Verifica che il firmware del Mac non sia compromesso ... come fare?

Question

Verifica che il firmware del Mac non sia compromesso ... come fare?

#1 da (7 voti)
#2 da (2 voti)
#3 da (1 voti)
#4 da (1 voti)

8

Ho un computer Mac modello in ritardo. Ho permesso a qualcuno di collegare un'unità USB e la mia attività di rete è stata modificata in seguito.

Normalmente, Little Snitch segnalerà ogni app che utilizza Internet. Ogni volta che la luce del mio router lampeggia, Little Snitch mostra l'app (o il sistema) che lo sta facendo.

Dopo aver permesso a questa persona di inserire la sua chiavetta USB nel mio Mac, il router mostra un flash occasionale o due che non appaiono in Little Snitch. Anche Activity Monitor mostra i dati inviati, ma Little Snitch non mostra l'app che lo sta facendo.

Ho inserito i miei dischi di sistema e ho eseguito un ripristino da un backup della macchina del tempo che si è verificato prima che l'USB venisse inserito. Ho formattato e ripristinato completamente l'unità.

Il router e il monitor dell'attività mostrano ancora l'attività di rete occasionale.

Quindi le mie domande sono:

Come faccio a sapere che cosa sta inviando i dati?
Da quando ho ripristinato da un backup precedente di una macchina del tempo, posso solo presumere che il firmware sia stato modificato ... quindi come faccio a verificare che non lo sia? C'è un modo per eseguire una somma di controllo o un controllo hash? C'è qualcos'altro che dovrei controllare o considerare?

Suppongo che questa persona fosse in grado di osservare la mia password di amministratore e avrebbe pieno accesso alla macchina.

A questo punto sto pensando di prendere un nuovo Mac del tutto perché non so come fermare o almeno determinare quale sia questo traffico in uscita. Sono grato per qualsiasi aiuto (perché i nuovi Mac non sono economici).

operating-systems network macosx rootkits

posta Scott Pack 22.12.2010 - 13:45

fonte

4 risposte

Leggi altre domande sui tag operating-systems network macosx rootkits

Devo autenticare l'utente ad ogni richiesta? Usa openssl per verificare singolarmente i componenti di una catena di certificati

score 7 · Answer 1

Prova a utilizzare Wireshark per eseguire un'acquisizione di pacchetti e vedere come vengono inviati i dati.

Quindi dovresti almeno essere in grado di dire se è qualcosa di cui preoccuparsi.

In alternativa prova a utilizzare il comando netstat -p che elencherà quali programmi sono attualmente elencati sulle porte e puoi vedere se c'è qualcosa di strano.

score 2 · Answer 2

Se sei preoccupato che il tuo firmware sia compromesso, non c'è quantità di software che puoi installare sulla macchina che puoi essere certo che funzioni correttamente.

Non so nulla di Little Snitch, quindi non posso commentare. Si attiva sul traffico ARP? La luce del tuo router lampeggiante è una misura del traffico davvero pessima. Sei positivo non ha mai battuto le palpebre senza attivare un avviso?

Una nuova macchina potrebbe utilizzare NTP o aggiornamenti di sistema (che potrebbero attivare o non attivare un avviso).

score 1 · Answer 3

Come hai cambiato l'attività? La mia raccomandazione è che in primo luogo si stabilisca che ci sia effettivamente movimento di dati. Dovresti avere una macchina separata che annusa la tua rete. Inoltre, come fai a sapere che non è il router che non è stato violato? È più probabile.

score 1 · Answer 4

Il tuo router ha Linux, o è linux-flashable? (DD-WRT o altro). In tal caso, è possibile eseguire tshark sul router per registrare tutto il traffico e confrontarlo con un'acquisizione locale di wireshark. Dovrebbero essere identici (eccetto per il traffico che è interamente all'interno di 127.0.0.1). Potrebbe essere più semplice avere un amico con un laptop da monitorare fianco a fianco, in realtà.

Considerare l'esecuzione di tripwire per eseguire un controllo completo del sistema, quindi arrestare l'avvio da CD per eseguire un altro controllo completo offline. Se non corrispondono, scopri perché e cosa è cambiato.

Un'ultima opzione è quella di rispecchiare semplicemente EFI, le unità disco e qualsiasi altra cosa che si ritiene possa essere interessata. Questo dovrebbe cancellarlo se è davvero firmware, giusto?

Speriamo che sia solo paranoia, ma la paranoia è un buon modo per imparare nuovi trucchi.