Figli troppo curiosi, o ansiosi di giocare, dipendenti infedeli che vogliono spiare il proprio capo, informazioni da rubare, le occasioni per un utilizzo non richiesto/autorizzato di un computer possono essere tante. Nel Visualizzatore eventi è contenuto tutto quello che accade nel sistema operativo, dal suo avvio sino allo spegnimento, solo che i dati sono talmente tanti che diventa difficile trovare quello che si cerca.
Vediamo alcuni metodi per scoprire che cosa è successo e quando è avvenuto.
Partiamo sempre dall’ipotesi che il nostro “intruso” non sia troppo esperto nell’uso di un computer e che sia di fretta, quindi non abbia il tempo, o le conoscenze, per cancellare le tracce della sua incursione.
Periferiche USB connesse
Il programma adatto per scoprire se qualcuno ha collegato una pendrive, o disco esterno, a una porta USB per prelevare dei dati è sicuramente USBDeview, una volta avviato, in pochi secondi, visualizza tutte le periferiche USB che sono state collegate al computer, con la data e il numero di serie del dispositivo.
File Recenti
Una ulteriore controllo lo possiamo fare con i file recenti grazie al programma RecentFilesView.
File aperti
Similare è OpenSaveFilesView, che però nel mio computer non sembra riuscire a leggere tutte le informazioni.
Ultimo utilizzo di un programma
Per sapere quando è stato utilizzato per l’ultima volta un programma possiamo utilizzare ExecutedProgramsList utility portable della Nirsoft. Una volta estratto il contenuto dell’archivio non rimane altro che attendere la fine dell’analisi e cliccare sopra il singolo programma per vedere un dettaglio più compatto.
Chi è entrato nel computer
Per visualizzare tutti gli account che sono entrati nel computer possiamo utilizzare il programma WinLogOnView e cercare l’intruso.
Cronologia dei browser
Se è stato utilizzato un browser, per cercare qualcosa, possiamo consultare la cronologia dei principali browser.
Se ancora non siete riusciti a ricavare abbastanza informazioni, non rimane altro che installare un keylogger e registrare le prossime digitazioni sulla tastiera quando proverà a ricollegarsi l’intruso, oppure prendere delle fotografie con la Webcam.
Conclusioni
Tutto risolto, abbiamo scoperto che qualcuno è entrato e ha fatto qualcosa nel computer. Non proprio, basta un qualsiasi supporto live come questo o una distro Linux per rendere inutili i controlli che abbiamo fatto in precedenza.
Per prevenire questa possibilità di intrusione e impedire di fare il boot da un supporto live dobbiamo modificare il BIOS impostando come primo dispositivo il nostro hard disk e disabilitando, dove possibile, l’avvio da pendrive o CD-Rom.
Per concludere l’inserimento di una password nel BIOS renderebbe impossibile una nuova modifica a queste impostazioni. La password si può anche rimuovere, però lascerebbe una traccia che vi accorgereste, per forza, che qualcuno è entrato nel computer.
Se volete veramente rendere inacessibile il vostro sistema operativo e tutti i dati al suo interno non vi resta altro da fare che criptare il disco fisso con Bitlocker o Veracrypt.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]