Remote control ?

[nando]

Qualche applicazione per capire se il pc è controllato da remoto ?
Si può fare qualcosa a livello di Firewall sul router ? AntiMalware non
trova niente ma ultimamente ogni tanto il mouse rallenta di brutto cosi
come anche l'apertura di Word.

Installando Fing sul telefono non vedo device diversi da quelli che
riconosco e in Gestione attività non sempre ci sono processi con nomi
strani.

[^Bart]

On 15/11/2023 01:32, nando wrote:
> Qualche applicazione per capire se il pc è controllato da remoto ?

Detta così si potrebbe rispondere tutto il contrario di tutto...

> Si può fare qualcosa a livello di Firewall sul router ? AntiMalware non
> trova niente ma ultimamente ogni tanto il mouse rallenta di brutto cosi
> come anche l'apertura di Word.
>
> Installando Fing sul telefono non vedo device diversi da quelli che
> riconosco e in Gestione attività non sempre ci sono processi con nomi
> strani.

Non sono un esperto di sicurezza quindi prendi i miei "consigli" come
dei semplici spunti:

1) Che sistema operativo utilizzi?
2) Il sistema operativo è aggiornato?
3) Che sistema di sicurezza utilizzi? Ma soprattutto lo stesso è aggiornato?
4) Scarichi anche la posta su questa macchina e se sì con che client?
5) Navighi ovunque tramite questo pc?
6) Usi un'utenza con diritti amministrativi?
7) Installi programmi vari o ne fai un utilizzo soho quindi ad esempio
hai solo libreoffice\pacchetto office, firma digitale, etc.?

Imho se vuoi farti un'idea di ciò che fa la tua macchina, nel bene o nel
male, tra essa e il f.w. dovresti mettere Wireshark e se hai traffico
crittografato potresti provare https://httptoolkit.com/

Morale della favola a voler essere pragmatici fai prima a comprare un
nuovo disco, lo formatti ci installi, se usi Windows, Eset Smart
Security dopodiché recuperi tutti i dati dal vecchio disco.

Saluti.
^Bart

[sm]

Il Wed, 15 Nov 2023 01:32:37 +0100, nando ha scritto:

> Qualche applicazione per capire se il pc è controllato da remoto ?
> Si può fare qualcosa a livello di Firewall sul router ? AntiMalware non
> trova niente ma ultimamente ogni tanto il mouse rallenta di brutto cosi
> come anche l'apertura di Word.

Beh non sono di per se sintomi che il PC è controllato da remoto. Questo
non vuol dire che puoi serenamente abbassare la guardia; magari fai una
scansione con qualche altro prodotto, ma tieni conto i rallentamenti
possono essere indotti da tante cause.

[nando]

Il 15/11/2023 12:28, ^Bart ha scritto:

> 1) Che sistema operativo utilizzi?

provo a risponderti in un colpo solo senza quoting

uso W10 aggiornato come amministratore, con il suo Defender, Thunderbird
per la posta e installo qualche programma quando capita, tra cui anche
Wireshark già da un pò solo che vorrei capire meglio come leggere in
chiaro i pacchetti e anche Antimalware come dicevo prima.

[^Bart]

> provo a risponderti in un colpo solo senza quoting
>
> uso W10 aggiornato come amministratore, con il suo Defender, Thunderbird
> per la posta e installo qualche programma quando capita, tra cui anche
> Wireshark già da un pò solo che vorrei capire meglio come leggere in
> chiaro i pacchetti e anche Antimalware come dicevo prima.

Detto sinceramente se non sai cosa fare ti ci vuole troppo tempo a
capire come sniffare il traffico, analizzarlo, etc. quindi prendi per
buona la mia ipotesi "pragmatica".

Se posso darti un consiglio... se dovessi reinstallare W10 leggiti prima
le best practices, essere utente amministratore su una macchina Windows
che usi per navigare e scaricare la posta senza avere sotto qualcosa di
serio che ti protegga (in ambito SOHO imho Eset funziona bene ed in
ambito aziendale invece vado di Crowdstrike) è abbastanza folle.

Se poi volessi fare un'analisi ancora più seria valuta magari un dual
boot con W10+Debian, il primo lo usi solo per i programmi che girano
bene solo sotto Windows il secondo per navigare e posta.

Saluti.
^Bart

[sm]

Il Wed, 15 Nov 2023 23:21:44 +0100, nando ha scritto:

> uso W10 aggiornato come amministratore, con il suo Defender, Thunderbird
> per la posta e installo qualche programma quando capita, tra cui anche
> Wireshark già da un pò solo che vorrei capire meglio come leggere in
> chiaro i pacchetti e anche Antimalware come dicevo prima.

Un primo screening del traffico puoi farlo senza entrare troppo nel
dettaglio dei pacchetti, in fondo ti interessa inquadrare il traffico
anomalo e in prima istanza ti basta vedere la destinazione. Poi, se vedi
traffico da e verso destinazioni strane merita entrare nel merito del
contenuto di quei pacchetti.

[nando]

Il 16/11/2023 09:38, ^Bart ha scritto:
>> provo a risponderti in un colpo solo senza quoting
>>
>> uso W10 aggiornato come amministratore, con il suo Defender,
>> Thunderbird per la posta e installo qualche programma quando capita,
>> tra cui anche Wireshark già da un pò solo che vorrei capire meglio
>> come leggere in chiaro i pacchetti e anche Antimalware come dicevo prima.
>
> Detto sinceramente se non sai cosa fare ti ci vuole troppo tempo a
> capire come sniffare il traffico, analizzarlo, etc. quindi prendi per
> buona la mia ipotesi "pragmatica".

per capirne il funzionamento provavo ad analizzare i miei stessi
pacchetti seguendo semplicemente quelli TCP o UDP, qualche filtro
trovato in giro, a volte riuscivo ad individuare i siti visitati e a
volte, non sempre, anche le passw che digitavo per prova ma non capivo
perchè non fossero in chiaro le altre mie stesse digitazioni all'interno
dei siti visitati

> Se poi volessi fare un'analisi ancora più seria valuta magari un dual
> boot con W10+Debian, il primo lo usi solo per i programmi che girano
> bene solo sotto Windows il secondo per navigare e posta.

i dual boot sono arrivato a detestarli per quante volte mi hanno
bloccato la macchina, l'unica è la macchina virtuale ma anche con quelle
non è che fili sempre tutto liscio.

comunque grazie

[ObiWan]

:: On Thu, 16 Nov 2023 12:21:43 +0100
:: (it.comp.sicurezza.varie)
:: <uj4u08$28633$1...@dont-email.me>

:: nando <na...@nihil.com> wrote:

> per capirne il funzionamento provavo ad analizzare i miei stessi
> pacchetti seguendo semplicemente quelli TCP o UDP, qualche filtro

se vuoi iniziare a fare monitoraggio, senza addentrarti in roba tipo
wireshark, lo puoi fare utilizzando questo programma (va lanciato come
amministratore, occhio !)

https://www.nirsoft.net/utils/smsniff.html

per funzionare lo "sniffer" ha bisogno di un driver che puoi scaricare
da qui

https://npcap.com/#download

link diretto

https://npcap.com/dist/npcap-1.78.exe

una volta installato il driver e riavviato il sistema, ti basterà
avviare lo sniffer (come admin), andare nel menù "options" e poi
"capture options", selezionare "winpcap" e poi selezionare la scheda di
rete, fatto questo basterà premere il bottone "start capture" in alto a
sinistra per iniziare a catturare e visualizzare il traffico di rete

Un consiglio, prima di iniziare lo sniffing, chiudi tutti i programmi
(browser, email...), quindi lancia lo sniffer ed avvia la cattura,
lascia girare lo sniffer per alcuni minuti, poi arresta la cattura e,
con calma, vai a controllare il traffico catturato e quali siano gli
host remoti relativi allo stesso

[nando]

3/4 anni fa avevo provato anche nirsoft, forse da dentro Kali boh può
essere ? ma adesso che me lo dici lo riprovo con più consapevolezza. Grazie

[sm]

Il Thu, 16 Nov 2023 12:21:43 +0100, nando ha scritto:


> per capirne il funzionamento provavo ad analizzare i miei stessi
> pacchetti seguendo semplicemente quelli TCP o UDP, qualche filtro
> trovato in giro, a volte riuscivo ad individuare i siti visitati e a
> volte, non sempre, anche le passw che digitavo per prova ma non capivo
> perchè non fossero in chiaro le altre mie stesse digitazioni all'interno
> dei siti visitati

La cosa normale sarebbe NON vedere i contenuti in chiaro, specialmente le
password. Se vedi pacchetti in chiaro vuol dire che non sono connessioni
ssl quindi per esempio ti stai collegando ad un sito in http e non in
https.
Capisci se tu riesci a vedere le password significa che chiunque altro
collegato alla stessa rete può fare altrettanto.