Little Snitch segnala connessioni in uscita da Mach Kernel - sono infetto?

3

Controllo tutto il mio traffico usando Little Snitch. Recentemente, ho notato strani indirizzi IP che collegano il processo "mach_kernel". La maggior parte di questi indirizzi IP sembra provenire da altri programmi (ad esempio, potrei vedere un indirizzo Google collegato a mach_kernel quando sto navigando su Gmail tramite il mio browser).

Il mio Mac è infetto? La preoccupazione principale qui è che ho un virus che è il traffico MitMing di altri programmi sulla mia scatola. Come posso sapere se questo è il caso?

    
posta Dan Jaouen 15.01.2015 - 04:24
fonte

1 risposta

1

Ho chiesto al team di sviluppo di Little Snitch su obdev riguardo a questo problema. Ecco la risposta:

In fact local traffic over AFP or SMB protocol is routed by the mach_kernel process on newer OS X systems.

It is defined as /mach_kernel on 10.10.x. I'm on OS X 10.11.4 here, where the process path is now /System/Library/Kernels/kernel

Unfortunately it can not be treated the same way as other processes, but usually your local network rules should cover all relevant connections for it.

But I have to admit that I also remember a case where external connections are associated with the mach_kernel by mistake and it seems to happen when the tables in the Little Snitch Network Monitor cache got mixed somehow. Do you perhaps experience such external connections associated with the mach_kernel process? Possibly thats an issue of memory - happening when your system (including the Little Snitch Network Monitor) is up running for quite some time… I already talked to our developers about that and we will keep an eye on that issue.

...

Simon

"le tabelle della cache di Little Snitch Network Monitor si sono mescolate in qualche modo"? Sul serio?

Sembra infatti che accada dopo che la mia macchina è stata in esecuzione per giorni o settimane senza riavvio. E un riavvio lo aggiusterà temporaneamente. È possibile che questo sia semplicemente un bug in Little Snitch.

Tuttavia, trovo dubbio che il traffico instradato su mach_kernel "non possa essere trattato allo stesso modo degli altri processi". Non sono informato su come Little Snitch sia stato architettato. Potrebbe non essere in grado di girare nello spazio del kernel (ring 0), ma trovo estremamente conveniente nel clima di massa del governo di oggi che spera che il kernel OSX possa semplicemente prendere il sopravvento e aggirare Little Snitch. Credo che IPTables non avrebbe problemi simili nel bloccare il traffico, ma è sicuramente di un'architettura e di un modello utente completamente diversi.

Vedi qui per ulteriore riferimento: link

Il passaggio a FOSS / Linux sembra sempre più simile al percorso da percorrere.

    
risposta data 12.07.2016 - 22:56
fonte

Leggi altre domande sui tag