Cómo saber si mi MacBook está siendo espiada [cerrada]

Navega tus respuestas
2

He estado tratando de determinar si hay malware en mi OS X 10.9.3 Mac, es decir, podría estar haciendo keylogging u otras formas de intrusión no destructiva.

Teniendo en cuenta la sospecha (no basada en la técnica) que tengo de que mi máquina estaba comprometida y que el compromiso pudo haber sobrevivido a una limpieza completa de HD y reinstalación del sistema operativo, me pregunto qué pasos podría tomar para determinar si la máquina aún está comprometida. . no estoy pidiendo ayuda para determinar si estoy siendo espiado personalmente, solo estoy tratando de determinar si mi computadora portátil está segura. No hay comentarios que expliquen por qué es improbable que algo esté sucediendo. Estoy preguntando sobre los pasos técnicos que puedo tomar para aumentar la confianza en que nadie está monitoreando mi computadora portátil.

Pasos que he tomado hasta ahora:

  1. Inspeccioné manualmente varias áreas de mi disco usando herramientas básicas de shell. Algunos archivos se sobrescribieron, incluidos los binarios dentro de directorios de aplicaciones específicas, y un proceso fraudulento que se identificó como un software espía que pude eliminar, anterior , para finalmente limpiar el disco duro y reinstalar OS X otra máquina, ya que este es un MacBook).

  2. Instalé Sophos AntiVirus (muchos meses después de la reinstalación del sistema operativo). La exploración Full HD no encontró amenazas. El proceso de escaneo en segundo plano aún no me ha avisado de nada.

  3. Wireshark ha encontrado varias transmisiones de red sospechosas (para mí) que envían cantidades variables de paquetes cifrados a intervalos regulares a varios servidores, incluidos los que no tienen entrada de DNS, algunos de los dominios * .nl o * .ch, y Algunos que han resultado ser explicados. (Un proceso llamado SophosWeb está enviando cargas cifradas cada pocos segundos, girando los puertos en el rango de 5K, de un servidor registrado a Google. Entonces, suena legítimo ...) Wireshark produce una gran cantidad de datos.

En el último en particular, donde la preocupación final es espiar mis actividades o datos, no sé cómo vadear el ruido del tráfico frecuente entre mi computadora portátil, el enrutador de Verizon, mi teléfono ... Algunos de Esto parece completamente kosher, pero luego hay cosas como los intercambios UPnP entre mi computadora portátil Apple y el enrutador Verizon, que son cuestionadamente seguros en el mejor de los casos y difíciles de saber cómo apagarlos. Si cierro Chrome, puedo reducir el tráfico lo suficiente como para investigar manualmente cada servidor desconocido, pero no sé qué buscar.

    
pregunta Jason Boyd 22.07.2014 - 17:23
fuente

5 respuestas

7

Reduce tu exposición

dentro de System Preferences > Sharing cierra todo lo que no necesitas.

Para darle un ejemplo práctico, en mi caso, todo está apagado.

Apagar netbios : 

cd /System/Library/LaunchDaemons
/usr/bin/sudo launchctl unload -w com.apple.netbiosd.plist
ps ax | grep 'PID|netbiosd'

Esto podría reducir en gran medida el ruido de la red.

Escanear en busca de crapware residual

Vea Cómo escanear una Mac en busca de rootkits y otros riesgos de seguridad sigilosos

Detectar fuga de datos básicos

Esto no es a prueba de balas, pero detectará la fuga de datos más conocida y llamará a casa para ayudarlo a concentrarse en problemas graves.

Little Snitch 3

Esta es una herramienta fantástica. No lo detectará todo, pero le ayudará a reducir el tráfico anormal a uno muy reducido.

Caza dentro de un tráfico reducido

Y ahora al negocio central, mira las conexiones extrañas residuales: 

netstat -A
tcpdump -i en1
wireshark
    
respondido por el daniel Azuelos 22.07.2014 - 20:19
fuente
5

No podemos comentar sobre la posibilidad de una infección latente en su computadora. No tenemos suficiente información, y esto no es un foro de eliminación de infecciones. Pero podemos hablar de tus preguntas más importantes.

Saber si tienes privacidad es complicado. No puede mostrarse negativo (nadie ha visto mi comunicación, o todos no han visto ninguno de mis comunicaciones), pero puede monitorear lo positivo (la comunicación que estoy enviando). Ya estás haciendo esto último al capturar tus paquetes de datos y revisar con Wireshark. Os animo a seguir trabajando por este camino.

Hay una gran cantidad de datos en el flujo de paquetes de una computadora típica, y se necesita tiempo y experiencia para analizarlos todos, pero una vez que lo conozca, será un técnico mucho mejor. No puedo decirle cuántas veces he podido ayudar a una amplia gama de profesionales de TI al poder interpretar un seguimiento de paquetes donde otros no pudieron o no intentaron.

Sus respuestas están en ese flujo de paquetes. La curva de aprendizaje es empinada, pero las recompensas son proporcionales al esfuerzo. Así es como sabrás si tu computadora se está comunicando sin tu conocimiento.

    
respondido por el schroeder 22.07.2014 - 18:55
fuente
2

Respuesta larga: nada de lo que describió como "posterior a la reinstalación del sistema operativo" suena anormal: debido a la naturaleza sin fronteras de Internet, no es sorprendente que gran parte de su tráfico legítimo se dirija a servidores en otros países (o sin entradas de DNS). ). Si bien las aplicaciones que utilizan UPnP para funcionar pueden ponerlo en mayor riesgo de intrusión o explotación que las reglas definidas de forma estática en un firewall de filtrado de paquetes con estado, no son necesariamente maliciosos en sí mismos. Si bien algunas veces estos tráficos son maliciosos, también debe considerar los medios y los motivos. Los medios para comprometer / monitorear continuamente su Macbook, incluso a través de una reinstalación del sistema operativo, están disponibles para un número reducido (proporcionalmente) de actores (estatales o no), y dudo que desperdicien tiempo o recursos en usted, a menos que sea lo suficientemente importante. para ser espiado. ¿En qué tienes que espiar? Si realmente tuviera información que valga la pena comprometer, estaría acudiendo a personas que realmente podrían ayudarlo en esta situación ... no a Stack Exchange. En pocas palabras, probablemente no valga la pena espiar.

Respuesta corta: badBIOS no lo fue, y tampoco suena como si esto fuera así.

    
respondido por el Panther Modern 22.07.2014 - 17:38
fuente
0

Mi herramienta de línea de comandos unixoid más útil para atravesar los archivos de registro (cualquiera, pero puede hacerlo con el tráfico de su red también, si puede canalizarlo a una salida basada en línea) es grep inverso ( grep -v ). Lista blanca y filtre todo lo que sabe que no necesita preocuparse. Sigue siendo el interés. Tal vez esto sea incluso utilizable para monitoreo permanente (aunque puede producir mucha carga en el sistema entonces, no lo intenté). ¿Quién sabe si el malware está solo en silencio en este momento, enviando solo cuando nadie ha iniciado sesión?

    
respondido por el Paramaeleon 06.12.2016 - 10:24
fuente
0

Si sospecha que su sistema está comprometido, también debe asumir que el atacante (persona o malware) está tomando medidas para permanecer oculto. O en otras palabras: no confíe en la información que obtiene de un sistema potencialmente comprometido.

Debería escuchar el tráfico de la red utilizando otro sistema. Verificar el tráfico fue la idea correcta. Ir a través de todo el tráfico que ve para explicarlo y (con suerte no) terminar con algo que no se puede explicar, excepto como malicioso, va a ser un poco de trabajo, pero como ya lo explicó Daniel, cerrar los servicios en la máquina cuestionable lo reducirá.

Hay varias herramientas para detectar un compromiso, pero una vez más, siempre que las ejecute en el sistema potencialmente comprometido, su salida no es confiable. Una vez más, puede inspeccionar la máquina desde otro sistema: si su Mac puede iniciarse en el modo de disco de destino, puede montarla como una unidad externa.

    
respondido por el Tom 06.12.2016 - 17:17
fuente

Lea otras preguntas en las etiquetas

openssl speed me dice que blowfish es mucho más rápido que md5, ¿qué me estoy perdiendo? ¿Es una debilidad poder ver los scripts del lado del servidor?