky procesy, ale je to lepšie ako nič. Pre tých, ktorí nemajú skóre, pokračujte a manuálne vyhľadajte tieto procesy v službe Google. Pre tých, ktorí majú skóre, chcete do značnej miery povedať 0 / XX. Ak to nie je 0, pokračujte a proces Google alebo kliknite na čísla, ktoré sa majú prijať na webovú lokalitu VirusTotal pre tento proces.
Tiež som sa snažil zoradiť zoznam podľa názvu firmy a akýkoľvek proces, ktorý nemá spoločnosť uvedená, som Google skontrolovať. Aj napriek týmto programom však stále nemusíte vidieť všetky procesy.
rootkity
Existujú aj triedy stealth programy nazývané rootkity, ktoré oba vyššie uvedené programy ani nebudú schopné vidieť. V tomto prípade, ak ste pri kontrole všetkých vyššie uvedených procesov nenašli žiadne podozrenie, budete musieť vyskúšať ešte robustnejšie nástroje. Ďalším dobrým nástrojom od spoločnosti Microsoft je Rootkit Revealer, je však veľmi starý.
Ďalšími dobrými nástrojmi na ochranu pred rootkitmi sú Malwarebytes Anti-Rootkit Beta, ktoré by som rád odporučil, pretože ich anti-malware bol v roku 2014 zaradený na číslo 1. Ďalším populárnym nástrojom je GMER.
Navrhujem, aby ste tieto nástroje nainštalovali a spustili ich. Ak niečo nájdu, odstráňte alebo odstráňte, čo navrhujú. Okrem toho by ste mali nainštalovať antivírusový a antivírusový softvér. Mnoho z týchto stealth programov, ktoré ľudia používajú, sú považované za škodlivý softvér / vírusy, takže sa odstránia, ak spustíte príslušný softvér. Ak sa niečo zistí, uistite sa, že to spoločnosť Google, aby ste zistili, či monitoruje softvér, alebo nie.
Monitorovanie e-mailov a webových stránok
Ak chcete skontrolovať, či sa váš e-mail monitoruje, je tiež zložité, ale budeme držať jednoduché veci pre tento článok. Kedykoľvek pošlete e-mail z Outlooku alebo niektorého e-mailového klienta do počítača, musí sa vždy pripojiť k e-mailovému serveru. Teraz sa môže buď priamo pripojiť alebo sa môže pripojiť cez to, čo sa nazýva proxy server, ktorý preberá požiadavku, zmení alebo kontroluje a presmeruje ho na iný server.
Ak prechádzate cez proxy server pre e-maily alebo prehliadanie webových stránok, môžu sa neskôr uložiť a zobraziť webové stránky, na ktoré pristupujete, alebo e-maily, ktoré píšeme. Môžete skontrolovať oboje a tu je to ako. Pre IE prejdite na náradie, potom možnosti internetu. Klikni na pripojenie kartu a vyberte LAN Settings.
Ak je začiarknuté políčko Server proxy a má miestnu IP adresu s číslom portu, znamená to, že prechádzate pred miestnym serverom skôr, ako sa dostane na webový server. To znamená, že akékoľvek webové stránky, ktoré ste navštívili, najprv prejdú iným serverom so softvérom, ktorý buď blokuje adresu, alebo ju jednoducho prihlási. Jediný čas, kedy by ste boli trochu bezpeční, je, ak stránky, ktoré navštevujete, používajú protokol SSL (HTTPS v paneli s adresou), čo znamená, že všetko odoslané z počítača na vzdialený server je šifrované. Aj keby vaša spoločnosť zachytila údaje medzi nimi, bola by šifrovaná. Hovorím trochu bezpečne, pretože ak je v počítači nainštalovaný špionážny softvér, dokáže zachytiť stlačenia klávesov, a preto zachytiť to, čo zadáte na tieto zabezpečené stránky.
Pri firemných e-mailoch kontrolujete rovnakú vec, miestnu IP adresu pre poštové servery POP a SMTP. Ak chcete skontrolovať aplikáciu Outlook, prejdite na náradie, E-mailové účty, a kliknite na položku Zmeniť alebo Vlastnosti a nájdite hodnoty pre server POP a SMTP. Bohužiaľ, v podnikových prostrediach je e-mailový server pravdepodobne lokálny, a preto sa rozhodne sledujete, aj keď to nie je cez proxy.
Vždy by ste mali byť opatrní pri písaní e-mailov alebo prehliadaní webových stránok, keď ste v kancelárii. Pokúšať sa prelomiť bezpečnosť by vás mohli dostať do problémov, ak zistia, že ste vynechali svoje systémy! IT ľudia to nemajú radi, môžem vám to povedať zo skúseností! Chceli by ste si však zabezpečiť prehliadanie webových stránok a e-mailovú aktivitu. Najlepším riešením je použiť VPN ako Private Internet Access.
To si vyžaduje inštaláciu softvéru do počítača, ktorý možno nebudete môcť robiť na prvom mieste. Ak však môžete, môžete si byť istí, že nikto nie je schopný zobraziť to, čo robíte vo svojom prehliadači, pokiaľ nie je nainštalovaný lokálny špionážny softvér! Neexistuje nič, čo by mohlo skrývať vaše aktivity z lokálne inštalovaného softvéru na sledovanie, pretože môže zaznamenať stlačenia klávesov atď., Preto sa snažte čo najlepšie dodržiavať moje pokyny vyššie a vypnite monitorovací program. Ak máte akékoľvek otázky alebo obavy, neváhajte komentovať. Užite si to!