Navigaweb

Controllare se qualcuno usa il mio computer

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
identificare intrusioni e spionaggio sul tuo PC. Tecniche avanzate, comandi di sistema e strumenti per rilevare connessioni e attività sospette
Uso computer Uno dei problemi più fastidiosi in famiglia o in casa è la condivisione dello stesso computer. Un PC è personale, ciascuno lo organizza come meglio crede e non saltiamo di gioia se un altro lo tocca, lo sposta o muove i file al suo interno, magari modificando impostazioni, cancellando dati o facendosi gli affari nostri. Se sospettiamo che qualcuno utilizza il nostro PC quando non siamo in casa, in questa guida vi mostreremo come controllare se qualcuno ha usato il nostro PC, cosa ha guardato e cosa ha fatto.

LEGGI ANCHE: Scoprire se siamo spiati sul computer

I Segnali Visibili: Sintomi di Attività Clandestine

L’intrusione, che sia un controllo remoto attivo o un software spia che lavora in background, lascia quasi sempre delle tracce. A volte sono evidenti, altre volte richiedono un occhio esperto. Il rallentamento improvviso delle prestazioni, un sistema che si blocca o si freeza senza motivo apparente, sono spesso il primo indizio: un programma malevolo, magari un crypto miner o un Remote Access Trojan (RAT), sta semplicemente consumando preziose risorse. È un segnale che non va mai sottovalutato.

Occorre prestare grande attenzione anche a:

  • Attività inattese: Il puntatore del mouse che si muove da solo, finestre che si aprono, programmi che si avviano senza un comando, oppure la webcam che si attiva con la spia luminosa accesa in momenti inopportuni. Questo è un indicatore di controllo remoto attivo.
  • Modifiche alle configurazioni: Variazioni nella pagina iniziale del browser, l'installazione di toolbar inattese o, peggio, la comparsa di nuovi account utente sul sistema che non sono stati creati dall'amministratore. Un accesso non autorizzato spesso mira a stabilire una persistenza.
  • Aumento del traffico di rete: Una linea internet che risulta molto trafficata anche quando il computer è apparentemente inattivo suggerisce che qualcuno stia trasmettendo o ricevendo dati da remoto, ad esempio rubando file.

Tracce di Accesso Fisico e File Modificati

File recenti

Non tutti gli accessi sono remoti. Se il computer è condiviso o lasciato incustodito, un'intrusione può avvenire in modo locale. Per verificare se qualcuno ha usato il PC mentre eravamo assenti, un'indagine rapida può rivelare l'accesso non autorizzato. Su Windows, è sufficiente aprire l'Esplora File e consultare la sezione "Accesso Rapido" o "Recenti". Qui vengono elencati i documenti, le cartelle e i programmi aperti di recente, anche se sono stati richiusi subito dopo l'uso.

Per controllare se qualcuno ha usato il nostro computer senza permesso è Everything, un tool di ricerca rapido di file e cartelle che si presta benissimo al nostro scopo. Una volta scaricato e installato sul nostro computer avviamo l'app e, al termine del caricamento, premiamo sulla colonna Ultima modifica, così da ordinare tutti i file presenti sul PC in ordine cronologico (dalla modifica più recente alla modifica più remota).

Everything

Scorrendo la lista visualizzeremo ogni singolo file modificato o creato da Windows o dai programmi (impossibili da cancellare tutti), inclusi i file per i profili del browser o per l'apertura di un determinato programma. Con tanta pazienza e volontà potremo ricostruire l'utilizzo del nostro PC dall'accensione fino allo spegnimento, così da sapere esattamente cosa è stato fatto in nostra assenza.

Su Mac, la sezione "Recenti" nel Finder svolge la stessa funzione. Se compaiono documenti che non abbiamo toccato, o addirittura programmi di sistema e cartelle nascoste aperte di recente, è molto probabile che qualcuno abbia navigato il file system. Questo metodo, per quanto banale, è spesso trascurato da chi spia o curiosa.

Analisi del Sistema Operativo: Controllo di Processi e Utenti

Prima di ricorrere a software esterni, i sistemi operativi Windows e Mac offrono strumenti di diagnostica interni estremamente potenti per iniziare la caccia all'intruso.

Gestione Attività e Monitoraggio (Task Manager/Activity Monitor)

Per prima cosa apriamo il Gestione Attività su Windows (Ctrl+Maiusc+Esc) o Monitoraggio Attività su Mac (Applicazioni > Utility). Qui si può avere una visione in tempo reale di tutti i processi in esecuzione.

Nel Task Manager di Windows, concentratevi su due schede fondamentali:

  • Processi: Cercare i processi con un consumo anomalo di CPU, Memoria o Rete. Se si vede un nome di programma strano o uno che consuma molto pur non essendo stato avviato, è un sospetto da indagare con urgenza.
  • Utenti: Questa è la prova più lampante. Verificare se ci sono sessioni utente attive oltre la propria. In un sistema Windows, un utente in remoto spesso compare qui come una sessione separata, a meno che non si tratti di un accesso molto avanzato.

Nel Monitoraggio Attività di Mac, è utile la sezione Rete per controllare le applicazioni con un elevato flusso di dati. Programmi sconosciuti che scambiano grandi quantità di dati sono un chiaro segnale d'allarme.

Verificare i Programmi di Accesso Remoto

Un attaccante raramente userà il protocollo RDP (Remote Desktop Protocol) nativo, che è rumoroso e lascia tracce più evidenti. Preferirà installare in segreto programmi di controllo remoto. Controllate in Applicazioni installate (Pannello di controllo > Programmi o Impostazioni di Windows/Mac) se sono presenti nomi come TeamViewer, AnyDesk, LogMeIn, VNC o GoToMyPC che non ricordiamo di aver installato o che non utilizziamo abitualmente. Anche se il software non è in esecuzione, l'installazione non autorizzata è un campanello d'allarme.

Il problema maggiore con questi programmi è che, una volta installati, se configurati per l'accesso non presidiato e con password deboli, diventano un backdoor permanente, molto più pericoloso di un semplice malware temporaneo. La verifica delle applicazioni è un controllo essenziale che va fatto periodicamente.

Ispezione dei Log di Accesso (Event Viewer)

I sistemi operativi tengono un registro dettagliato di ogni accesso. Se qualcuno ha utilizzato fisicamente il computer mentre non eravamo presenti, o si è connesso da remoto, l'informazione è lì, seppur nascosta tra centinaia di eventi:

Visualizzatore

  • Su Windows: Aprire la finestra Esegui (Win + R) e digitare eventvwr per avviare il Il registro eventi di Windows.

    Andare in Registri di Windows > Protezione. Bisogna filtrare o scorrere gli eventi cercando i Codici Evento relativi al Logon (accesso) e Logoff (disconnessione). Eventi di accesso riusciti in orari in cui non eravamo al PC sono segnali molto chiari di un'intrusione.

    WinLogOnView

    Visto che le voci da cercare nel visualizzatore eventi possono essere difficili da interpretare per un utente alle prime armi, possiamo aiutarci installando sul nostro computer WinLogOnView, un tool gratuito sviluppato dalla famosa casa Nirsoft, conosciuta per i suoi innumerevoli strumenti utili per ogni situazione. Per capire chi è entrato nel nostro computer premiamo sulla colonna intitolata Logon Time, così da visualizzare gli accessi in ordine cronologico, dal più recente al più remoto: confrontandolo con i nostri tempi e orari d'utilizzo non è difficile capire in che ora è stato utilizzato il computer senza il nostro permesso.

  • Su Mac: L'applicazione Console (Applicazioni > Utility) fornisce un accesso ai log di sistema, dove è possibile cercare voci relative a Remote Desktop o accessi via SSH non riconosciuti. La ricerca per data e ora aiuta a circoscrivere il periodo sospetto.

Trucchi Avanzati: Linea di Comando e Log di Sistema

Per un'analisi più approfondita, occorre sporcarsi le mani con strumenti di livello superiore, spesso già presenti nel sistema e che offrono una visione più dettagliata.

Controllo delle Connessioni Aperte con Netstat

Questo è il metodo più efficace per identificare una connessione remota in tempo reale. Il comando Netstat mostra tutte le connessioni in entrata e in uscita dal computer e le porte che sono in ascolto (Listening).

  • Su Windows: Aprire il Prompt dei comandi (digitando cmd nel menu Start) ed eseguire il comando:

    netstat -bano

    • -a: Mostra tutte le connessioni e le porte in ascolto.
    • -n: Mostra indirizzi e porte in formato numerico (più rapido).
    • -b: Mostra il nome dell'eseguibile (*.exe*) che ha stabilito la connessione.
    • -o: Mostra il PID (Process Identifier) del processo.

  • Su Mac/Linux: Aprire il Terminale e digitare:

    sudo lsof -i -P -n oppure netstat -an | grep LISTEN

    Il comando lsof è più completo e mostra il nome del processo (COMMAND) e il PID associato alla connessione.

Se viene visualizzata una connessione con stato ESTABLISHED verso un indirizzo IP sconosciuto, o una porta in LISTENING associata a un programma che non abbiamo avviato, è necessario prendere nota del PID e cercarlo nel Task Manager per identificare il file eseguibile responsabile e terminarlo immediatamente.

Strumenti Specializzati per i Casi Più Difficili

A volte, l'intruso si nasconde usando tecniche molto più subdole, come rootkit o processi camuffati. In questi casi, è necessario ricorrere a software di diagnostica avanzata che scavino più in profondità del sistema operativo.

Diagnostica Avanzata con Sysinternals

Il pacchetto gratuito **Sysinternals Suite** di Microsoft contiene strumenti di analisi forense per Windows che vanno ben oltre il Task Manager e sono considerati uno standard dai professionisti della sicurezza:

  • Process Explorer: Si tratta di un'alternativa super-potente al Task Manager. Permette di vedere la gerarchia dei processi, chi li ha avviati e, cruciale, di verificare in modo più chiaro le connessioni di rete aperte da ciascun eseguibile.
  • TCPView: Come dice il nome, è una versione più user-friendly di netstat. Mostra in una comoda interfaccia grafica tutti i socket (connessioni) TCP e UDP attivi, compreso l'indirizzo remoto e lo stato, utile per individuare traffico nascosto senza dover usare la riga di comando.

Scansione per Keylogger e Spyware su Webcam

I keylogger e gli strumenti per spiare la webcam rientrano nella categoria più insidiosa degli spyware e dei rootkit. Questi programmi sono progettati specificamente per non essere rilevati dai normali antivirus, nascondendosi a livello del kernel o mascherando i loro processi.

Per la loro individuazione, è cruciale usare strumenti che vanno oltre la scansione standard:

  • Malwarebytes Anti-Rootkit: Offre una versione gratuita specifica per cercare e rimuovere i rootkit più noti, agendo a un livello più profondo rispetto a una scansione antivirus standard. È un punto di partenza essenziale per scovare le tracce dei keylogger e del software di sorveglianza.
  • GMER: Uno strumento vecchissimo, destinato principalmente agli utenti più esperti (solo Windows), che esegue un'ispezione a livello kernel per scovare hook* nascosti e processi invisibili. Programmi spia per la webcam o keylogger spesso manipolano il kernel per nascondersi.

Un'altra contromisura, che preferisco sempre raccomandare, è il controllo fisico: l'uso di un piccolo copri-webcam (un pezzetto di nastro adesivo opaco, ad esempio) previene ogni forma di spionaggio visivo, anche nel caso in cui il software di controllo dovesse eludere la rilevazione.

Altro sulle intrusioni

L'accesso non autorizzato non si limita solo alla fase di rilevamento, ma solleva diverse domande fondamentali sulla sicurezza futura e sull'impatto dell'intrusione. Affrontiamo i punti chiave per una gestione completa del problema:

  • Cosa fare subito dopo aver rilevato l'accesso non autorizzato? La prima azione è scollegare immediatamente il computer dalla rete (togliendo il cavo Ethernet o disattivando il Wi-Fi), per interrompere la sessione remota attiva ed evitare il furto di ulteriori dati. L'isolamento è la priorità assoluta.
  • L'intruso può ancora accedere al sistema dopo la disconnessione? Dipende. Se l'accesso è avvenuto tramite un malware con una backdoor o un rootkit (che si avviano ad ogni accensione), l'intruso potrebbe rientrare al successivo riavvio e connessione. Per questo motivo è essenziale l'uso di Rootkit Scanner e, nei casi più gravi, la formattazione e reinstallazione pulita del sistema operativo.
  • Quali dati sono stati compromessi? Se è stata trovata una connessione remota, è altamente probabile che password, documenti e informazioni finanziarie siano stati copiati. La priorità assoluta è cambiare tutte le password da un dispositivo sicuro (come uno smartphone o un altro PC) e attivare l'autenticazione a due fattori (MFA) ovunque sia possibile.
  • Come prevenire futuri accessi remoti? Le difese migliori non sono complicate e si basano su poche, ma fondamentali, buone abitudini:
    • Disattivare i servizi non necessari: Spegnere la funzione di Desktop Remoto (RDP) se non è strettamente indispensabile.
    • Password robuste e MFA: Utilizzare combinazioni complesse e non riciclate, abilitando sempre l'autenticazione a più fattori su ogni account sensibile.
    • Controllare il router: Verificare nel pannello di amministrazione del router (solitamente digitando 192.168.1.1 o 192.168.0.1 nel browser) se ci sono port forwarding o servizi VPN aperti che non abbiamo configurato e che potrebbero essere un punto di accesso esterno.
    • Aggiornamenti costanti: Mantenere il sistema operativo e tutti i programmi aggiornati è fondamentale per chiudere le falle di sicurezza più note e usate dagli attaccanti.

Per evitare problemi in futuro conviene impostare sempre una password di login e di blocco per Windows, come visto nella nostra guida Proteggere l'accesso al PC Windows con blocco schermo e password.

Se invece desideriamo far utilizzare il computer anche ad altre persone o famigliari senza dare accesso al nostro account personale, vi consigliamo di legger le nostre guide su come creare account su Windows e gestire gli utenti del computer oppure Come far usare il PC ad amici e ospiti in modo separato e sicuro.





Posta un commento