Bilgisayar ve E-posta İzleme veya Casusluk Yazılımını Algılama
Bir IT Pro olarak çalışanların bilgisayarlarını ve e-postalarını düzenli olarak izliyorum. Bir iş ortamında, idari amaçların yanı sıra güvenlik için de önemlidir. Örneğin e-postaları izlemek, virüs veya casus yazılım içerebilecek ekleri engellemenizi sağlar. Bir kullanıcı bilgisayarına bağlanmak ve doğrudan bilgisayarında çalışmak zorunda olduğum tek zaman bir sorunu çözmek..
Bununla birlikte, olmamanız gerektiğinde izlendiğinizi düşünüyorsanız, haklı olup olmadığınızı belirlemek için kullanabileceğiniz birkaç püf noktası vardır. Öncelikle, birinin bilgisayarını izlemek, bilgisayarınızda yaptığınız her şeyi gerçek zamanlı olarak izleyebilecekleri anlamına gelir. Porno sitelerini engellemek, ekleri kaldırmak veya spam'ı gelen kutunuza ulaşmadan önce engellemek, vb. Gerçekten izlemiyor, filtreleme gibi.
Devam etmeden önce vurgulamak istediğim BÜYÜK bir sorun, şirket ortamındaysanız ve izlendiğinizi düşünüyorsanız, bilgisayarda yaptığınız her şeyi görebileceklerini varsaymanız gerekir. Ayrıca, aslında her şeyi kaydeden yazılımı bulamayacağınızı varsayalım. Kurumsal ortamlarda, bilgisayarlar o kadar özelleştirilmiş ve yeniden yapılandırılmıştır ki, bilgisayar korsanı değilseniz herhangi bir şeyi tespit etmek neredeyse imkansızdır. Bu makale, bir arkadaş veya aile üyesinin onları izlemeye çalıştığını düşünen ev kullanıcılarına yöneliktir..
Bilgisayar izleme
Şimdi, eğer hala birisinin sizi casusluk yaptığını düşünüyorsanız, işte yapabilecekleriniz! Birinin bilgisayarınıza giriş yapmasının en kolay ve en basit yolu uzak masaüstünü kullanmaktır. İşin iyi yanı, birileri konsola giriş yaparken Windows'un aynı anda birden fazla bağlantıyı desteklememesidir (bunun için bir kesmek var, ama endişelenmiyorum). Bunun anlamı, eğer XP, 7 veya Windows 8 bilgisayarınıza giriş yaptıysanız ve birisinin bilgisayarı kullanarak UZAKTAN UZAKTAN MASA Windows'un özelliği, ekranınız kilitlenir ve size kimin bağlandığını söylerdi.
Peki bu neden faydalı? Bu yararlıdır, çünkü birisinin YOUR oturumuna, siz fark etmeden veya ekranınız ele geçirilmeden bağlanabilmesi için üçüncü taraf yazılımı kullandıkları anlamına gelir. Bununla birlikte, 2014 yılında hiç kimse bu kadar açık olmayacak ve üçüncü taraf yazılım gizli yazılımını tespit etmek çok daha zor olacak.
Genellikle uzaktan kumanda yazılımı veya sanal ağ bilgi işlem (VNC) yazılımı olarak adlandırılan üçüncü taraf yazılımı arıyorsanız, sıfırdan başlamamız gerekir. Genellikle, birileri bilgisayarınıza bu tür bir yazılım yüklediğinde, siz orada yokken yapmaları gerekir ve bilgisayarınızı yeniden başlatmaları gerekir. Böylece, sizi ipucu olabilecek ilk şey, bilgisayarınız yeniden başlatılmışsa ve bunu hatırlamıyorsanız.
İkincisi, Başlat Menüsü - Tüm Programlar VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, vb. gibi şeylerin kurulup kurulmadığını görmek için. Çoğu zaman insanlar özensizdir ve normal bir kullanıcının bir yazılımın ne olduğunu bilmeyeceğini ve onu görmezden geleceğini düşünür. Bu programlardan herhangi biri yüklüyse, program arka planda Windows hizmeti olarak çalıştığı sürece, siz bilmeden birileri bilgisayarınıza bağlanabilir.
Bu bizi üçüncü noktaya getiriyor. Genellikle, yukarıda listelenen programlardan biri yüklüyse, görev çubuğunda bunun için bir simge olacaktır, çünkü sürekli olarak çalışması gerekir.
Tüm simgelerinizi (hatta gizli olanları bile) kontrol edin ve neyin çalıştığını görün. Duymadığınız bir şey bulursanız, neyin ortaya çıktığını görmek için hızlı bir Google araması yapın. İzleme yazılımının görev çubuğu simgesini gizlemesi oldukça kolaydır, bu nedenle olağandışı bir şey görmüyorsanız, yüklü izleme yazılımı bulunmadığı anlamına gelmez.
Öyleyse bariz yerlerde hiçbir şey görünmüyorsa, en karmaşık şeylere geçelim..
Güvenlik Duvarı Bağlantı Noktalarını Kontrol Edin
Yine, bunlar üçüncü taraf uygulamalar olduğu için, farklı iletişim bağlantı noktalarından Windows'a bağlanmak zorundadırlar. Bağlantı noktaları, bilgisayarların bilgileri doğrudan paylaştığı sanal bir veri bağlantısıdır. Bildiğiniz gibi, Windows güvenlik nedeniyle gelen bağlantı noktalarının çoğunu engelleyen yerleşik bir güvenlik duvarına sahiptir. Bir FTP sitesi çalıştırmıyorsanız, neden 23 numaralı bağlantı noktanızın açık olması gerekir??
Bu üçüncü taraf uygulamaların bilgisayarınıza bağlanabilmesi için bilgisayarınızda açık olması gereken bir bağlantı noktasından gelmeleri gerekir. Tüm açık portları adresine giderek kontrol edebilirsiniz. başla, Kontrol Paneli, ve Windows Güvenlik Duvarı. Sonra tıklayın Windows Güvenlik Duvarı üzerinden bir özellik programına izin verin sol tarafta.
Burada, yanlarında onay kutuları bulunan programların bir listesini göreceksiniz. Kontrol edilenler “açık”, kontrol edilmemiş veya listelenmemiş olanlar “kapalı” dır. Listeyi gözden geçirin ve tanımadığınız bir program olup olmadığını veya VNC, uzaktan kumanda, vb. İle eşleşen bir program olup olmadığına bakın. Varsa, programın kutusunun işaretini kaldırarak programı engelleyebilirsiniz.!
Giden Bağlantıları Kontrol Edin
Ne yazık ki, bundan biraz daha karmaşık. Bazı durumlarda, gelen bir bağlantı olabilir, ancak çoğu durumda, bilgisayarınızda yüklü olan yazılımın yalnızca bir sunucuya giden bir bağlantısı olur. Windows'ta, tüm giden bağlantılara izin verilir, bu da hiçbir şeyin engellenmediği anlamına gelir. Tüm casusluk yazılımları veri kaydedip bir sunucuya göndermekse, yalnızca giden bir bağlantı kullanır ve bu nedenle bu güvenlik duvarı listesinde görünmez..
Böyle bir programı yakalamak için, bilgisayarımızdan sunuculara giden bağlantıları görmemiz gerekir. Bunu yapabilmemizin bir sürü yolu var ve burada bir ya da iki tane hakkında konuşacağım. Daha önce de söylediğim gibi, şimdi biraz karışık bir hal alıyor, çünkü biz gerçekten gizli bir yazılımla uğraşıyoruz ve siz kolayca bulamayacaksınız..
TCPView
Öncelikle, Microsoft'tan TCPView adlı bir programı indirin. Çok küçük bir dosyadır ve yüklemek zorunda bile kalmazsınız, dosyayı açıp çift tıklayın. tcpview. Ana pencere böyle görünecek ve muhtemelen bir anlam ifade etmeyecektir..
Temel olarak, bilgisayarınızdan diğer bilgisayarlara tüm bağlantıları gösteriyor. Sol tarafta, çalışan programlar, yani Chrome, Dropbox, vb. Gibi işlemlerin adı yer alıyor. Uzak adres ve Belirtmek, bildirmek. Devam et ve Durum sütununa göre sırala ve altındaki tüm işlemlere bak KURULMUŞ. Kurulan, şu anda açık bir bağlantı olduğu anlamına gelir. Casus yazılımların her zaman uzak sunucuya bağlı olmayabileceğini unutmayın, bu nedenle bu programı açık bırakmak ve kurulu durumda ortaya çıkabilecek yeni işlemleri izlemek için iyi bir fikirdir..
Yapmak istediğiniz, bu listeyi, adını tanımadığınız işlemlere filtrelemek. Chrome ve Dropbox iyi ve alarm için bir neden yok, ancak openvpn.exe ve rubyw.exe nedir? Benim durumumda, internete bağlanmak için bir VPN kullanıyorum, böylece bu işlemler VPN hizmetim için geçerli. Bununla birlikte, yalnızca bu hizmetleri Google’a ekleyebilir ve çabucak kendiniz çözebilirsiniz. VPN yazılımı casusluk yazılımı olmadığından endişelenmenize gerek yok. Bir işlemi aradığınızda, sadece arama sonuçlarına bakarak güvenli olup olmadığını anında anlayabilirsiniz..
Kontrol etmek istediğiniz diğer bir şey de Gönderilmiş Paketler, Gönderilen Bayt, vb. Olarak adlandırılan en sağdaki sütunlardır. Gönderilen Baytlara Göre Sırala ve hangi işlemin bilgisayarınızdan en çok veri gönderdiğini anında görebilirsiniz. Birisi bilgisayarınızı izliyorsa, verileri bir yere göndermek zorundadır, bu yüzden işlem son derece iyi gizlenmediyse, burada görmeniz gerekir..
Süreç araştırmacısı
Bilgisayarınızda çalışan tüm işlemleri bulmak için kullanabileceğiniz başka bir program Microsoft'tan İşlem Gezgini'dir. Çalıştırdığınızda, her bir işlem hakkında ve hatta ana işlemler içinde çalışan alt işlemler hakkında birçok bilgi göreceksiniz..
İşlem Gezgini, VirusTotal ile bağlantı kurduğu ve bir işlemin kötü amaçlı yazılım olarak algılanıp algılanmadığını size anında anlatabileceği için oldukça harika. Bunu yapmak için tıklayın Seçenekler, VirusTotal.com ve sonra üzerine tıklayın VirusTotal.com'u kontrol edin. TOS'u okumak için sizi web sitelerine getirecek, hemen kapatın ve Evet programdaki iletişim kutusunda.
Bunu yaptıktan sonra, birçok işlem için son tarama algılama oranını gösteren yeni bir sütun göreceksiniz. Tüm işlemler için değer alamayacak, ama hiç yoktan iyidir. Puanı olmayanlar için devam edin ve Google'da bu işlemleri manuel olarak arayın. Skorları olanlar için, hemen hemen 0 / XX demek istersiniz. 0 değilse, devam edin ve Google’a gidin ya da o işlem için VirusTotal web sitesine götürülecek sayıları tıklayın..
Ayrıca listeyi Şirket Adı'na ve listelenen bir şirketi olmayan herhangi bir işleme göre de kontrol etmeyi düşünüyorum. Ancak, bu programlarda bile tüm süreçleri göremeyebilirsiniz..
Rootkit'lerin
Ayrıca, rootkits adında, yukarıdaki iki programın bile göremeyeceği bir sınıf gizli program vardır. Bu durumda, yukarıdaki tüm işlemleri kontrol ederken şüpheli bir şey bulamazsanız, daha sağlam araçlar denemeniz gerekir. Microsoft'tan bir başka iyi araç Rootkit Revealer, ancak çok eski.
Diğer iyi anti-rootkit araçları Malwarebytes Anti-Rootkit Beta'dır. Kötü amaçlı yazılımdan koruma araçları 2014 yılında 1. sırada yer aldı..
Bu araçları kurmanızı ve çalıştırmanızı öneririm. Bir şey bulurlarsa, önerdiklerini kaldırın veya silin. Ayrıca, anti-malware ve anti-virüs yazılımı yüklemelisiniz. İnsanların kullandığı bu gizli programların çoğu kötü amaçlı yazılım / virüs olarak kabul edilir, bu nedenle eğer uygun yazılımı çalıştırırsanız kaldırılırlar. Bir şey algılanırsa, Google’dan emin olun; böylece yazılımın izleme yazılımı olup olmadığını öğrenin..
E-posta ve Web Sitesi İzleme
E-postanızın izlenip izlenmediğini kontrol etmek de karmaşıktır, ancak bu makale için kolay olan şeylere bağlı kalacağız. Outlook'tan veya bilgisayarınızdaki bir e-posta istemcisinden ne zaman bir e-posta gönderirseniz, her zaman bir e-posta sunucusuna bağlanmalıdır. Artık doğrudan bağlanabilir ya da bir isteği alan, değiştiren veya kontrol eden ve başka bir sunucuya ileten bir proxy sunucusu adı verilen bağlantı üzerinden bağlanabilir..
E-posta veya web taraması için bir proxy sunucusundan geçiyorsanız, eriştiğiniz web sitelerinden veya yazdığınız e-postalardan daha sonra kaydedilip görüntülenebilir. İkisini de kontrol edebilirsiniz ve işte burada. IE’ye gitmek için Araçlar, sonra internet Seçenekleri. Tıkla Bağlantılar sekme ve seçme LAN Ayarları.
Proxy Sunucu kutusu işaretliyse ve bağlantı noktası numarası olan yerel bir IP adresine sahipse, bu, önce web sunucusuna erişmeden önce yerel bir sunucudan geçtiğiniz anlamına gelir. Bu, ilk önce ziyaret ettiğiniz tüm web sitelerinin, adresleri engelleyen veya basitçe günlüğe kaydeden bir tür yazılım çalıştıran başka bir sunucudan geçtiği anlamına gelir. Biraz güvende olacağınız tek zaman ziyaret ettiğiniz site SSL kullanıyorsa (adres çubuğundaki HTTPS), yani bilgisayarınızdan uzak sunucuya gönderilen her şey şifreli demektir. Şirketiniz arasındaki verileri yakalasaydı bile şifreli olurdu. Biraz güvenli olduğunu söylüyorum çünkü bilgisayarınızda yüklü bir casus yazılım varsa, tuş vuruşlarını yakalayabilir ve bu nedenle bu güvenli sitelere ne yazarsanız yazabilirsiniz.
Kurumsal e-postanız için aynı şeyi kontrol ediyorsunuz, POP ve SMTP posta sunucuları için yerel bir IP adresi. Outlook'ta kontrol etmek için adresine gidin. Araçlar, E-posta hesapları, ve Değiştir veya Özellikler'i tıklatın ve POP ve SMTP sunucusu için değerleri bulun. Ne yazık ki, kurumsal ortamlarda, e-posta sunucusu muhtemelen yereldir ve bu nedenle, bir proxy üzerinden olmasanız bile kesinlikle izlenmektedir..
Ofisteyken e-posta yazarken veya web sitelerini gezerken her zaman dikkatli olmalısınız. Güvenliği aşmaya çalışmak da sistemlerini atlattığını öğrenirse başını belaya sokabilir! BT çalışanları bundan hoşlanmıyor, size deneyimden söyleyebilirim! Bununla birlikte, web tarama ve e-posta etkinliğinizi güvence altına almak istiyorsanız, en iyi seçeneğiniz VPN'i Özel İnternet Erişimi gibi kullanmaktır..
Bu, ilk başta yapamayabileceğiniz bilgisayara yüklemeyi gerektirir. Ancak, yerel bir casusluk yazılımı yüklü olmadığı sürece, tarayıcınızda ne yaptığınızı kimse göremediğinden emin olabilirsiniz! Faaliyetlerinizi yerel olarak yüklenen casus yazılımlardan gizleyebilecek hiçbir şey yoktur, çünkü tuş vuruşlarını vb. Kaydedebilir, bu nedenle yukarıdaki talimatlarımı izlemeye ve izleme programını devre dışı bırakmaya çalışın. Herhangi bir sorunuz veya endişeniz varsa, yorum yapmaktan çekinmeyin. Keyfini çıkarın!