Dataverkeer monitoren met GlassWire

Alieke van Sommeren
0

Inhoudsopgave

    Met de gratis tool GlassWire licht je het dataverkeer van Windows en programma’s door. Zo wordt snel duidelijk wie met wie communiceert en waar er kwade bedoelingen zijn. Er is ook een Android-versie.

    Wat je pc allemaal voor dataverkeer genereert zal weinig mensen interesseren. Uit dat verkeer haal je echter allerlei interessante informatie, bijvoorbeeld welke processen wel heel erg fanatiek data uitwisselen en met welke servers aan de andere kant contact wordt gelegd. Zo krijg je niet alleen dataverbruikers boven water, maar kun je ook malware ontmaskeren. De analysetool GlassWire toont deze informatie op een duidelijke manier, zodat je snel een goed overzicht hebt. De tool houdt zich wat op de achtergrond en geeft je geen stortvloed aan (overbodige) informatie.

    Dataverkeer monitoren GlassWire netwerkverkeer pc geschiedenis

    GlassWire toont het netwerkverkeer van je pc als een strakke grafiek. Met de gratis versie kun je tot een maand terug in de historie kijken.

    Met de gratis versie van GlassWire heb je alle belangrijke functies die je nodig hebt om te kunnen analyseren. Het hart van de tool is een scrolbare grafiek waarop je het inkomende en uitgaande netwerkverkeer voorbij ziet komen. Downstreamverkeer is geel, upstream is oranje. De grafiek laat de data van de afgelopen vijf minuten zien, maar als je wilt kun je tot aan de afgelopen maand laten weergeven. Belangrijke events hebben een pictogram in de grafiek en er verschijnt een melding rechtsonder in beeld. De gratis versie meldt bijvoorbeeld wanneer een proces voor het eerst naar buiten verbinding maakt. Dat kun je als aanknopingspunt gebruiken om vanaf daar verder te speuren en meer over het proces en zijn intenties te weten te komen. Het is bijvoorbeeld niet zo gek dat nadat je Firefox hebt geïnstalleerd, firefox.exe verbinding met internet maakt. Maar valt een event niet zomaar te plaatsen en is zoiets als updt.exe ineens verbinding naar buiten aan het maken, dan kan GlassWire snel een verklaring boven water krijgen.

    De analysetool laat niet alleen zien wanneer toegang plaatsvindt, maar ook het doel van de verbinding. Zo kwamen we bijvoorbeeld een bestand updt.exe tegen dat contact maakte met een server met de naam relay.plus.net. Aan de hand van het ip-adres heeft GlassWire dan snel achterhaald dat de server vermoedelijk in het Verenigd Koninkrijk staat.

    Details over dataverkeer

    Door te klikken op de grafiek zie je welke processen op dat tijdstip het dataverkeer veroorzaken dat je in de grafiek ziet. Onder de grafiek verschijnt een lijst met informatie over het dataverkeer op dat tijdstip en het proces dat op dat moment het meeste dataverkeer veroorzaakte. Daarbij staat ook de host waarmee de meeste data werden uitgewisseld.

    Door te klikken op een van die items, krijg je een complete lijst met processen en hosts en per stuk de hoeveelheid data. Als je links boven de grafiek klikt op ‘Apps’ voegt GlassWire het dataverkeer voor de getoonde periode samen. Als je daar een programma selecteert, laat GlassWire heel precies zien hoeveel data er door dat programma is verstuurd en ontvangen. Op die manier achterhaal je ook met welke servers (hosts) en via welk protocol (traffic type) data wordt uitgewisseld. De optie ‘Traffic’ rechts van Apps sorteert het gelogde dataverkeer per protocol, bijvoorbeeld verbindingsprotocollen als SSL/TLS en IMAP. Zo kom je erachter welke programma’s veel platte tekst via HTTP versturen. Zie je in het overzicht veel SMTP-verkeer, van het sturen van mails richting mailservers, maar heb je geen mailclient geïnstalleerd? Dan is dat een reden om meteen een speurtocht te organiseren. Dat kan namelijk een aanwijzing zijn voor een actieve spambot.

    Een nog gedetailleerdere analyse krijg je via de knop ‘Usage’ in het midden bovenaan het GlassWire-venster. Daar zie je een op dataverbruik gesorteerde opsomming van programma’s, hosts en protocollen. Als je een mobiele verbinding met datalimiet gebruikt, kun je daar vinden welke processen onverwacht veel datavolume verbruiken. Rechtsboven wissel je van weergaveperiode tussen bijvoorbeeld dag, week of maand. Als je wilt, kun je via de instellingen ook een datalimiet opgeven onder ‘Data Plan’. Als je de limiet bereikt verschijnt er een melding in beeld.

    Dataverkeer monitoren GlassWire Windows programma

    De tool toont ook het dataverbruik, zelfs specifiek per programma. Zo kom je (ongewenste) grootverbruikers snel op het spoor.

    Controleren op virussen

    Bij de instellingen zit een zeer nuttige optie, maar die moet eerst nog ingeschakeld worden. GlassWire kan namelijk alle processen aan een viruscheck onderwerpen zodra ze contact met internet maken. De analysetool gebruikt daar VirusTotal voor, de virusscandienst die in 2012 door Google is overgenomen. VirusTotal licht bestanden door met behulp van ruim 60 antivirusengines van alle belangrijke producenten. Dat heeft zowel voor- als nadelen. Hoe meer scanners je laat meekijken, des te groter de kans dat er eentje een fout maakt. Als er slechts een tot vier scanners aanslaan, is de kans groot dat het om een false-positive gaat.

    Je schakelt de check in via de menuknop linksboven, door daarna bij ‘Settings’ naar het onderdeel ‘VirusTotal’ te gaan. Aan de rechterkant bij de opties moet je nog op ‘unlock’ klikken om de opties te kunnen aanvinken. Een eventueel UAC-venster kun je bevestigen. Activeer zowel de optie om handmatige bestandscontrole toe te staan als de automatische analyse van alle apps die een netwerkverbinding maken. Mocht je geen automatische check willen, maar dat naar keuze liever zelf handmatig doen, haal dan het vinkje bij de tweede optie weg.

    Dataverkeer monitoren GlassWire virusscan VirusTotal

    Als je wilt, houdt GlassWire alle processen die netwerktoegang gebruiken tegen het licht met een viruscheck van VirusTotal.

    Als de optie is geactiveerd, stuurt GlassWire een hash van het te checken bestand richting de antivirusdienst. Is het bestand al eerder door VirusTotal onder de loep genomen, dan krijg je meteen het scanresultaat binnen. Zo niet, dan moet GlassWire het bestand eerst naar de dienst uploaden. In de meeste gevallen is dat niet erg, aangezien uitvoerbare bestanden slechts zeer zelden persoonlijke informatie bevatten en meestal toch afkomstig zijn van openbare bronnen als internet. Als je met programma’s werkt die niet openbaar mogen worden, kun je de check via VirusT­otal beter uitgeschakeld laten. We kwamen een updt.exe tegen die door 34 van de 67 van de scanengines als schadelijk werd gemarkeerd. In combinatie met wat we het proces verder zagen uitspoken hadden we er geen twijfels meer over dat het niets goeds in de zin had.

    Na het voor het eerst inschakelen ploppen er rechtsonder in beeld twee discrete meldingen tevoorschijn wanneer een proces voor het eerst contact met internet maakt. De eerste melding informeert je dat er een verbinding wordt gemaakt, de tweede geeft het scanresultaat weer van Virus­Total. Let er wel op dat GlassWire geen vervanging is voor je virusbescherming. Het houdt onder andere geen bestandstoegang in de gaten en draaiende processen worden niet aan een gedragskeuring onderworpen. Maar als second opinion is het een goede optie. Een andere veiligheidsmaatregel staat standaard aan: GlassWire informeert je wanneer er verbinding wordt gemaakt met een verdachte server. De producent geeft aan dat de lijst die daarvoor wordt gebruikt regelmatig wordt bijgewerkt. Maar de lijst inzien of zelf aanvullen is helaas niet mogelijk.

    Dataverkeer monitoren GlassWire melding virus netwerkverkeer

    Zodra de controle via VirusTotal is ingeschakeld, verschijnt behalve de melding bij de eerste keer verbinding maken naar buiten ook het resultaat van de VirusTotal-scan in beeld.

    Incognito surfen

    GlassWire logt ook het dataverkeer van je browser. In de analyse zie je geen volledige adressen terug, maar wel domeinen als www.ct.nl. Het registreren gebeurt ook als je met de browser in de incognito-optie internet opgaat. Om die sporen in de logbestanden te voorkomen, moet je GlassWire laten weten dat het moet stoppen met loggen. Klik linksboven op de GlassWire-menuknop en kies voor ‘Incognito’. Je kunt die optie ook aanzetten via een rechtermuisklik op het systeemvakpictogram. De analyse in de incognitomodus stopt dan totdat je de incognitomodus weer uitschakelt. In hetzelfde menu staat overigens ook ‘Snooze’, dat de meldingen 24 uur lang uitschakelt.

    Doorlezen is gratis, maar eerst even dit:

    Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

    Bekijk de abonnementen   Lees eerst verder

    Andere pc's controleren

    Met de gratis versie van GlassWire kun je ook het dataverkeer van een andere pc binnen hetzelfde netwerk in de gaten houden. Installeer de tool ook op de pc waarvan je het netwerkverkeer wilt monitoren. Schakel daarop bij de instellingen onder ‘Remote Access’ en dan op het tabblad ‘Remote Access’ de remote toegang in. Je moet een wachtwoord invoeren om de toegang af te schermen.

    Via de optie ‘Allow access only from IP:’ die daarna beschikbaar wordt, kun je een whitelist aanleggen van ip-adressen die de pc in de gaten mogen houden. Op de pc waarop je de data wilt bekijken, ga je in het menu naar ‘Server List’. Voeg het ip-adres en het wachtwoord in dat je zonet hebt ingesteld. Daarna krijgt het hoofdvenster links een keuzeoptie erbij om tussen de lokale pc en de pc in het netwerk te wisselen. Bij de toegang op afstand kun je alle analyse­functies gebruiken die je ook lokaal tot je beschikking hebt. Als je dat wilt, kun je de twee pc’s in beide richtingen aan elkaar knopen en ze beide zowel als client en als server gebruiken.

    Meer mogelijkheden

    Met de gratis versie van GlassWire kun je al erg goed uit de voeten. Het biedt een uitvoerig overzicht van het netwerkverkeer van je systeem. De producent biedt ook nog drie betaalde versies, waarmee je het verkeer niet alleen kunt nalopen, maar ook blokkeren. Dan kun je via de menu-optie ‘Firewall’ met een simpele klik een programma de toegang tot internet ontzeggen. Die instellingen zijn in profielen op te slaan waar je makkelijk tussen kunt wisselen. Een handige toepassing is bijvoorbeeld een profiel voor als je met mobiele data werkt, waarmee je alleen je browser en mailclient verbinding met internet laat maken.

    Dataverkeer monitoren GlassWire Android smartphone app

    Met GlassWire voor Android houd je overzicht over het dataverbruik van je apps.

    Als ander extraatje kun je met de betaalde versies verder terug in het verleden kijken, meerdere pc’s via het netwerk in de gaten houden en internettoegang automatisch blokkeren als je zelf niet achter de pc zit. GlassWire kan in de betaalde versies laten zien wie er nog meer in je netwerk rondhangt. De goedkoopste betaalde versie voor gebruik op een enkele pc heet Basic en kost 39 dollar voor een jaar. Wel jammer dat je pas na het drukken op de koopknop te zien krijgt dat het dus niet gaat om een eenmalige, maar jaarlijkse kostenpost. De premiumfuncties zijn in de gratis versie zeven dagen uit te proberen.

    GlassWire is er ook als gratis tool voor Android. Het aantal functies is vergeleken met de pc-versie daarbij wel een stuk kleiner, maar kernfuncties zoals meldingen wanneer een app voor het eerst verbinding met internet maakt en informatie over de hoeveelheid data die je hebt verbruikt, zitten er wel in.

    (Ronald Eikenberg, c’t magazine)

    Meer workshops, tips en reviews in c't magazine. Nieuwste uitgave: c't 05/2024

    Deel dit artikel

    Alieke van Sommeren
    Alieke van SommerenTypen geleerd op een 8086 met DOS 5.0 en al vroeg zelf aan het pc-(ver)bouwen geslagen. Speelt graag pc-games, houdt van gadgets en klikt ook wat rond op een MacBook.

    Lees ook

    Je Raspberry Pi op afstand bedienen? Zo krijg je het voor elkaar met SSH!

    De Raspberry Pi op afstand bedienen is handig en kan op verschillende manieren. Via SSH is het makkelijkste op te zetten, we laten zien hoe.

    TeamViewer op Ubuntu installeren & gebruiken: zo werkt het

    In dit artikel tonen we hoe je op afstand je Linux-computer met Ubuntu kunt beheren door TeamViewer te gebruiken. Voor degenen die niet bekend zijn me...

    0 Praat mee
    avatar
      Abonneer  
    Laat het mij weten wanneer er