Как ИТ-специалист, я регулярно отслеживаю компьютеры и электронную почту сотрудников. Это важно в рабочей среде как для административных целей, так и для обеспечения безопасности. Например, мониторинг электронной почты позволяет блокировать вложения, которые могут содержать вирус или шпионское ПО. Единственный раз, когда мне нужно подключиться к компьютеру пользователя и работать непосредственно на его компьютере, — это устранить проблему.
Однако, если вы чувствуете, что за вами следят, хотя это не должно быть, есть несколько небольших хитростей, которые можно использовать, чтобы определить, правы ли вы. Во-первых, наблюдение за чьим-либо компьютером означает, что он может наблюдать за всем, что вы делаете на своем компьютере, в режиме реального времени. Блокировка порносайтов, удаление вложений или блокировка спама до того, как он попадет в ваш почтовый ящик, и т. д. на самом деле не является мониторингом, а скорее фильтрацией.
Одна БОЛЬШАЯ проблема, которую я хочу подчеркнуть, прежде чем двигаться дальше, заключается в том, что если вы находитесь в корпоративной среде и думаете, что за вами следят, вы должны предположить, что они могут видеть ВСЕ, что вы делаете на компьютере. Кроме того, предположим, что вы не сможете найти программное обеспечение, которое записывает все. В корпоративной среде компьютеры настолько настроены и переконфигурированы, что практически невозможно что-либо обнаружить, если вы не хакер. Эта статья больше предназначена для домашних пользователей, которые думают, что друг или член семьи пытается за ними следить.
Мониторинг компьютера
Итак, если вы все еще считаете, что за вами кто-то шпионит, вот что вы можете сделать! Самый простой и простой способ войти в ваш компьютер — использовать удаленный рабочий стол. Хорошо, что Windows не поддерживает несколько одновременных подключений, пока кто-то вошел в консоль (для этого есть хак, но я бы не беспокоился об этом). Это означает, что если вы вошли в свой компьютер с ОС XP, 7 или Windows 8 и кто-то подключился к нему с помощью функции ВСТРОЕННЫЙ УДАЛЕННЫЙ РАБОЧИЙ СТОЛ Windows, ваш экран заблокируется и он скажет вам, кто подключен.
Итак, почему это полезно? Это полезно, потому что это означает, что для того, чтобы кто-то мог подключиться к ВАШЕМУ сеансу так, чтобы вы этого не заметили или чтобы ваш экран не был захвачен, он должен использовать стороннее программное обеспечение. Однако в 2014 году никто не будет так очевиден, и обнаружить скрытое ПО сторонних производителей станет намного сложнее.
Если мы ищем стороннее программное обеспечение, которое обычно называют программным обеспечением для удаленного управления или программным обеспечением для виртуальных сетевых вычислений (VNC), нам придется начинать с нуля. Обычно, когда кто-то устанавливает программное обеспечение такого типа на ваш компьютер, ему приходится делать это, пока вас нет рядом, и перезагрузить ваш компьютер. Итак, первое, что может вас подсказать, это если ваш компьютер был перезагружен, а вы не помните, чтобы это делали..
Во-вторых, вам следует проверить Меню «Пуск» — Все программы и посмотреть, установлено ли что-то вроде VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC и т. д. Часто люди проявляют небрежность и полагают, что обычный пользователь не знает, что такое программное обеспечение, и просто игнорирует его. Если какая-либо из этих программ установлена, кто-то может подключиться к вашему компьютеру без вашего ведома, пока программа работает в фоновом режиме как служба Windows.
Это подводит нас к третьему пункту. Обычно, если установлена одна из перечисленных выше программ, на панели задач будет отображаться ее значок, поскольку для работы ее необходимо постоянно запускать.
Проверьте все свои значки (даже скрытые) и посмотрите, что работает. Если вы нашли что-то, о чем не слышали, выполните быстрый поиск в Google, чтобы увидеть, что появится. Программному обеспечению для мониторинга довольно легко скрыть значок на панели задач, поэтому, если вы не видите там ничего необычного, это не означает, что у вас не установлено программное обеспечение для мониторинга.
Итак, если в очевидных местах ничего не появляется, давайте перейдем к более сложным вещам.
Проверьте порты брандмауэра
Опять же, поскольку это сторонние приложения, им приходится подключаться к Windows через разные порты связи. Порты — это просто виртуальное соединение для передачи данных, посредством которого компьютеры напрямую обмениваются информацией. Как вы, возможно, уже знаете, Windows поставляется со встроенным брандмауэром, который блокирует многие входящие порты по соображениям безопасности. Если у вас нет FTP-сайта, почему у вас должен быть открыт порт 23, верно?
Итак, чтобы эти сторонние приложения могли подключиться к вашему компьютеру, они должны пройти через порт, который должен быть открыт на вашем компьютере. Вы можете проверить все открытые порты, выбрав Пуск , Панель управления и Брандмауэр Windows . Затем нажмите Разрешить использование программы через брандмауэр Windows слева.
Здесь вы увидите список программ с флажками рядом с ними. Те, которые отмечены флажком, являются «открытыми», а те, которые не отмечены флажком или не указаны в списке, — «закрытыми». Просмотрите список и посмотрите, есть ли программа, с которой вы не знакомы или которая соответствует VNC, удаленному управлению и т. д. Если да, вы можете заблокировать программу, сняв с нее галочку!
Проверка исходящих соединений
.К сожалению, все немного сложнее. В некоторых случаях может быть входящее соединение, но во многих случаях программное обеспечение, установленное на вашем компьютере, будет иметь только исходящее соединение с сервером. В Windows разрешены все исходящие соединения, а это значит, что ничего не блокируется. Если все, что делает шпионское программное обеспечение, — это записывает данные и отправляет их на сервер, то оно использует только исходящее соединение и поэтому не будет отображаться в списке брандмауэра.
Чтобы перехватить такую программу, нам нужно увидеть исходящие соединения с нашего компьютера на серверы. Есть целый ряд способов сделать это, и я собираюсь поговорить здесь об одном или двух. Как я уже говорил ранее, теперь все становится немного сложнее, потому что мы имеем дело с действительно скрытным программным обеспечением, и вам нелегко его найти.
TCPView
Сначала загрузите программу TCPView от Microsoft. Это очень маленький файл, и вам даже не нужно его устанавливать: просто разархивируйте его и дважды щелкните Tcpview . Главное окно будет выглядеть вот так и, вероятно, не будет иметь никакого смысла.
По сути, он показывает все подключения вашего компьютера к другим компьютерам. С левой стороны указано имя процесса, который будет обозначать запущенные программы, например Chrome, Dropbox и т. д. Единственные другие столбцы, на которые нам нужно обратить внимание, это Удаленный адрес и Состояние . >. Отсортируйте данные по столбцу «Состояние» и просмотрите все процессы, перечисленные в разделе УСТАНОВЛЕНО . «Установлено» означает, что в настоящее время существует открытое соединение. Обратите внимание, что шпионское программное обеспечение не всегда может быть подключено к удаленному серверу, поэтому рекомендуется оставить эту программу открытой и отслеживать любые новые процессы, которые могут появиться в установленном состоянии.
Что вам нужно сделать, так это отфильтровать этот список, выбрав процессы, имена которых вам неизвестны. С Chrome и Dropbox все в порядке, и это не повод для беспокойства, но что такое openvpn.exe и Rubyw.exe? Что ж, в моем случае я использую VPN для подключения к Интернету, поэтому эти процессы предназначены для моей службы VPN. Однако вы можете просто погуглить эти сервисы и быстро разобраться в этом самостоятельно. Программное обеспечение VPN не является шпионским, так что не беспокойтесь. При поиске процесса вы сразу сможете определить, безопасен он или нет, просто просмотрев результаты поиска.
Еще одна вещь, которую вы хотите проверить, — это крайние правые столбцы, называемые «Отправленные пакеты», «Отправленные байты» и т. д. Отсортируйте по «Отправленные байты», и вы сразу сможете увидеть, какой процесс отправляет больше всего данных с вашего компьютера. Если кто-то следит за вашим компьютером, он должен куда-то отправлять данные, поэтому, если процесс не очень хорошо скрыт, вы должны увидеть его здесь..
Обозреватель процессов
Еще одна программа, которую вы можете использовать для поиска всех процессов, запущенных на вашем компьютере, — это Обозреватель процессов от Microsoft. Запустив его, вы увидите массу информации о каждом отдельном процессе и даже о дочерних процессах, выполняющихся внутри родительских процессов.
Process Explorer очень удобен, поскольку он подключается к VirusTotal и может мгновенно сообщить вам, был ли процесс обнаружен как вредоносное ПО или нет. Для этого нажмите Параметры , VirusTotal.com , а затем нажмите Проверить VirusTotal.com . Вы перейдете на их веб-сайт, чтобы прочитать Условия использования. Просто закройте его и нажмите Да в диалоговом окне программы.
Как только вы это сделаете, вы увидите новый столбец, в котором показан уровень обнаружения при последнем сканировании для многих процессов. Он не сможет получить значение для всех процессов, но это лучше, чем ничего. Для тех, у кого нет оценки, попробуйте вручную найти эти процессы в Google. Для тех, у кого есть баллы, вы хотите, чтобы это было примерно 0/XX. Если это не 0, продолжайте искать процесс в Google или нажмите на цифры, чтобы перейти на веб-сайт VirusTotal для этого процесса.
Я также обычно сортирую список по названию компании, и любой процесс, в котором компания не указана, я проверяю в Google. Однако даже с этими программами вы все равно можете увидеть не все процессы.
Руткиты
Существует также класс стелс-программ, называемых руткитами, которые две приведенные выше программы даже не смогут увидеть. В этом случае, если при проверке всех вышеперечисленных процессов вы не обнаружили ничего подозрительного, вам придется попробовать еще более надежные инструменты. Еще один хороший инструмент от Microsoft — Средство обнаружения руткитов, однако он очень старый.
Другими хорошими инструментами для борьбы с руткитами являются Бета-версия антивируса Malwarebytes Anti-Rootkit, которые я очень рекомендую, поскольку их инструмент для защиты от вредоносных программ занял первое место в 2014 году. Еще один популярный инструмент — ГМЕР.
Я предлагаю вам установить эти инструменты и запустить их. Если они что-нибудь найдут, удалите или удалите все, что они предлагают. Кроме того, вам следует установить антивирусное и антивирусное программное обеспечение. Многие из этих скрытых программ, которые используют люди, считаются вредоносными программами/вирусами, поэтому они будут удалены, если вы запустите соответствующее программное обеспечение. Если что-то будет обнаружено, обязательно введите это в Google, чтобы узнать, было ли это программное обеспечение для мониторинга или нет..
Мониторинг электронной почты и веб-сайта
Проверить, отслеживается ли ваша электронная почта, также сложно, но в этой статье мы остановимся на простых вещах. Всякий раз, когда вы отправляете электронное письмо из Outlook или какого-либо почтового клиента на своем компьютере, ему всегда необходимо подключиться к почтовому серверу. Теперь он может подключаться либо напрямую, либо через так называемый прокси-сервер, который принимает запрос, изменяет или проверяет его и пересылает на другой сервер.
Если вы используете прокси-сервер для электронной почты или просмотра веб-страниц, веб-сайты, к которым вы обращаетесь, или написанные вами электронные письма можно сохранить и просмотреть позже. Вы можете проверить оба варианта, и вот как. В IE выберите Инструменты , затем Свойства обозревателя . Нажмите на вкладку Подключения и выберите Настройки локальной сети .
Если флажок «Прокси-сервер» установлен и у него есть локальный IP-адрес с номером порта, это означает, что вы сначала проходите через локальный сервер, прежде чем он достигнет веб-сервера. Это означает, что любой веб-сайт, который вы посещаете, сначала проходит через другой сервер, на котором установлено какое-то программное обеспечение, которое либо блокирует адрес, либо просто регистрирует его. Единственный случай, когда вы будете в некоторой безопасности, — это если сайт, который вы посещаете, использует SSL (HTTPS в адресной строке), что означает, что все, что отправляется с вашего компьютера на удаленный сервер, зашифровано. Даже если ваша компания перехватит промежуточные данные, они будут зашифрованы. Я говорю «в некоторой степени безопасно», потому что если на вашем компьютере установлено шпионское программное обеспечение, оно может перехватывать нажатия клавиш и, следовательно, перехватывать все, что вы вводите на этих защищенных сайтах.
Для корпоративной электронной почты вы проверяете одно и то же: локальный IP-адрес для почтовых серверов POP и SMTP. Чтобы проверить Outlook, перейдите в Инструменты , Учетные записи электронной почты , нажмите «Изменить» или «Свойства» и найдите значения для POP и SMTP-сервера. К сожалению, в корпоративной среде почтовый сервер скорее всего локальный, поэтому за вами наверняка следят, даже если не через прокси-сервер.
Вы всегда должны быть осторожны при написании электронных писем или просмотре веб-сайтов, находясь в офисе. Попытка прорваться через систему безопасности также может привести к неприятностям, если они узнают, что вы обошли их системы! IT-специалистам это не нравится, могу сказать по опыту! Однако если вы хотите обезопасить просмотр веб-страниц и работу с электронной почтой, лучше всего использовать VPN, например частный доступ в Интернет..
Для этого потребуется установить программное обеспечение на компьютер, чего вы изначально не сможете сделать. Однако, если вы можете, вы можете быть уверены, что никто не сможет увидеть, что вы делаете в вашем браузере, если у него не установлено локальное шпионское программное обеспечение! Нет ничего, что могло бы скрыть ваши действия от локально установленного шпионского программного обеспечения, поскольку оно может записывать нажатия клавиш и т. д., поэтому постарайтесь следовать моим инструкциям выше и отключить программу мониторинга. Если у вас есть какие-либо вопросы или проблемы, не стесняйтесь комментировать. Наслаждайтесь!.