Czy twój sprzęt padł ofiarą cyberprzestępców?


2. Kontrolowanie ruchu sieciowego

Co sprawia zagrożenie. Jeśli jakiemuś intruzowi uda się wedrzeć do twojego komputera, zapewne spróbuje wysyłać zapisane w nim dane do swoich mocodawców w internecie. Wprawdzie bardzo zaawansowane narzędzia szpiegujące potrafią sprytnie ukrywać nawiązywane przez siebie połączenie, lecz proste programy tego typu, a przede wszystkim ciekawskie moduły reklamowe (adware), można demaskować stosunkowo łatwo.

Jak to sprawdzić. Skorzystaj z narzędzia SmartSniff. Rejestruje wszystkie połączenia nawiązywane z twojego komputera poprzez protokół TCP/IP. Przy każdym z połączeń narzędzie podaje dokładną godzinę. Jednak brakuje informacji, który program zainicjował ruch w sieci. Dlatego uruchom ponadto narzędzie Process Monitor. Protokołując działanie aplikacji, w połączeniu ze SmartSniffem pomoże ci odnaleźć program odpowiadający za nawiązanie danego połączenia. Process Monitor nie wymaga instalowania – wystarczy rozpakować pobrane archiwum i kliknąć dwukrotnie plik Procmon.exe.

Jednak zanim zabierzesz się do pracy, wyłącz wszystkie aplikacje korzystające z internetu, które na pewno są bezpieczne. W przeciwnym razie SmartSniff wygeneruje bardzo obszerny protokół, a jego analizowanie zajęłoby ci mnóstwo czasu. Uruchom program SmartSniff. Naciśnij klawisz [F5], aby zainicjować rejestrowanie. Wybierz kartę sieciową, której aktywność chcesz nadzorować. Narzędzie daje do wyboru kilka kart, gdy w systemie jest zainstalowane oprogramowanie do wirtualizacji takie jak np. VirtualBox lub VMWare Player. Łatwo je jednak rozpoznać po nazwach wirtualnych kart sieciowych. Jeśli twój komputer jest podłączony do internetu za pośrednictwem sieci bezprzewodowej, wskaż WLAN. Inaczej wybierz odpowiednią kartę sieciową.

Poczekaj dłuższą chwilę, obserwując zapełnianie się protokołu. Nie przeraź się ilością zebranych danych. Zarówno Windows, jak i wiele aplikacji bardzo często nawiązują połączenia internetowe. Po pewnym czasie wstrzymaj rejestrowanie, naciskając klawisz [F6]. Zatrzymaj także rejestrowanie procesów w programie Process Monitor.

Czego należy szukać. Posortuj listę programu SmartSniff według kolumny Remote Address – wystarczy kliknąć w tym celu jej nagłówek. Przeglądając listę, śmiało pomiń adresy z zakresu 192.168.0.0 – 192.168.255.255, bo urządzenia docelowe znajdują się w obrębie twojej lokalnej sieci. Pozostałe wpisy są warte zbadania. Klikając dwukrotnie podejrzany wpis, przywołasz okno właściwości. Kliknij dwukrotnie w polu Remote Address, po czym kliknij prawym przyciskiem myszy i wskaż polecenie Copy, aby skopiować do systemowego schowka zawartość tego parametru, a więc zewnętrzny adres IP zaprotokołowanego połączenia. Gdy odwiedzisz stronę http://network-tools.com i wkleisz go w polu tuż nad przyciskiem Go!, dowiesz się, do kogo należy poszukiwany adres. Informacje pojawią się w prawej części strony internetowej.

Jeśli znaleziony adres wzbudzi twoje podejrzenia, ustal na podstawie znaczników czasu w programie SmartSniff i Process Explorer, który z programów nawiązał dane połączenie. Następnie możesz dowiedzieć się za pośrednictwem serwisu Google, do czego służy wykryty program.

Alternatywy. Narzędzie System Explorer rejestruje jednocześnie nazwę aplikacji i ruch sieciowy. Za to nie zapewnia możliwości odnośnie sortowania protokołu według wybranych kryteriów. Po uruchomieniu go przeskocz na kartę Historia. Jeśli nie widać tej karty na ekranie, kliknij przycisk po prawej stronie pozostałych kart (przypomina przycisk otwierania nowej karty w przeglądarce internetowej Chrome) i wskaż wpis Historia. Poczekaj, aż protokół się nieco zapełni, a następnie kliknij ikonę trzech poziomych kresek i wskaż polecenie Zapisz listę do pliku. Teraz możesz przejrzeć utworzony plik w poszukiwaniu podejrzanych połączeń.

Godny polecenia jest także program PeerBlock. Wyświetla nie tylko spis połączeń, lecz pozwala blokować komunikowanie się z niepożądanymi serwerami.

Czy twój sprzęt padł ofiarą cyberprzestępców?

Program Microsoft Attack Surface Analyzer sporządza raport stanu rejestru przed i po zainstalowaniu aplikacji. Następnie porównuje oba raporty.