Come sapere se il mio MacBook è stato spiato [chiuso]

2

Ho cercato di determinare se c'è malware sul mio Mac OS X 10.9.3, che potrebbe essere il keylogging o altre forme di intrusione non distruttiva.

Considerato il sospetto (non basato sulla tecnica) che la mia macchina è stata compromessa e che il compromesso potrebbe essere sopravvissuto a una cancellazione completa e alla reinstallazione del sistema operativo, mi chiedo quali passi potrei fare per determinare se la macchina è ancora compromessa . Sono non che chiedo aiuto per determinare se sono stato spiato personalmente, solo cercando di determinare se il mio laptop è sicuro. Non inviare commenti che spieghino perché è improbabile che qualcosa stia accadendo. Sto chiedendo informazioni sui passaggi tecnici che posso adottare per aumentare la sicurezza sul fatto che nessuno stia attualmente monitorando il mio laptop.

Passi che ho preso finora:

  1. Ispezionate manualmente diverse aree del mio disco usando gli strumenti di shell di base. Alcuni file sono stati sovrascritti inclusi i binari all'interno di specifiche directory dell'applicazione e un processo anomalo che è stato identificato come spyware che sono stato in grado di rimuovere, precedente per eventualmente cancellare il disco rigido e reinstallare OS X (over Air da un'altra macchina, poiché questo è un MacBook).

  2. Sophos AntiVirus installato (molti mesi dopo la reinstallazione del sistema operativo). La scansione Full HD non ha rilevato minacce. La scansione dei processi in background deve ancora avvisarmi di qualsiasi cosa.

  3. Wireshark ha rilevato diversi flussi di rete sospetti (per me) che inviano quantità variabili di pacchetti crittografati a intervalli regolari a diversi server, inclusi quelli senza voce DNS, alcuni da TLD * .nl o * .ch e alcuni che sono risultati essere spiegati. (Un processo chiamato SophosWeb sta inviando payload crittografati ogni pochi secondi, facendo ruotare le porte nell'intervallo 5K, avanti e indietro da un server registrato su Google. Quindi, sembra legittimo ...) Wireshark produce molti dati.

Sull'ultimo in particolare, dove la preoccupazione principale è spiare le mie attività o dati, non so come guada il rumore del traffico frequente tra il mio portatile, il router Verizon, il mio telefono ... Alcuni dei questo sembra completamente kosher, ma poi ci sono cose come gli scambi UPnP tra il mio portatile Apple e il router Verizon, che sono discutibilmente al sicuro, e difficile sapere come spegnere. Se chiudo Chrome posso ridurre il traffico a un livello sufficiente per indagare manualmente su ciascun server sconosciuto, ma non so cosa cercare.

    
posta Jason Boyd 22.07.2014 - 17:23
fonte

5 risposte

7

Riduci la tua esposizione

entro System Preferences > Sharing chiudi tutto ciò che non ti serve.

Per darti un esempio pratico, nel mio caso, è tutto spento.

Chiudi netbios :

cd /System/Library/LaunchDaemons
/usr/bin/sudo launchctl unload -w com.apple.netbiosd.plist
ps ax | grep 'PID|netbiosd'

Ciò potrebbe ridurre notevolmente il rumore di rete.

Cerca residui di crapware

Vedi Come eseguire la scansione di un Mac per rootkit e altri pericoli di sicurezza furtivi

Rileva perdita di dati di base

Questo non è a prova di proiettile, ma rileverà la perdita di dati più conosciuta e richiamerà a casa per aiutarti a concentrarti su problemi gravi.

Little Snitch 3

Questo è uno strumento fantastico. Non rileverà tutto ma ti aiuterà a ridurre il traffico anomalo a uno molto ridotto.

Cerca all'interno di un traffico ridotto

E ora al core business, guarda le strane connessioni residue:

netstat -A
tcpdump -i en1
wireshark
    
risposta data 22.07.2014 - 20:19
fonte
5

Non possiamo commentare la possibilità di un'infezione latente del tuo computer. Non abbiamo abbastanza informazioni e questo non è un forum di rimozione delle infezioni. Ma possiamo parlare delle tue domande più grandi.

Per sapere se la tua privacy è difficile. Non puoi provare un risultato negativo (nessuno ha visto la mia comunicazione, o nessuno ha visto nessuna delle mie comunicazioni), ma puoi monitorare il positivo (la comunicazione che sto inviando). Stai già facendo il secondo catturando i tuoi pacchetti di dati e rivedendo con Wireshark. Ti incoraggio a continuare a lavorare su questa strada.

Ci sono molti dati nel tipico flusso di pacchetti di un computer, e ci vuole tempo ed esperienza per guadare tutto, ma una volta ottenuto un controllo su di esso, sarai un tecnologo molto migliore. Non posso dirvi quante volte sono stato in grado di aiutare una vasta gamma di professionisti IT potendo interpretare una traccia di pacchetti in cui altri non potevano o non avevano provato.

Le tue risposte sono in quel flusso di pacchetti. La curva di apprendimento è ripida, ma i premi sono proporzionali allo sforzo. È così che saprai se il tuo computer sta comunicando a tua insaputa.

    
risposta data 22.07.2014 - 18:55
fonte
2

Risposta lunga: Nulla di ciò che hai descritto "post OS reinstall" suona anomalo - con la natura senza confini di Internet, non sorprende che molti dei tuoi file legittimi siano destinati a server in altri paesi (o senza voci DNS) ). Mentre le applicazioni che utilizzano UPnP per funzionare potrebbero comportare un rischio maggiore di intrusione o sfruttamento rispetto alle regole definite staticamente in un firewall con filtro a pacchetti di stato, non sono necessariamente dannose di per sé. Mentre a volte questi traffici diventano maliziosi, devi anche prendere in considerazione mezzi e motivi. I mezzi per compromettere / monitorare continuamente il tuo Macbook anche attraverso una reinstallazione del SO sono disponibili per un (proporzionalmente) piccolo numero di attori (stato o altro), e dubito che sprecherebbero tempo o risorse per te, a meno che tu non sia abbastanza importante essere spiato Che cosa valga la pena spiare? Se hai effettivamente informazioni che meritano di essere compromesse, andrai da persone che potrebbero effettivamente aiutarti in questa situazione ... non lo Stack Exchange. In poche parole, probabilmente non vale la pena spiare.

Risposta breve: badBIOS no, e non sembra neanche questo.

    
risposta data 22.07.2014 - 17:38
fonte
0

Il mio strumento di riga di comando unixoid più utile per ottenere i file di registro (qualsiasi cosa, ma si può fare anche con il traffico di rete, se si può reindirizzare a un output basato sulla linea) è grep inverso ( grep -v ). White-list e filtra tutto ciò che sai che non deve preoccuparti. Resta l'interessante. Forse questo è anche utilizzabile per il monitoraggio permanente (anche se può produrre molto carico di sistema, quindi non l'ho provato) - chissà se il malware è solo silenzioso al momento, inviando solo quando nessuno è connesso?

    
risposta data 06.12.2016 - 10:24
fonte
0

Se si sospetta che il proprio sistema sia compromesso, si dovrebbe anche presumere che l'autore dell'attacco (persona o malware) stia facendo passi per rimanere nascosto. O in altre parole: non fidarti delle informazioni ottenute da un sistema potenzialmente compromesso.

Dovresti ascoltare il traffico di rete utilizzando un altro sistema. Controllare il traffico era l'idea giusta. Passare attraverso tutto il traffico che vedi per spiegarlo e (si spera non) finire con qualcosa che non può essere spiegato se non malizioso, sarà un bel po 'di lavoro, ma come già spiegato da Daniela, chiudendo i servizi sulla macchina discutibile lo ridurrà.

Ci sono diversi strumenti per rilevare un compromesso, ma ancora una volta, finché li si esegue sul sistema potenzialmente compromesso, il loro output non è affidabile. Di nuovo, puoi ispezionare la macchina dal altro sistema - se il tuo Mac può avviarsi in modalità disco di destinazione, puoi montarlo come un'unità esterna.

    
risposta data 06.12.2016 - 17:17
fonte

Leggi altre domande sui tag