Recientemente actualicé OS X 10.10 (Yosemite) a OS X 10.11 (El Capitán) desde una unidad de arranque que tiene la barra Genius de una de las tiendas Apple de mi ciudad, e instalé la actualización 10.11.1 desde mi red wifi en el hogar. El Macbook que uso actualmente tiene aproximadamente un mes de antigüedad. Practico prácticas de navegación segura y tengo instalado Little Snitch.
Recientemente he estado (quizás demasiado) paranoico porque en mi máquina anterior, definitivamente fui comprometido debido al software descifrado (lección aprendida), así que borré el disco duro y reinstalé el sistema operativo desde una unidad de arranque en un Apple aprobado Centro de reparaciones, pero seguí notando comportamientos que consideraría sospechosos. Reinstalando el sistema operativo desde una copia de seguridad base, cambiando todas las contraseñas, y luego notando un comportamiento extraño. Solo un ciclo interminable de hacer esto.
E incluso en este nuevo Macbook. Después de otro borrado del disco duro y una reinstalación de una copia de seguridad base que hice en la tienda de Apple para este nuevo Macbook, he estado notando un comportamiento extraño o sospechoso. En este caso, inicié sesión en iCloud en mi Macbook y mi iPhone, donde eliminé todas las entradas del calendario agregadas anteriormente y volví a agregarlas manualmente después del proceso de cambiar todas mis contraseñas. Esto fue por la noche.
Hasta ahora, todo bien. A la mañana siguiente, cuando enciendo mi Macbook por primera vez en el día y reviso mi calendario, se editó una entrada que definitivamente no hice y no quise editar. Reduje el tiempo de la edición entre la noche en que volví a agregar todas mis entradas y cuando encendí mi Macbook por primera vez al día siguiente, lo hice restaurando la última copia de seguridad del calendario (con fecha de hoy, XX: XXam ') que está disponible cuando uno inicia sesión en iCloud a través de un navegador (la copia de seguridad tenía la edición que no hice).
Ahora, uso Little Snitch para monitorear la actividad de la red. No noto nada inusual cuando estoy usando mi Macbook (a excepción de un intento de conexión aleatoria a google.com en el puerto 80 cuando todas mis conexiones de Google están a través del puerto 443).
Sin embargo, dado que potencialmente, quien sea o lo que haya podido editar mi entrada del calendario lo hizo cuando estaba dormido y mi Macbook no estaba encendida, observar a Little Snitch por una actividad inusual en la red cuando en realidad estoy usando mi Macbook no tendría sentido , si?
No estoy seguro de qué hacer en este momento. He borrado y reinstalado muchas veces y siempre noto algo digno de sospecha.
Editar:
-
No es un calendario compartido y no he proporcionado voluntariamente a nadie los detalles de mi ID de Apple.
-
Si este compromiso todavía no me asustara un poco, el "comportamiento extraño" probablemente no se consideraría extraño. A veces creo que estoy haciendo clic en el método abreviado de teclado para una nueva pestaña. Pero Chrome cierra la ventana abierta actual, pero la aplicación todavía está abierta. Cuando hago clic en el ícono de la aplicación en mi dock, la ventana con todo lo que estoy explorando vuelve a aparecer. En general, verías ese navegador minimizado en tu dock, pero nunca aparece allí. También solo movimientos de movimiento hacia arriba / abajo en Chrome a velocidades que no se observan en los accesos directos del teclado hacia arriba o hacia abajo. Esto podría ser un error en Chrome, pero no estoy muy seguro. A veces recibo alertas de conexión para sitios web. Estoy 100% seguro de que la hubiera hecho permanente la primera vez que los obtuve. Podría ser un error de desarrollo, pero dado que hacer que las reglas sobre lo que permitas / rechaces sea permanente es una parte realmente importante de LS, creo que los desarrolladores darán un paso para solucionarlo lo antes posible si se tratara de un error.
-
La copia de seguridad automática anterior a la de edición extraña es irrelevante porque era una copia de seguridad de cuando había realizado una restauración anterior.
Supongamos que esta copia de seguridad básica que hice en la tienda de Apple (el sistema operativo reinstalado, cuatro aplicaciones de terceros [Chrome, Little Snitch, Flux y la aplicación para computadora portátil Spotify] se descargan directamente de los desarrolladores y un par de podcasts de la tienda de iTunes) está de alguna manera comprometida (descargué estas cosas a través del wifi no seguro de la tienda). De alguna manera, hay una puerta trasera o una RAT en la copia de seguridad.
Solo tengo un conocimiento básico de infosec, pero supongo que con malware de esa naturaleza, es posible que alguien acceda a la aplicación de calendario conectada a iCloud en mi computadora portátil como si estuvieran físicamente sentados frente a mi Macbook. Debido a que reduje el tiempo en que se realizó la edición cuando estaba dormido y mi Macbook estaba apagada, me imagino que la persona que hizo la edición se encuentra potencialmente en una zona horaria diferente.