Verifique que el firmware de Mac no esté pirateado ... ¿cómo hacerlo?

Question

Verifique que el firmware de Mac no esté pirateado ... ¿cómo hacerlo?

#1 de Mark Davidson (7 votos)
#2 de rox0r (2 votos)
#3 de vy32 (1 votos)
#4 de SilverbackNet (1 votos)

8

Tengo una computadora Mac de último modelo. Permití que alguien conecte una unidad USB y la actividad de mi red cambió posteriormente.

Normalmente, Little Snitch informará todas las aplicaciones que utilizan Internet. Cada vez que la luz de mi enrutador parpadea, Little Snitch muestra la aplicación (o sistema) que lo está haciendo.

Después de permitir que esta persona inserte su unidad USB en mi Mac, el enrutador muestra uno o dos flashes ocasionales que no aparecen en Little Snitch. Incluso el Monitor de actividad muestra los datos que se envían, pero Little Snitch no muestra cómo la aplicación lo hace.

Inserté mis discos del sistema e hice una restauración desde una copia de seguridad de la máquina que se produjo antes de que se conectara el USB. Formateé y restauré completamente la unidad.

El enrutador y el monitor de actividad siguen mostrando la actividad ocasional de la red.

Así que mis preguntas son:

¿Cómo puedo saber qué está enviando los datos?
Desde que restauré desde una copia de seguridad anterior de la máquina, solo puedo asumir que se modificó el firmware ... ¿entonces cómo verifico que no fue así? ¿Hay una manera de ejecutar una suma de comprobación o comprobación de hash? ¿Hay algo más que debería estar revisando o considerando?

Supongo que esta persona pudo observar mi contraseña de administrador y tendría acceso completo a la máquina.

En este punto, estoy considerando obtener un nuevo mac por completo, ya que no sé cómo detener o al menos determinar qué es este tráfico saliente. Estoy agradecido por cualquier ayuda (porque las nuevas Mac no son baratas).

operating-systems network macosx rootkits

pregunta Scott Pack 22.12.2010 - 13:45

fuente

4 respuestas

Lea otras preguntas en las etiquetas operating-systems network macosx rootkits

¿Debo autenticar al usuario en cada solicitud? ¿Cómo se filtra el DNS? [duplicar]

score 7 · Answer 1

Intente usar Wireshark para realizar una captura de paquetes y ver qué datos se están enviando.

Entonces, al menos deberías poder decir si es algo de qué preocuparse.

Alternativamente, intente usar el comando netstat -p que mostrará una lista de los programas que están actualmente enlistando en los puertos y puede ver si hay algo extraño.

score 2 · Answer 2

Si le preocupa que su firmware sea pirateado, no hay una cantidad de software que pueda instalar en la máquina que pueda estar seguro de que funciona correctamente.

No sé nada acerca de Little Snitch, así que no puedo comentarlo. ¿Se dispara en el tráfico ARP? El parpadeo de la luz de su enrutador es una muy mala medida del tráfico. ¿Estás seguro de que nunca parpadeó sin activar una alerta?

Una nueva máquina podría estar utilizando NTP o actualizaciones del sistema (que pueden o no activar una alerta).

score 1 · Answer 3

1

¿Cómo cambió tu actividad? Mi recomendación es que primero establezca que realmente hay movimiento de datos. Debes tener una máquina separada para detectar tu red. Además, ¿cómo sabes que no fue el enrutador el que no fue hackeado? Eso es más probable.

respondido por el vy32 22.12.2010 - 13:47

fuente

score 1 · Answer 4

¿Su enrutador tiene Linux, o es compatible con Linux? (DD-WRT u otra opción). Si es así, puede ejecutar tshark en el enrutador para registrar todo su tráfico y compararlo con una captura local de wirehark. Deben ser idénticos (excepto para el tráfico que está completamente dentro de 127.0.0.1). Podría ser más sencillo que un amigo venga con una computadora portátil para monitorear de lado a lado, en realidad.

Considere la posibilidad de ejecutar tripwire para realizar una auditoría completa de su sistema, y luego apagar para iniciar desde el CD y ejecutar otra auditoría completa sin conexión. Si no coinciden, averigüe por qué y qué cambió.

Una opción final es simplemente volver a flashear el EFI, las unidades de disco y cualquier otra cosa que creas que pueda verse afectada. Eso debería eliminarlo si es realmente firmware, ¿no?

Esperemos que sea solo paranoia, pero paranoia es una buena manera de aprender nuevos trucos.