¿Qué debo verificar en la computadora perdida temporalmente?

Navega tus respuestas
1

Perdí físicamente mi computadora portátil que contenía información confidencial y un extraño la recogió. Por supuesto, estaba demasiado confiado y no tenía la contraseña bloqueada. Fue muy cortés al devolverlo a la mañana siguiente, pero algo en él me pareció un poco extraño. Quería intentar verificar si él había intentado copiar alguna de mi información confidencial.

Tenía gmail abierto en ese momento y cuando abrió la computadora, gmail registró la dirección IP a la que se conectó. Pensé que era extraño que fuera una dirección IPv6. No creía que estos fueran asignados por los ISP todavía. También hice las comprobaciones fáciles: no había nada sospechoso en el historial del navegador y mis recientes comandos de terminal eran todas las cosas que había ingresado.

¿Hay algo más que pueda verificar? Los elementos que me preocupan son las transferencias masivas o los inicios de sesión a sitios web con contraseñas guardadas. Obviamente, nunca podré revisar todo, pero me gustaría saber sobre los próximos pasos plausibles. Además, estoy en MacOS.

Por supuesto, cambié todas mis contraseñas y cambié el sistema que hizo que la computadora se perdiera físicamente.

    
pregunta ericksonla 28.06.2017 - 21:02
fuente

2 respuestas

3

Depende de tu nivel de paranoia

Dependiendo de las habilidades y la malicia de este extraño, hay muchas cosas que podría haber hecho.

  • Inicie sesión en cualquier cuenta con credenciales almacenadas en su navegador (fácil)
  • Lea sus correos electrónicos en busca de información confidencial (fácil)
  • Envíe correos electrónicos no deseados a todos sus contactos (fácil)
  • Copie sus documentos en una unidad USB (fácil)
  • Clone todo su disco duro para extraer elementos como números de tarjetas de crédito y otra información confidencial (intermedia)
  • Instale algún tipo de virus para obtener el control de su computadora portátil y lo espíe en una fecha posterior (OS X puede obtener virus, son mucho más raros que Windows) (intermedio)

Después de cambiar las contraseñas, probablemente deberías buscar virus. Asistencia al cliente de Apple puede ayudarlo con esto. Si eres una persona realmente paranoica, es posible que incluso desees reinstalar OS X . Además, tenga cuidado con el robo de su identidad en caso de que el Sr. Stranger haya encontrado el número de su tarjeta de crédito o algo similar cuando potencialmente haya buscado en su disco duro.

IPv6

Muchos ISP ya han comenzado a implementar parcialmente IPv6. Tengo Comcast y tengo IPv6 aquí en Minnesota.

    
respondido por el J. Rich 29.06.2017 - 01:38
fuente
1

Este tipo de trabajo forense es más fácil de hacer si el registro está habilitado de antemano, pero es posible que aún puedas encontrar algo. Me gustaría comprobar los siguientes elementos

  1. System.Log: si alguien ha conectado un dispositivo USB, puede haber un nota de ello aquí. Los registros del sistema se sobrescriben en algunos punto, por lo que no puede encontrar nada aquí.
  2. Hora del último acceso a la hora del archivo: el sistema de archivos mantiene la última fecha / hora en que se accedió al sistema de archivos. Si no has accedido estos archivos después de recuperar su máquina, verifique la última Tiempo accedido.

Esta no es una lista exhaustiva de herramientas / técnicas forenses. No soy el que está más familiarizado con macOS, por lo que es posible que pueda obtener una respuesta más detallada sobre la manzana SE.

    
respondido por el user52472 29.06.2017 - 20:08
fuente

Lea otras preguntas en las etiquetas

¿Cómo proteger su Mac al descargar torrents? [cerrado] ¿Es necesario un antivirus en mi caso? [cerrado]