¿Cómo buscar evidencia de piratería de webcam?

No hay una buena forma de software para hacer esto.

Supervisar el tráfico saliente en la computadora con la cámara no es una buena solución ya que sus estadísticas de tráfico pueden ser falsas. Si alguien obtiene un buen acceso a su cámara web para desactivar la luz, no es un gran paso falsear estadísticas de tráfico. Podría medir el tráfico en su enrutador, pero luego tendría que leer las estadísticas en otra computadora y, además, es extremadamente inconveniente, el enrutador también puede ser atacado.

Me protejo de camfecting con una cinta gruesa . Puedo sacarlo (en parte) cuando lo necesito, y como mi teléfono ya incluye un micrófono que me puede tocar, no me importa el micrófono de la cámara web, al menos la mayoría de las veces.

Si también cuidó de su micrófono, o si tenía un sombrero de papel de aluminio, le sugeriría que deshabilite completamente el micrófono y la cámara en el lado del hardware , la mayoría de las veces, quitándolo. La NSA recomienda para quitar la cámara ( pdf ). En el pdf hay consejos adicionales sobre cómo protegerse de las infecciones:

  

La mejor manera de desactivar una cámara iSight integrada es tener una   Técnico certificado de Apple quitarlo.   Colocando cinta opaca sobre el   La cámara es menos segura pero sigue siendo útil. Un menos persistente pero aún así.   Un método útil es eliminar /System/Library/Quicktime/QuicktimeUSBVDCDigitizer.component , lo que evitará algunos    Los programas acceden a la cámara.

     

Para desactivar el micrófono, incluso   si esto significa paralizar el sistema de sonido, elimine el siguiente archivo de    /System/Library/Extensions : IOAudioFamily.kext

No sobreestime las soluciones del lado del software arriba. A través de un ataque de escalada de privilegios pueden ser derrotados.

Puedes comprarte una cámara web usb barata y usarla en lugar de la incorporada, y cuando no la necesites, simplemente puedes desconectarla.

Verifique el nombre del dispositivo a través del Administrador de dispositivos en Windows.

Cuando tenga el nombre, puede buscarlo en Process Explorer. ¿Hay algún proceso ejecutando su dispositivo?

Quizás la mejor y única forma de determinar si su cámara web está transmitiendo imágenes sin su conocimiento sería utilizar una herramienta de monitoreo de red para inspeccionar los paquetes de tráfico.

El hecho de que su tráfico saliente sea de 1kB / s no significa que las imágenes aún no se envíen, solo lentamente o divididas.

Lo mejor que puedes hacer es instalar algo como wireshark en una computadora que esté conectada a tu red pero no la computadora infectada sospechosa.

Consulte esto para obtener más información sobre las herramientas y la respuesta a incidentes.

También puede interesarle firewalls basados en enrutadores .

Actualización: La clave aquí es mantener una responsabilidad positiva para todo el tráfico de su red, es decir, saber cuánto se supone que utiliza cada proceso / servicio y verificar que no se estén produciendo otras transmisiones. Digo que use wireshark para hacer esto porque simplemente puede filtrar todo el tráfico pero las aplicaciones específicas (o puntos finales). Junto con un firewall, también puede filtrar el tráfico a ese nivel y ver toda la información a través de wireshark (o un simple tcpdump). También puedes jugar usando un IDS (sistema de detección de intrusos) aunque simplemente pondría cinta sobre la cámara web (o la quitaría).

La única manera realmente precisa de monitorear el tráfico web desde su Mac es forzando el tráfico a través de una máquina de pasarela, como un enrutador personalizado o una PC (¿Linux?) con dos puertos Ethernet. Puede ejecutar el software de rastreo jpeg / mpeg como dvbsnoop o driftnet para detectar cualquier imagen o cuadro de video que se transmita a través de su red, o nettop (o tcpdump o Wireshark) para determinar el tamaño y posiblemente el contenido de los paquetes que su Mac está transmitiendo. Por ejemplo, si su Mac está transmitiendo constantemente 250 kbps en un estado "inactivo", es muy sospechoso.