Quem esta acessando meu hard disk?

De repente você começa a notar que mesmo sem estar fazendo nada em seu computador a luz do hard disk não para de piscar, é como se ele tivesse vida própria. Ao observá-lo melhor percebe-se que a movimentação é intensa como se naquele momento o seu computador estivesse realizando varias tarefas. Pode ser que nesse momento você até mesmo escute seu hard disk fazer alguns barulhos. Nessa hora nos normalmente iniciamos a caça as bruxas e fechamos todos os programas que estão abertos e abrimos o gerenciador de tarefas do Windows para vermos se há alguma coisa lá que não deveria estar e nos pegamos pesando, algo errado esta acontecendo.

Mas muitos desses momentos têm explicação, o seu antivírus trabalha fazendo upgrade por conta própria e alguns o fazem a cada três horas, o próprio Windows realiza a tarefa de indexação sem nossa intervenção e essa ação também o faz o MSN.

Claro que se são essas ações que estão acontecendo não há problema algum, mas e se não for? E se toda essa movimentação for alguma ação desautorizada, ou algum hacker fazendo um trabalho em seu disco, como pro exemplo a procura de sua identidade ou mesmo a procura de dados pessoais? Nesse momento pensamos que nossa vulnerabilidade é tamanha que sinceramente nos pegamos até mesmo pesando e não mais usar o computador. A Microsoft possui muitos utilitários e alguns estão inclusos no Windows, mas não há nele nenhum programa que nos auxilie no diagnóstico de ações secretas em nosso hard disk.

Quero lembrar que há quase um ano eu escrevi um artigo sobre o “bisbilhotamento dos dados do hard disk”, naquele artigo eu discuti e demonstrei que nossos dados são de conhecimento da Microsoft que sem a autorização do usuário leva quase que o tempo todo, nossas informações para seu banco de dados, e há grande possibilidade do site Alexia estar fazendo o mesmo, a desculpa desse último é que esta guardando nossos hábitos para a posteridade, claro que nos pegamos recebendo e-mails que muitas vezes se encaixam em nosso perfil como uma luva, mas isso é somente obra do destino, ou do acaso, complicado isso para meu raciocínio tacanho.

O que podemos fazer? Ora, podemos nos defender ou nos precaver e podemos agir como normalmente agem conosco, porque não gravar e fazer arquivo de atividades desconhecidas em nosso hard disk? Essa prova ou contra prova poderá ser útil uma hora. Vou aqui mostrar o que podemos fazer com relação a esse tipo de ação.

Alguns utilitários freeware (grátis) podem nos auxiliar nessa tarefa bem como o próprio Gerenciador de Tarefas do Windows onde poderemos verificar o que esta ocorrendo em nosso ambiente de trabalho. Aplicativos, Processos, Desempenho, Rede, Usuários essas são as opções que ele nos oferece como podemos ver na figura abaixo.

Em aplicativos temos todas as ocorrências que estão em sendo processadas no momento, o que fazer quando não somos especialistas em sistema? Simplesmente ao inciarmos nosso Windows abrimos o Gerenciador ( essa operação nos realizamos pressionando as teclas: ctrl+Alt+Del simultaneamente, solte todas após pressiona-las) e anotamos todos os processos que lá estão descritos claro que devemos nos lembrar que a cada novo processo deflagrado teremos o mesmo adicionado ao gerenciador, portanto faça, experiências como por exemplo ao abrir seu Word você verá que foi adicionado o winword.exe no gerenciador, dessa forma poderemos ver quantos programas do tipo exe estão em funcionamento no momento da operação

Após termos processado nosso primeiro exame, vou colocar aqui mais dois utilitários que podem nos auxiliar nessa tarefa de verificar o que esta fazendo nosso hard disk trabalhar tanto quando nós não estamos realizando nenhuma tarefa.

O site Sysinternals (agora da Microsoft, comprado em 2006) tem vários utilitários gratuitos para serem usados no exame do funcionamento de seu sistema operacional Windows, e um desses utilitários é o Filemon, que monitora e mostra toda a atividade que esta ocorrendo em nosso sistema operacional em tempo real. Dessa forma nos podemos ver todas as ocorrências e ate mesmo fazermos um log para posteriormente analisar ou mesmo para mostrar para um técnico, pedindo a ele que nos de sua opinião, e isso pode ser feito usando o seu correio eletrônico, já temos no mercado algumas empresas brasileiras que oferecem esse tipo de serviço.

O Filemon mostra todos os aplicativos que estão em funcionamento no momento em queo acionamos e podemos ver quais estão usando DLLs e também podemos através dele detectar se esta havendo alguma ocorrência que não faz parte do contexto. São varias as opções do monitor, a função timestamping nos mostra as ocorrências do tipo: open, read, write ou delete que nos possibilita identificar ações desautorizadas. O programa apesar de ter robustas “features” é muito fácil de ser utilizado, fazendo com que um usuário comum o opere como um “expert” em questão de minutos.

Para os que não gostam de freqüentar o site da Microsoft ainda podemos fazer o download da versão 7 do Filemon no website da Superdownloads e o link esta aqui:

http://superdownloads.uol.com.br/download/185/filemon/

Outro utilitário para nos auxiliar nas investigações das ações desautorizadas é o Diskmon dos mesmos autores, Mark Russinovich and Bryce Cogswell fundadores do Sysinternals (1996).
Mais específico do que o Filemon o Diskmon é um utilitário que mostra e faz relatórios das atividades que estão ocorrendo no hard disk no momento em que é acionado. Claro que a atividade que o Diskmon ira reportar são as ações que ocorrem nos setores do seu hard disk, ou seja, quais setores estão sofrendo modificações, sendo lidos e ou escritos naquele momento, mas essa informação aliada a informação do Filemon nos permitira identificar ações desautorizadas em nosso sistema operacional.

Diskmon (gratuito)http://superdownloads.uol.com.br/download/183/diskmon/

Em caso de identificar uma ação desautorizada e se não souber exatamente como agir, o melhor a fazer é desligar sua internet e se a atividade não for interrompida desligue seu computador e leve-o a um técnico, no caso de ter dados importantes que não possuem backup no momento, informe ao técnico e peça a ele para retirar seu disco e colocar o mesmo como escravo em uma máquina para que seja realizado o backup de seus dados, comente com ele (no caso de seus dados serem imprescindíveis) que se o mesmo encontrar qualquer dificuldade na operação para procurar um especialista em segurança de dados, fazendo dessa forma você estará se prevenindo de ter que procurar um serviço de recuperação de dados que às vezes (após todas as operações que são anteriormente realizadas nas tentativas, muitas vezes, desesperadas de recuperar a informação) poderá encontrar muita dificuldade de realizar o serviço, fazendo com que você acabe ficando sem seus dados ou tendo que pagar um alto preço para poder reavê-los. Previna-se, a prevenção sempre foi a melhor das atitudes.