Jako IT Pro rutynowo monitoruję komputery pracowników i wiadomości e-mail. Jest niezbędny w środowisku pracy do celów administracyjnych, jak i bezpieczeństwa. Monitorowanie poczty e-mail pozwala na przykład zablokować załączniki, które mogą zawierać wirusy lub oprogramowanie szpiegujące. Jedyny raz, kiedy muszę połączyć się z komputerem użytkownika i pracować bezpośrednio na jego komputerze, to naprawić problem.
Jeśli jednak uważasz, że jesteś monitorowany, kiedy nie powinieneś być, istnieje kilka drobnych sztuczek, których możesz użyć do ustalenia, czy masz rację. Po pierwsze, aby monitorować czyjeś komputery, oznacza to, że mogą oglądać wszystko, co robisz na komputerze w czasie rzeczywistym. Blokowanie witryn pornograficznych, usuwanie załączników lub blokowanie spamu zanim dotrze do twojej skrzynki odbiorczej itp., Tak naprawdę nie monitoruje, ale bardziej przypomina filtrowanie.
Jedynym problemem, który chcę podkreślić, zanim przejdziemy, jest to, że jeśli jesteś w środowisku korporacyjnym i uważasz, że jesteś monitorowany, powinieneś założyć, że widzą WSZYSTKO, co robisz na komputerze. Załóżmy również, że nie będziesz w stanie znaleźć oprogramowania, które rejestruje wszystko. W środowiskach korporacyjnych komputery są tak dostosowane i skonfigurowane, że prawie niemożliwe jest wykrycie czegokolwiek, chyba że jesteś hakerem. Ten artykuł jest bardziej ukierunkowany na użytkowników domowych, którzy uważają, że przyjaciel lub członek rodziny próbuje je monitorować.
Więc jeśli nadal uważasz, że ktoś cię szpieguje, oto, co możesz zrobić! Najłatwiejszym i najprostszym sposobem logowania się do komputera jest użycie zdalnego pulpitu. Dobrą rzeczą jest to, że Windows nie obsługuje wielu równoczesnych połączeń, gdy ktoś jest zalogowany do konsoli (jest to hack, ale nie martwię się o to). Oznacza to, że jeśli jesteś zalogowany do komputera XP, 7 lub Windows 8 i ktoś miał się z nim połączyć za pomocą WBUDOWANY PILOT W BIURZE funkcja systemu Windows, ekran zostanie zablokowany i powie Ci, kto jest podłączony.
Dlaczego to jest przydatne? Jest to przydatne, ponieważ oznacza to, że aby ktoś mógł połączyć się z TWOJĄ sesją bez zauważenia lub przejęcia ekranu, korzystał z oprogramowania innej firmy. Jednak w 2014 roku nikt nie stanie się tak oczywisty i dużo trudniej będzie wykryć oprogramowanie ukrywające oprogramowanie innych firm.
Jeśli szukamy oprogramowania innej firmy, które zwykle określa się jako oprogramowanie do zdalnego sterowania lub oprogramowanie do wirtualnej sieci komputerowej (VNC), musimy zacząć od zera. Zwykle, gdy ktoś instaluje tego typu oprogramowanie na komputerze, musi to zrobić, gdy nie ma go i musi ponownie uruchomić komputer. Pierwszą rzeczą, która może cię zdradzić, jest to, że twój komputer został uruchomiony ponownie i nie pamiętasz tego.
Po drugie, powinieneś sprawdzić w swoim Menu Start - Wszystkie programy i zobaczyć, czy są zainstalowane coś takiego jak VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, itp. Wiele razy ludzie są zaniedbani i zauważają, że zwykły użytkownik nie wie, czym jest oprogramowanie i po prostu je zignoruje. Jeśli któryś z tych programów jest zainstalowany, ktoś może połączyć się z komputerem bez wiedzy użytkownika, dopóki program działa w tle jako usługa systemu Windows.
To prowadzi nas do trzeciego punktu. Zwykle, jeśli zainstalowany jest jeden z wyżej wymienionych programów, na pasku zadań pojawi się ikona, ponieważ musi być ciągle uruchomiona.
Sprawdź wszystkie ikony (nawet te ukryte) i zobacz, co działa. Jeśli znajdziesz coś, o czym nie słyszałeś, zrób szybkie wyszukiwanie w Google, aby zobaczyć, co wyskakuje. Łatwo jest monitorować oprogramowanie, aby ukryć ikonę paska zadań, więc jeśli nie widzisz w tym nic niezwykłego, nie oznacza to, że nie masz zainstalowanego oprogramowania monitorującego.
Więc jeśli nic nie pojawia się w oczywistych miejscach, przejdźmy do bardziej skomplikowanych rzeczy.
Ponownie, ponieważ są to aplikacje innych firm, muszą łączyć się z Windows na różnych portach komunikacyjnych. Porty to po prostu wirtualne połączenie danych, dzięki któremu komputery udostępniają informacje bezpośrednio. Jak być może już wiesz, system Windows ma wbudowaną zaporę ogniową, która blokuje wiele przychodzących portów ze względów bezpieczeństwa. Jeśli nie używasz witryny FTP, dlaczego twój port 23 powinien być otwarty, prawda?
Aby te aplikacje firm trzecich mogły łączyć się z Twoim komputerem, muszą przejść przez port, który musi być otwarty na twoim komputerze. Możesz sprawdzić wszystkie otwarte porty, przechodząc do Początek, Panel sterowania, i zapora systemu Windows. Następnie kliknij Zezwalaj na program funkcji za pośrednictwem Zapory systemu Windows po lewej stronie.
Tutaj zobaczysz listę programów z polami wyboru obok nich. Te, które są zaznaczone, są "otwarte", a niezaznaczone lub niepubliczne są "zamknięte". Przejrzyj listę i sprawdź, czy istnieje program, którego nie znasz, lub który pasuje do VNC, pilota zdalnego sterowania itd. Jeśli tak, możesz zablokować program, usuwając zaznaczenie tego pola!
Niestety, jest to nieco bardziej skomplikowane. W niektórych przypadkach może występować połączenie przychodzące, ale w wielu przypadkach oprogramowanie zainstalowane na komputerze będzie miało tylko połączenie wychodzące z serwerem. W systemie Windows wszystkie połączenia wychodzące są dozwolone, co oznacza, że nic nie jest blokowane. Jeśli całe oprogramowanie szpiegowskie rejestruje dane i wysyła je na serwer, wykorzystuje tylko połączenie wychodzące i dlatego nie będzie wyświetlane na tej liście zapory.
Aby złapać taki program, musimy zobaczyć połączenia wychodzące z naszego komputera na serwery. Możemy to zrobić na wiele różnych sposobów i zamierzam porozmawiać o jednym lub dwóch tutaj.Tak jak powiedziałem wcześniej, teraz jest to trochę skomplikowane, ponieważ mamy do czynienia z naprawdę skradającym się oprogramowaniem i nie znajdziesz go łatwo.
Najpierw pobierz program o nazwie TCPView od Microsoft. Jest to bardzo mały plik, którego nawet nie trzeba instalować, wystarczy go rozpakować i kliknąć dwukrotnie Tcpview. Główne okno będzie wyglądało tak i prawdopodobnie nie ma sensu.
Zasadniczo pokazuje wszystkie połączenia z komputera do innych komputerów. Po lewej stronie znajduje się nazwa procesu, którym będą uruchomione programy, tj. Chrome, Dropbox itp. Jedyne inne kolumny, na które musimy spojrzeć, to: Adres zdalny i Stan. Śmiało i sortuj według kolumny Stan i spójrz na wszystkie procesy wymienione w USTANOWIONY. Ustalono, że obecnie istnieje otwarte połączenie. Należy pamiętać, że oprogramowanie szpiegujące nie zawsze może być połączone ze zdalnym serwerem, więc dobrze jest pozostawić ten program otwarty i monitorować wszelkie nowe procesy, które mogą pojawić się w ustalonym stanie.
To, co chcesz zrobić, to odfiltrować tę listę do procesów, których nazwy nie rozpoznajesz. Chrome i Dropbox są w porządku i nie powodują alarmu, ale czym jest openvpn.exe i rubyw.exe? Cóż, w moim przypadku używam VPN do łączenia się z Internetem, więc te procesy są dla mojej usługi VPN. Możesz jednak po prostu skorzystać z tych usług i szybko zorientować się w tym. Oprogramowanie VPN nie szpieguje oprogramowania, więc nie martw się. Gdy szukasz procesu, od razu będziesz w stanie stwierdzić, czy jest on bezpieczny, po prostu patrząc na wyniki wyszukiwania.
Kolejną rzeczą, którą chcesz sprawdzić, są skrajnie prawe kolumny o nazwach Wysłane pakiety, Wysłane bajty itp. Sortuj według Wysłanych bajtów i natychmiast możesz zobaczyć, który proces wysyła najwięcej danych z twojego komputera. Jeśli ktoś monitoruje twój komputer, musi przesłać dane gdzieś, więc chyba że proces jest ukryty bardzo dobrze, powinieneś go zobaczyć tutaj.
Innym programem, który można wykorzystać do wyszukiwania wszystkich procesów uruchomionych na komputerze, jest Process Explorer firmy Microsoft. Po uruchomieniu zobaczysz wiele informacji o każdym procesie, a nawet procesach potomnych działających w procesach nadrzędnych.
Process Explorer jest niesamowity, ponieważ łączy się z VirusTotal i może natychmiast powiedzieć, czy proces został wykryty jako szkodliwy, czy nie. Aby to zrobić, kliknij Opcje, VirusTotal.com a następnie kliknij Sprawdź VirusTotal.com. Przeniesie Cię na ich stronę internetową, aby przeczytać TOS, po prostu zamknij i kliknij tak w oknie dialogowym w programie.
Gdy to zrobisz, zobaczysz nową kolumnę, która pokazuje wskaźnik wykrywalności ostatniego skanowania dla wielu procesów. Nie będzie w stanie uzyskać wartości dla wszystkich procesów, ale jest to lepsze niż nic. W przypadku osób, które nie mają wyniku, możesz ręcznie wyszukać te procesy w Google. Dla tych, którzy mają wyniki, chcesz powiedzieć 0 / XX. Jeśli nie wynosi 0, przejdź do procesu Google lub kliknij numery, które mają zostać przeniesione do witryny VirusTotal dla tego procesu.
Mam również tendencję do sortowania listy według nazwy firmy i każdego procesu, który nie ma firmy wymienionej na liście, którą Google może sprawdzić. Jednak nawet w przypadku tych programów nadal mogą nie być widoczne wszystkie procesy.
Istnieją również programy ukrywania klasy zwane rootkitami, których oba programy powyżej nie będą w stanie zobaczyć. W takim przypadku, jeśli nie znajdziesz nic podejrzanego podczas sprawdzania wszystkich powyższych procesów, musisz wypróbować jeszcze bardziej niezawodne narzędzia. Kolejnym dobrym narzędziem Microsoftu jest Rootkit Revealer, jednak jest bardzo stary.
Innymi dobrymi narzędziami do zwalczania rootkitów są Malwarebytes Anti-Rootkit Beta, które zdecydowanie polecam, ponieważ ich narzędzie do ochrony przed szkodliwym oprogramowaniem znalazło się na pierwszym miejscu w 2014 roku. Innym popularnym jest GMER.
Sugeruję zainstalowanie tych narzędzi i ich uruchomienie. Jeśli coś znajdą, usuń lub usuń wszystko, co sugerują. Ponadto należy zainstalować oprogramowanie antywirusowe i antywirusowe. Wiele z tych ukrytych programów, z których korzystają ludzie, jest uważane za złośliwe oprogramowanie / wirusy, więc zostaną usunięte, jeśli uruchomisz odpowiednie oprogramowanie. Jeśli coś zostanie wykryte, upewnij się, że Google to, aby dowiedzieć się, czy to oprogramowanie monitorujące, czy nie.
Sprawdzanie, czy poczta e-mail jest monitorowana, jest również skomplikowane, ale będziemy trzymać się łatwych informacji na ten temat. Za każdym razem, gdy wysyłasz wiadomość e-mail z programu Outlook lub jakiegoś programu pocztowego na komputerze, zawsze musi się łączyć z serwerem poczty e-mail. Teraz może połączyć się bezpośrednio lub połączyć się z serwerem proxy, który pobiera żądanie, zmienia lub sprawdza i przekazuje dalej na inny serwer.
Jeśli korzystasz z serwera proxy do przeglądania wiadomości e-mail lub przeglądania stron internetowych, wówczas strony internetowe, do których uzyskujesz dostęp, lub e-maile, które napiszesz, mogą zostać zapisane i wyświetlone później. Możesz sprawdzić oba i oto jak to zrobić. Dla IE, przejdź do Przybory, następnie opcje internetowe. Kliknij na Znajomości kartę i wybierz Ustawienia sieci LAN.
Jeśli pole Serwer proxy jest zaznaczone i ma lokalny adres IP z numerem portu, oznacza to, że przechodzisz przez lokalny serwer, zanim dotrze on do serwera WWW. Oznacza to, że każda odwiedzana witryna najpierw przechodzi przez inny serwer z jakimś oprogramowaniem, które blokuje adres lub po prostu go rejestruje. Jedynym czasem, w którym będziesz bezpieczny, jest to, że odwiedzana witryna używa protokołu SSL (HTTPS w pasku adresu), co oznacza, że wszystko, co zostało wysłane z komputera na serwer zdalny, jest szyfrowane. Nawet jeśli Twoja firma przechwytywałaby dane pośrednie, byłaby zaszyfrowana.Mówię nieco bezpieczniej, ponieważ jeśli na komputerze jest zainstalowane oprogramowanie szpiegowskie, może przechwytywać naciśnięcia klawiszy i przechwytywać wszystko, co wpisujesz w tych bezpiecznych witrynach.
W przypadku firmowej poczty e-mail sprawdzasz to samo, lokalny adres IP serwerów poczty POP i SMTP. Aby sprawdzić w programie Outlook, przejdź do Przybory, Konta emaili kliknij Zmień lub Właściwości i znajdź wartości dla serwera POP i SMTP. Niestety, w środowiskach korporacyjnych serwer pocztowy jest prawdopodobnie lokalny i dlatego jesteś zdecydowanie monitorowany, nawet jeśli nie jest to proxy.
Powinieneś zawsze zachować ostrożność, pisząc e-maile lub przeglądając witryny internetowe w biurze. Próba przełamania zabezpieczeń również może sprawić ci kłopoty, jeśli odkryją, że omijałeś ich systemy! Ludzie IT tego nie lubią, mogę ci powiedzieć z doświadczenia! Jednak chcesz zabezpieczyć przeglądanie Internetu i aktywność e-mail, najlepiej jest użyć VPN, jak w przypadku prywatnego dostępu do Internetu.
Wymaga to zainstalowania oprogramowania na komputerze, czego może nie być możliwe w pierwszej kolejności. Jednak jeśli możesz, możesz być prawie pewien, że nikt nie jest w stanie zobaczyć, co robisz w przeglądarce, o ile nie jest zainstalowane żadne lokalne oprogramowanie szpiegowskie! Nic nie może ukryć twoich działań przed oprogramowaniem do szpiegowania zainstalowanym lokalnie, ponieważ może rejestrować naciśnięcia klawiszy itp., Więc postaraj się, aby moje instrukcje były przestrzegane powyżej i wyłącz program monitorujący. Jeśli masz jakiekolwiek pytania lub wątpliwości, możesz je skomentować. Cieszyć się!
