Zo ontdek je of een hacker (of een ander) in je pc is geweest

 

 

Komt het omdat je werktafel er plots anders bijligt? Of omdat het bureaublad van je computer open en bloot staat, terwijl de schermbeveiliging nog aan stond toen je daarnet naar het toilet ging? Plots besluipt je het ongemakkelijke gevoel dat iemand heeft zitten neuzen in je computer. Word je paranoïde, ben je té achterdochtig? Volg deze stappen om na te gaan of iemand in je pc heeft gesnuffeld.

Tip 01: Recente bestanden

De eenvoudigste manier om te controleren of er iemand in ‘t geniep op je computer heeft gewerkt, is even snel de recente bestanden checken. Windows heeft de functie Snelle toegang toegevoegd om vlot terug te gaan naar de bestanden waaraan je recent hebt gewerkt. Daarom open je een nieuw venster in Windows Verkenner of je gebruikt de toetsencombinatie Windows+E. In de linkerkolom vind je bovenaan het item Snelle toegang. Hiermee krijg je rechts een lijst van recente bestanden te zien. Als er in deze lijst bestanden voorkomen waarvan je je niet herinnert dat je ze onlangs hebt bewerkt, weet je meteen dat iemand zich toegang heeft verschaft tot jouw account. Bovendien lees je welke bestanden deze toch wel onhandige insluiper heeft gewijzigd.

Tip 01 Als iemand in je account bestanden heeft aangepast, dan merk je dat aan de Recente bestanden.

Tip 02: Leeg is verdacht

Het is niet moeilijk om de geschiedenis van Verkenner te wissen. Via de rechtermuisknop open je in Snelle toegang de Opties en in het tabblad Algemeen gebruik je de opdracht Geschiedenis van Verkenner wissen. Je kunt dan niet meer zien welke bestanden onlangs zijn bewerkt. Aan de andere kant zou een indringer die op deze manier zijn spoor wil verwijderen zich pas echt verraden. Hoe kan de lijst met recente bestanden anders leeggemaakt zijn?

Tip 02 Via de Opties van Snelle toegang kun jijzelf of een insluiper makkelijk de geschiedenis van Windows Verkenner zappen.

Tip 03: Gewijzigde bestanden

In Windows Verkenner kun je ook meer gericht zoeken naar gewijzigde bestanden. Maximaliseer het lint van Verkenner, klik in het zoekvak en kies in het lint de optie Gewijzigd op. Je hebt de keuze uit: VandaagGisterenDeze week enzovoort. Het is mogelijk de zoekopdracht te verfijnen door middel van een datumbereik, maar waarschijnlijk is de optie Vandaag de meest nuttige. Het resultaat is weerom een lijst met bestanden waaraan iets gewijzigd is. Controleer de tijdstippen van deze lijst. Wanneer je systeem het bestand automatisch heeft opgeslagen terwijl de indringer aan het werk was, zul je dit via deze weg ontdekken.

Tip 03 Je kunt ook een datumbereik instellen om gewijzigde bestanden te ontdekken.

Vergrendelen

Een van de beste manier om je pc te beschermen terwijl je even weg bent, is hem vergrendelen. Druk op Windows+L, zodat niemand in je machine kan rotzooien. Wanneer het scherm vergrendeld is, verschijnt er meestal een mooie foto met de datum en tijd erbij. Druk op de spatiebalk om je opnieuw met je wachtwoord aan te melden. Natuurlijk is je computer alleen maar beschermd als je daadwerkelijk een wachtwoord voor je account hebt opgegeven. Ga daarvoor naar Instellingen / Accounts / Aanmeldingsopties. Je kunt het wachtwoord via die weg steeds wijzigen. De reflex om Windows+L in te drukken is prima, maar het kan gebeuren dat je dit vergeet te doen. Je kunt Windows instellen zodat het scherm automatisch vergrendeld wordt als je niet aan het werk bent. In de Instellingen zoek je via de zoekbalk naar Schermbeveiliging wijzigen en dan kom je in het venster Instellingen voor schermbeveiliging. Hier kies je een screensaver en geef je een aantal minuten totdat deze wordt geactiveerd. Als je bij Schermbeveiliging de optie Geen selecteert, zal het systeem de computer na de ingestelde tijd meteen vergrendelen in plaats van de schermbeveiliging te tonen.

De optie Aanmeldingsscherm weergeven bij hervatten vraagt steeds het wachtwoord om de computer te ontgrendelen

Zelfs iemand die via de incognito-modus op jouw computer heeft gesurft laat sporen na

Tip 04: Browsergeschiedenis

Misschien heeft een collega stiekem de internetbrowser op jouw machine gebruikt om bijvoorbeeld je bookmarks te bekijken? Hoewel een slimme gebruiker de incognito- of privémodus van je webbrowser zal gebruiken, kan het zeker geen kwaad om even de browsergeschiedenis te checken. Het is natuurlijk kinderspel om die geschiedenis te wissen, maar daarmee verraadt de indringer alweer zijn aanwezigheid. Zowel in Chrome als in Firefox of Microsoft Edge is de snelste weg naar de Geschiedenis de toetsencombinatie Ctrl+H (van History). De kans bestaat echter dat iemand jouw surfgeschiedenis heeft doorzocht. Dat merk je omdat de website die als laatste vanuit jouw geschiedenislijst is doorzocht plots bovenaan staat. In Edge en Chrome lees je in de geschiedenis zelfs het tijdstip waarop de website is bezocht en dat kan veel verduidelijken.

Tip 04 In Chrome lees je niet alleen de dag maar ook de tijd waarop de websites werden bezocht.

Tip 05: Toch niet zo incognito

Zelfs iemand die via de incognito-modus op jouw computer heeft gesurft laat sporen na. In deze modus zal de browser niets lokaal op je computer bewaren, zelfs cookies worden na de sessie verwijderd. Toch worden deze gegevens wel in het dns-cachegeheugen van de computer opgeslagen. Deze informatie blijft beschikbaar tot je de computer uitschakelt. Om alle url’s te zien die in de incognito-modus zijn bezocht, druk je op Windows-toets+R. In het venster Uitvoeren typ je cmd en je bevestigt met Enter. De dos-prompt verschijnt en daarin typ je ipconfig /displaydns. Dit levert een lijst op van alle bezochte internetadressen, ook van degene die je incognito bezocht. Is de lijst te lang, dan kun je die exporteren in een tekstbestand met ipconfig /displaydns > dns.txt. Dit bestand wordt meestal opgeslagen in de gebruikersmap op de C-schijf.

Tip 05 In de dns-cache lees je alle websites die je hebt bezocht, zelfs in de incognito-modus.

Tip 06: Logboeken

Hebben de vorige methoden niets opgeleverd, dan kun je naar sporen van inbraak zoeken in de logboeken. De meeste events die Windows hier registreert, zijn hooguit interessant voor statistische doeleinden, maar als je de juiste meldingen eruit pikt, kun je zien wie wanneer heeft ingelogd. Zoek Logboeken en open de app. Vervolgens ga je naar Windows-logboeken en vandaar naar Beveiliging. Je krijgt een lage lijst met activiteiten waarvan de meeste je waarschijnlijk niets zullen zeggen, tenzij je de Windows-codes goed kent. Let op Gebeurtenis-id 4624 voor standaardaanmeldingen, en 4634 voor afmeldingen. Klik op een item als je meer informatie wilt en controleer of een gebruiker is ingelogd op het systeem terwijl je weg was. De meeste aanmeldingen zullen van het account System komen. Dit systeemaccount wordt gebruikt om taken uit te voeren en deze aanmeldingen kun je negeren. Bij Trefwoorden lees je Controle mislukt (met hangslot) of Controle geslaagd (met sleutel), afhankelijk of het om een mislukte of een geslaagde poging gaat.

Tip 06 In de Windows-logboeken kun je de aanmeldingen opvragen.

Tip 07: Logboek filteren

Lastig met logboeken is dat ze meestal een onoverzichtelijke lijst items bevatten. Gelukkig is er een zoekfunctie in het menu Acties. Via deze zoekfunctie kun je op een periode zoeken (afgelopen uur, afgelopen 12 uur, afgelopen 24 uur, afgelopen 7 dagen enzovoort). Bovendien kun je het logboek filteren. Klik in het menu Acties op Huidig logboek filteren. Als je alle gebeurtenissen tussen 4624 en 4634 wilt zien (de aanmeldingen en afmeldingen), dan typ je in het filtervenster 4624-4634. Typ bij Gebruiker de naam van de gebruikersaccounts waarop je wilt filteren. Eventueel kun je meerdere gebruikersaccounts opgeven door deze met een komma van elkaar te scheiden. Klik op OK om het filter toe te passen.

Tip 07 We zoeken gericht naar mislukte inlogpogingen in het afgelopen uur. Misschien probeerde iemand een verkeerd wachtwoord.

Tip 08: Controle activeren

De aanmeldingscontrole die bijhoudt wie er wanneer op je computer inlogt, werkt alleen op de professionele editie van Windows. Je kunt dit dus niet gebruiken als je een Home-editie hebt. Je gaat na of deze vorm van auditing is ingeschakeld via de Editor voor lokaal groepsbeleid. Druk Windows-toets+R in en in het venster Uitvoeren typ je gpedit.msc en je klikt op OK. Dan klik je in de linkerkolom op Windows-instellingen / Beveiligingsinstellingen / Lokaal beleid / Controlebeleid / Accountaanmeldingsgebeurtenissen controleren. Hier kun je de controle van Geslaagde pogingen en Mislukte pogingen activeren. Nadat je dit hebt gedaan, volg je via bovengenoemde methode de inlogpogingen in de logboeken.

Tip 08 In Controlebeleid geef je aan wat de logboeken moeten weergeven.

Iemand die zich toegang verschaft tot je systeem kan makkelijk een keylogger plaatsen

Beleid

In het venster Lokaal beveiligingsbeleid kun je negen verschillende vormen van beleidscontrole aan- en uitzetten. Dit zijn de vijf meest interessante onderdelen.

Aanmeldingsgebeurtenissen: een gebruiker meldt zich af of aan, of maakt verbinding via het netwerk.

Accountaanmeldingsgebeurtenissen: een gebruiker authentiseert zich via een lokaal gebruikersaccount of meldt zich aan via het netwerk.

Accountbeheer: er wordt een gebruiker of gebruikersgroep aangemaakt, geactiveerd, gewist, gewijzigd, gedeactiveerd, of een wachtwoord wordt aangepast.

Objecttoegang: een gebruiker opent een bestand, map of registersleutel.

Procesopsporing: een proces start of wordt beëindigd.

Systeemgebeurtenissen: een gebruiker sluit het systeem af of herstart het.

De gegevens die het systeem verzamelt via het ingestelde controlebeleid komen automatisch in het Windows-logboek Beveiliging.

Geef aan of de mislukte en/of de geslaagde pogingen geregistreerd moeten worden.

Tip 09: Keyloggers

Iemand die zich toegang verschaft tot je systeem kan makkelijk een keylogger plaatsen. Een keylogger is een programmaatje dat iedere toets registreert die je indrukt. Dat is dus iedere zin, iedere spatie, maar ook je wachtwoorden, banklogins, wachtwoorden voor sociale media en creditcardgegevens. Deze informatie stuurt de keylogger door naar de ontvanger. In de VS vallen keyloggers nog steeds onder de noemer ‘parental software’, omdat deze software ook gebruikt wordt om het computergedrag van eigen kinderen te bespioneren. Keyloggers opsporen is lastig omdat ze zijn ontworpen om verborgen te blijven. Recente anti-malwareprogramma’s zullen keyloggers traceren en verwijderen. Programma’s die korte metten zullen maken met deze malware zijn bijvoorbeeld MacAfee Rootkit Remover, een gratis dos-gebaseerde anti-keylogger-tool en AVG Antivirus.

Tip 09 Een keylogger installeren is kinderspel, maar kan desastreuze gevolgen hebben.