Como detectar o computador & amp; Monitoramento de e-mail ou software espiando


Como profissional de TI, monitoro rotineiramente computadores e e-mails de funcionários. É essencial em um ambiente de trabalho para fins administrativos e também para segurança. Monitorar e-mails, por exemplo, permite que você bloqueie anexos que possam conter um vírus ou spyware. A única vez que tenho que conectar a um computador de usuário e trabalhar diretamente em seu computador é corrigir um problema.

No entanto, se você acha que está sendo monitorado quando não deveria estar, existem alguns pequenos truques que você pode usar para determinar se você está certo. Primeiramente, monitorar o computador de alguém significa que ele pode assistir tudo o que você está fazendo no seu computador em tempo real. Bloquear sites pornográficos, remover anexos ou bloquear spam antes que eles cheguem à sua caixa de entrada, etc, não é realmente monitoramento, mas mais como filtragem.

O grande problema que quero enfatizar antes de prosseguir é que se você é Em um ambiente corporativo e acho que você está sendo monitorado, você deve assumir que eles podem ver tudo o que você faz no computador. Além disso, suponha que você não conseguirá realmente encontrar o software que está gravando tudo. Em ambientes corporativos, os computadores são tão personalizados e reconfigurados que é quase impossível detectar qualquer coisa, a menos que você seja um hacker. Este artigo é mais voltado para usuários domésticos que pensam que um amigo ou membro da família está tentando monitorá-los.

Monitoramento de computadores

Então, se você ainda acha que alguém está espionando você, aqui está o que você pode fazer! A maneira mais fácil e simples que alguém pode fazer login no seu computador é usando a área de trabalho remota. O bom é que o Windows não suporta múltiplas conexões simultâneas enquanto alguém está logado no console (existe um hack para isso, mas eu não me preocuparia com isso). O que isto significa é que, se você estiver conectado ao seu computador XP, 7 ou Windows 8 e alguém se conectar a ele usando o recurso DESKTOP REMOTO DESKTOPdo Windows, sua tela ficará bloqueada e ele diria quem está conectado.

Então, por que isso é útil? É útil porque significa que, para que alguém se conecte à SUA sessão sem que você perceba ou sua tela seja tomada, eles usam software de terceiros. No entanto, em 2014, ninguém será tão óbvio e será muito mais difícil detectar software de software de terceiros.

Se estivermos procurando por software de terceiros, o que geralmente é chamado de como software de controle remoto ou software de computação em rede virtual (VNC), temos que começar do zero. Normalmente, quando alguém instala esse tipo de software em seu computador, ele precisa fazer isso enquanto você não está lá e precisa reiniciar o computador. Então, a primeira coisa que poderia lhe dar uma pista é se o seu computador foi reiniciado e você não se lembra de fazê-lo.

Em segundo lugar, você deve verificar no seu Menu Iniciar - Todos os Programase para ver se algo como VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc está instalado. Muitas vezes as pessoas são desleixadas e imaginam que um usuário normal não sabe o que é um software e simplesmente o ignorará. Se algum desses programas estiver instalado, alguém poderá se conectar ao seu computador sem que você saiba, contanto que o programa esteja sendo executado em segundo plano como um serviço do Windows.

Isso nos leva ao terceiro ponto. Normalmente, se um dos programas listados acima estiver instalado, haverá um ícone para ele na barra de tarefas, pois ele precisa estar em constante execução para funcionar.

taskbar icons

Verifique todos os seus ícones (mesmo os ocultos) e veja o que está sendo executado. Se você encontrar algo de que não ouviu falar, faça uma rápida pesquisa no Google para ver o que aparece. É muito fácil para o software de monitoramento esconder o ícone da barra de tarefas, então se você não vê nada de anormal lá, isso não significa que você não tem software de monitoramento instalado.

Então, se nada está aparecendo nos lugares óbvios, vamos para as coisas mais complicadas.

Verifique as portas do firewall

Novamente, como esses aplicativos são de terceiros, eles precisam se conectar ao Windows em diferentes comunicações portas. As portas são simplesmente uma conexão de dados virtual pela qual os computadores compartilham informações diretamente. Como você já deve saber, o Windows vem com um firewall embutido que bloqueia muitas das portas de entrada por motivos de segurança. Se você não está executando um site FTP, por que sua porta 23 deve estar aberta, certo?

Então, para que esses aplicativos de terceiros se conectem ao seu computador, eles devem vir através de uma porta, que tem que estar aberto no seu computador. Você pode verificar todas as portas abertas acessando Iniciar, Painel de Controlee Firewall do Windows. Em seguida, clique em Permitir um programa de recurso através do Firewall do Windowsno lado esquerdo.

allow programs firewall

Aqui você veja ver uma lista de programas com caixas de seleção ao lado deles. Os que são verificados são "abertos" e os não selecionados ou não listados são "fechados". Percorra a lista e veja se há algum programa com o qual você não esteja familiarizado ou que corresponda ao VNC, controle remoto, etc. Se sim, você pode bloquear o programa desmarcando a caixa para ele!

Check Outbound Connections

Infelizmente, é um pouco mais complicado do que isso. Em alguns casos, pode haver uma conexão de entrada, mas, em muitos casos, o software instalado no computador só terá uma conexão de saída com um servidor. No Windows, todas as conexões outbounds são permitidas, o que significa que nada é bloqueado. Se tudo o que o software de espionagem faz é gravar dados e enviá-los para um servidor, ele só usa uma conexão de saída e, portanto, não aparece nessa lista de firewalls.

Para capturar um programa como esse , temos que ver as conexões de saída do nosso computador para os servidores. Há muitas maneiras de fazer isso e falaremos sobre um ou dois aqui. Como eu disse anteriormente, fica um pouco complicado agora porque estamos lidando com software realmente furtivo e você não vai encontrá-lo facilmente.

TCPView

Primeiro, baixe um programa chamado TCPView da Microsoft. É um arquivo muito pequeno e você não precisa instalá-lo, apenas descompacte-o e clique duas vezes em Tcpview. A janela principal ficará assim e provavelmente não faz sentido.

tcpview

Basicamente, ele mostra todas as conexões do seu computador para outros computadores. No lado esquerdo está o nome do processo, que serão os programas em execução, ou seja, Chrome, Dropbox, etc. As únicas outras colunas que precisamos examinar são Endereço Remotoe Estado. Vá em frente e ordene por coluna de estado e observe todos os processos listados em ESTABLISHED. Estabelecido significa que existe atualmente uma conexão aberta. Observe que o software de espionagem nem sempre pode estar conectado ao servidor remoto, portanto, é uma boa idéia deixar esse programa aberto e monitorar todos os novos processos que possam aparecer no estado estabelecido.

O que você deseja O que fazer é filtrar essa lista para processos cujo nome você não reconhece. O Chrome e o Dropbox funcionam bem e não são motivo de alarme, mas o que é o openvpn.exe e o rubyw.exe? Bem, no meu caso, eu uso uma VPN para se conectar à Internet, então esses processos são para o meu serviço de VPN. No entanto, você pode apenas pesquisar esses serviços e descobrir isso por conta própria. O software VPN não está espionando o software, então não se preocupe. Quando você procura por um processo, você instantaneamente será capaz de dizer se é ou não seguro olhando apenas os resultados da pesquisa.

Outra coisa que você quer verificar são as colunas da extrema direita chamadas Pacotes Enviados, Bytes enviados, etc. Classifique por Bytes enviados e você poderá ver instantaneamente qual processo está enviando mais dados do seu computador. Se alguém estiver monitorando seu computador, ele deverá enviar os dados para algum lugar, portanto, a menos que o processo esteja muito bem oculto, você deverá vê-lo aqui.

sent data

Process Explorer

Outro programa que você pode usar para localizar todos os processos em execução no seu computador é Process Explorer da Microsoft. Ao executá-lo, você verá muitas informações sobre cada processo e até mesmo processos-filhos em execução nos processos pai.

process explorer

O Explorer é muito legal porque se conecta com o VirusTotal e pode informar instantaneamente se um processo foi detectado como malware ou não. Para fazer isso, clique em Opções, VirusTotal.come clique em Verificar VirusTotal.com. Ele levará você ao site deles para ler os TOS, basta fechar e clicar em Simna caixa de diálogo do programa.

check virustotal

Depois de fazer isso, você verá uma nova coluna que mostra a última taxa de detecção de varredura para muitos dos processos. Não será possível obter o valor de todos os processos, mas é melhor que nada. Para aqueles que não têm uma pontuação, vá em frente e pesquise manualmente esses processos no Google. Para aqueles com pontuações, você quer dizer praticamente 0 / XX. Se não for 0, prossiga com o processo no Google ou clique nos números que serão levados ao site do VirusTotal para esse processo.

virustotal scan

I também tendem a classificar a lista por Nome da empresa e por qualquer processo que não tenha uma empresa listada, que eu verifiquei no Google. No entanto, mesmo com esses programas, você ainda pode não ver todos os processos.

Rootkits

Também há programas secretos de classe chamados rootkits, que os dois programas acima nem sequer poderão ver. Nesse caso, se você não encontrou nada de suspeito ao verificar todos os processos acima, precisará testar ferramentas ainda mais robustas. Outra boa ferramenta da Microsoft é Revealer do rootkit, mas é muito antiga.

Outras boas ferramentas anti-rootkit são Malwarebytes Anti-Rootkit Beta, o que eu recomendo A ferramenta anti-malware foi classificada em 1º lugar em 2014. Outra ferramenta popular é GMER.

gmer

Eu sugiro que você instale essas ferramentas e executá-las. Se eles encontrarem algo, remova ou exclua o que eles sugerirem. Além disso, você deve instalar o software anti-malware e anti-vírus. Muitos desses programas furtivos que as pessoas usam são considerados malware / vírus, então serão removidos se você executar o software apropriado. Se algo for detectado, certifique-se de pesquisar no Google para saber se ele está monitorando ou não o software.

E-mail e & amp; Monitoramento de site

Para verificar se seu e-mail está sendo monitorado, também é complicado, mas vamos nos ater aos itens mais fáceis deste artigo. Sempre que você envia um e-mail do Outlook ou de algum cliente de e-mail em seu computador, ele sempre precisa se conectar a um servidor de e-mail. Agora ele pode se conectar diretamente ou pode se conectar através do que é chamado de servidor proxy, que recebe uma solicitação, altera ou verifica e encaminha para outro servidor.

Se você estiver passando por um Servidor proxy para e-mail ou navegação na web, do que os sites que você acessa ou os e-mails que você escreve podem ser salvos e visualizados mais tarde. Você pode verificar os dois e aqui está como. Para o IE, acesse Ferramentase, em seguida, Opções da Internet. Clique na guia Conexõese escolha Configurações da LAN.

Se o Servidor Proxy caixa está marcada e tem um endereço IP local com um número de porta, então isso significa que você está passando por um servidor local antes de chegar ao servidor web. Isso significa que qualquer site que você visitar primeiro passará por outro servidor executando algum tipo de software que bloqueie o endereço ou simplesmente registre-o. A única vez que você seria um pouco seguro é se o site que você está visitando estiver usando SSL (HTTPS na barra de endereços), o que significa que tudo que é enviado do seu computador para o servidor remoto é criptografado. Mesmo que sua empresa capturasse os dados, seria criptografada. Eu digo um pouco seguro, porque se houver software de espionagem instalado em seu computador, ele pode capturar pressionamentos de tecla e, portanto, capturar o que você digitar nesses sites seguros.

Para o seu email corporativo, você está verificando a mesma coisa , um endereço IP local para os servidores de correio POP e SMTP. Para fazer check-in no Outlook, vá para Ferramentas, Contas de e-maile clique em Alterar ou Propriedades e encontre os valores para o servidor POP e SMTP. Infelizmente, em ambientes corporativos, o servidor de e-mail é provavelmente local e, portanto, você está definitivamente sendo monitorado, mesmo que não seja por meio de um proxy.

Você deve sempre ter cuidado ao escrever e-mails ou navegar em sites enquanto estiver no escritório. Tentar romper a segurança também pode causar problemas se descobrirem que você ignorou seus sistemas! As pessoas de TI não gostam disso, posso contar por experiência! No entanto, se você deseja proteger sua navegação na Web e atividades de e-mail, sua melhor opção é usar VPN como o acesso à Internet privada.

Isso requer a instalação de software no computador, o que talvez você não consiga fazer. o primeiro lugar. No entanto, se puder, você pode ter certeza de que ninguém é capaz de ver o que você está fazendo no seu navegador, desde que não exista um software de espionagem local instalado! Não há nada que possa esconder suas atividades do software de espionagem instalado localmente, pois ele pode registrar pressionamentos de teclas, etc., então tente seguir as minhas instruções acima e desabilite o programa de monitoramento. Se você tiver alguma dúvida ou preocupação, fique à vontade para comentar. Aproveite!

Como saber se você está sendo espionado WhatsApp, e como remover

Postagens relacionadas:


18.08.2014