Как да се открие Computer & Email мониторинг или шпионски софтуер
Като IT Pro, редовно наблюдавам компютрите и имейлите на служителите. Това е от съществено значение в работната среда както за административни цели, така и за сигурност. Например мониторингът на имейл ви позволява да блокирате прикачени файлове, които могат да съдържат вирус или шпионски софтуер. Единственият път, когато трябва да се свържа с компютър с потребители и да работя директно на компютъра, е да реша проблема.
Въпреки това, ако смятате, че сте наблюдавани, когато не трябва да бъдете, има няколко малки трика, които можете да използвате, за да определите дали сте прав. Първо, за да следи някой компютър означава, че те могат да гледат всичко, което правите на вашия компютър в реално време. Блокирането на порно сайтове, премахването на прикачени файлове или блокирането на спам, преди да стигне до входящата ви поща, и т.н..
Единственият голям проблем, който искам да подчертая, преди да продължа напред е, че ако сте в корпоративна среда и мислите, че сте наблюдавани, трябва да приемете, че можете да видите всичко, което правите на компютъра. Да предположим, че няма да можете да намерите софтуер, който записва всичко. В корпоративната среда компютрите са така персонализирани и преконфигурирани, че е почти невъзможно да се открие нещо, освен ако не сте хакер. Тази статия е по-насочена към домашните потребители, които смятат, че приятел или член на семейството се опитва да ги наблюдава.
Компютърен мониторинг
Така че сега, ако все още мислите, че някой ви шпионира, ето какво можете да направите! Най-лесният и най-прост начин, по който някой може да влезе в компютъра ви, е чрез отдалечен работен плот. Хубавото е, че Windows не поддържа множество едновременни връзки, докато някой е влязъл в конзолата (има хак за това, но аз няма да се тревожа). Какво означава това е, че ако сте влезли във вашия XP, 7 или Windows 8 компютър и някой трябваше да се свърже с него, използвайки Вграден дистанционен работен плот на Windows, екранът ви ще се заключи и ще ви каже кой е свързан.
Защо тогава това е полезно? Това е полезно, защото това означава, че за да може някой да се свърже с вашата сесия, без да забележите, че вашият екран е поет, те използват софтуер на трети страни. Въпреки това, през 2014 г. никой няма да бъде толкова очевиден и е много по-трудно да се открие софтуер на стелт от трети страни.
Ако търсим софтуер на трети страни, който обикновено се нарича софтуер за дистанционно управление или софтуер за виртуални мрежови компютри (VNC), трябва да започнем от нулата. Обикновено, когато някой инсталира този тип софтуер на вашия компютър, те трябва да го направят, докато не сте там и трябва да рестартират компютъра. Така че първото нещо, което може да ви подскаже, е, ако компютърът ви е рестартиран и не си спомняте да го правите.
На второ място, трябва да проверите в Меню Старт - Всички програми и да се види дали е инсталирано нещо като VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC и др. Много пъти хората са немарливи и смятат, че нормалният потребител няма да знае какво е софтуера и просто ще го игнорира. Ако някоя от тези програми е инсталирана, тогава някой може да се свърже с компютъра ви, без да го знаете, докато програмата работи във фонов режим като услуга на Windows..
Това ни води до третата точка. Обикновено, ако някоя от изброените по-горе програми е инсталирана, ще има икона за нея в лентата на задачите, защото тя трябва непрекъснато да работи за работа.
Проверете всичките си икони (дори скритите) и вижте какво се изпълнява. Ако откриете нещо, за което не сте чували, направете бързо търсене в Google, за да видите какво се появява. Лесно е да наблюдавате софтуера, за да скриете иконата на лентата на задачите, така че ако не виждате нищо необичайно, това не означава, че няма инсталиран софтуер за мониторинг.
Така че, ако нищо не се появява на очевидните места, нека преминем към по-сложните неща.
Проверете Портовете на защитната стена
Отново, защото това са приложения на трети страни, те трябва да се свързват с Windows на различни комуникационни портове. Портовете са просто виртуална връзка за данни, чрез която компютрите споделят информация директно. Както вече знаете, Windows идва с вградена защитна стена, която блокира много от входящите портове поради съображения за сигурност. Ако не използвате FTP сайт, защо трябва да е отворен 23, правилно?
Така че, за да се свържат тези приложения от трети страни към компютъра ви, те трябва да преминат през порт, който трябва да бъде отворен на компютъра ви. Можете да проверите всички отворени портове, като отидете на начало, Контролен панел, и Защитна стена на Windows. След това кликнете върху Разрешаване на програма от функции чрез защитната стена на Windows от лявата страна.
Тук ще видите списък с програми с квадратчета до тях. Проверените са „отворени“ и нерегистрираните или скритите са „затворени“. Прегледайте списъка и проверете дали има програма, която не ви е позната или която отговаря на VNC, дистанционното управление и т.н. Ако е така, можете да блокирате програмата, като премахнете отметката за нея!
Проверете изходящите връзки
За съжаление, това е малко по-сложно от това. В някои случаи може да има входяща връзка, но в много случаи софтуерът, инсталиран на компютъра, ще има само изходящо свързване към сървър. В Windows всички изходящи връзки са разрешени, което означава, че нищо не е блокирано. Ако всичко, което шпиониращият софтуер прави, е да записва данни и да ги изпраща на сървър, тогава той използва само изходяща връзка и следователно няма да се показва в списъка на защитната стена..
За да хванем такава програма, трябва да видим изходящи връзки от нашия компютър до сървъри. Имаме много начини, по които можем да направим това, и ще говоря за едно или две тук. Както казах по-рано, сега става малко по-сложно, защото се занимаваме с истински скрит софтуер и няма да го намерите лесно.
TCPView
Първо, изтеглете програма, наречена TCPView от Microsoft. Това е много малък файл и дори не трябва да го инсталирате, просто го разархивирайте и кликнете два пъти върху TCPView. Главният прозорец ще изглежда така и вероятно няма смисъл.
По принцип, той ви показва всички връзки от компютъра към други компютри. От лявата страна е името на процеса, което ще се изпълнява, т.е. Chrome, Dropbox и т.н. Единствените други колони, които трябва да разгледаме, са Отдалечен адрес и състояние. Продължете и сортирайте по колона Състояние и разгледайте всички процеси, изброени в СЪЗДАДЕНА. Установено означава, че в момента има отворена връзка. Обърнете внимание, че шпионският софтуер не винаги може да бъде свързан с отдалечения сървър, така че е добра идея тази програма да бъде отворена и наблюдавана за нови процеси, които могат да се появят при установеното състояние.
Това, което искате да направите, е да филтрирате този списък до процеси, чието име не разпознавате. Chrome и Dropbox са добре и няма причина за тревога, но какво е openvpn.exe и rubyw.exe? Е, в моя случай използвам VPN, за да се свържа с интернет, така че тези процеси са за моята VPN услуга. Въпреки това, можете просто да Google тези услуги и бързо да разбера това сами. Софтуерът VPN не е шпионски софтуер, така че няма притеснения. Когато търсите процес, незабавно ще можете да разберете дали е безопасно или не, като просто търсите резултатите от търсенето.
Друго нещо, което искате да проверите, са крайните десни колони, наречени Изпратени пакети, Изпратени байтове и т.н. Сортирайте по изпратените байтове и веднага можете да видите кой процес изпраща най-много данни от вашия компютър. Ако някой следи компютъра ви, те трябва да изпращат данни някъде, така че освен ако процесът е скрит изключително добре, трябва да го видите тук.
Process Explorer
Друга програма, която можете да използвате, за да намерите всички процеси, изпълнявани на вашия компютър, е Process Explorer от Microsoft. Когато я стартирате, ще видите много информация за всеки един процес и дори за процеси, които се изпълняват в родителски процеси.
Process Explorer е доста страхотно, защото се свързва с VirusTotal и може да ви каже веднага, ако процесът е бил открит като злонамерен софтуер или не. За да направите това, кликнете върху Настроики, VirusTotal.com и след това кликнете върху Проверете VirusTotal.com. Тя ще ви отведе до техния уебсайт, за да прочетете TOS, просто затворете това и кликнете да в диалоговия прозорец на програмата.
След като направите това, ще видите нова колона, която показва последната степен на сканиране за много от процесите. Няма да може да получи стойността за всички процеси, но е по-добре от нищо. За тези, които нямат резултат, продължете ръчно и търсете тези процеси в Google. За онези, които имат резултати, искаш да кажеш почти 0 / XX. Ако не е 0, продължете с Google и кликнете върху номерата, които ще бъдат отнесени към уебсайта на VirusTotal за този процес.
Също така се опитвам да сортирам списъка по Име на фирма и всеки процес, в който няма посочена фирма, Google проверявам. Въпреки това, дори и с тези програми все още не можете да видите всички процеси.
Rootkits
Съществуват също програми за стелт клас, наречени rootkits, които двете програми по-горе дори няма да могат да видят. В този случай, ако не откриете нищо подозрително, когато проверявате всички процеси по-горе, ще трябва да опитате още по-стабилни инструменти. Друг добър инструмент от Microsoft е Rootkit Revealer, но той е много стар.
Други добри анти-руткит инструменти са Malwarebytes Anti-Rootkit Beta, които бих препоръчал, тъй като тяхното анти-зловредно средство беше класирано на # 1 през 2014 година..
Предлагам ви да инсталирате тези инструменти и да ги стартирате. Ако намерят нещо, премахнете или изтрийте каквото им предложите. Освен това трябва да инсталирате анти-малуер и антивирусен софтуер. Много от тези стелт програми, които хората използват, се считат за злонамерен софтуер / вируси, така че те ще бъдат премахнати, ако използвате съответния софтуер. Ако нещо бъде открито, уверете се, че го използвате, за да разберете дали е бил софтуер за мониторинг или не.
Мониторинг на имейл и уеб сайт
За да проверите дали вашият имейл се следи, също е сложно, но ще се придържаме към лесните неща за тази статия. Всеки път, когато изпращате имейл от Outlook или някой клиент за електронна поща на вашия компютър, той винаги трябва да се свързва с имейл сървър. Сега той може да се свърже директно или да се свърже чрез така наречения прокси сървър, който взема заявка, променя или проверява, и го препраща на друг сървър..
Ако преминавате през прокси сървър за електронна поща или сърфиране в мрежата, уеб сайтовете, до които имате достъп, или имейлите, които пишете, могат да бъдат запазени и прегледани по-късно. Можете да проверите за двете и ето как. За IE отидете на Инструменти, тогава интернет настройки. Кликнете върху Връзки и изберете LAN настройки.
Ако кутията на прокси сървъра е маркирана и има локален IP адрес с номер на порт, това означава, че първо преминавате през локален сървър, преди да достигне до уеб сървъра. Това означава, че всеки уеб сайт, който посещавате, първо преминава през друг сървър с някакъв софтуер, който или блокира адреса, или просто го регистрира. Единственият път, когато сте сигурни, е, че сайтът, който посещавате, използва SSL (HTTPS в адресната лента), което означава, че всичко изпратено от компютъра до отдалечения сървър е криптирано. Дори ако фирмата ви е заснела данните между тях, тя ще бъде криптирана. Казвам донякъде безопасно, защото ако на компютъра ви е инсталиран шпионски софтуер, той може да заснема натискания на клавиши и следователно да заснеме каквото и да въведете в тези защитени сайтове.
За корпоративната ви електронна поща проверявате за едно и също нещо, локален IP адрес за пощенските сървъри POP и SMTP. За да проверите в Outlook, отидете на Инструменти, Имейл акаунти, и щракнете върху Промяна или Свойства и намерете стойностите за POP и SMTP сървъра. За съжаление, в корпоративна среда, сървърът за електронна поща вероятно е локален и следователно най-категорично се следи, дори ако не е чрез прокси сървър..
Винаги трябва да внимавате да пишете имейли или да разглеждате уеб сайтове, докато сте в офиса. Опитите да пробиете сигурността също могат да ви вкарат в беда, ако открият, че сте заобиколили техните системи! ИТ хората не харесват това, мога да ви кажа от опит! Въпреки това, вие искате да защитите уеб сърфирането и дейността си по имейл, най-добре е да използвате VPN като частен интернет достъп.
Това изисква инсталиране на софтуер на компютъра, който може да не сте в състояние да направите на първо място. Въпреки това, ако можете, можете да сте сигурни, че никой не може да вижда това, което правите в браузъра си, стига да не е инсталиран локален шпионски софтуер! Няма нищо, което може да скрие дейностите ви от локално инсталиран шпионски софтуер, защото той може да записва натискания на клавиши и т.н., така че опитайте най-добре да следвате инструкциите ми по-горе и да забраните мониторинговата програма. Ако имате някакви въпроси или притеснения, не се колебайте да коментирате. Наслади се!