it-swarm-es.com

Verifique que el firmware de Mac no esté pirateado ... ¿cómo se hace?

Tengo una computadora Mac de último modelo. Permití que alguien conectara una unidad USB y mi actividad de red cambió después.

Normalmente, Little Snitch informará sobre todas las aplicaciones que utilicen Internet. Cada vez que la luz de mi enrutador parpadea, Little Snitch muestra la aplicación (o sistema) que lo está haciendo.

Después de permitir que esta persona insertara su unidad USB en mi Mac, el enrutador muestra un destello ocasional o dos que no aparecen en Little Snitch. Incluso Activity Monitor muestra los datos que se envían, pero Little Snitch no muestra que la aplicación lo haga.

Inserté los discos de mi sistema e hice una restauración desde una copia de seguridad de la máquina del tiempo que ocurrió antes de que se instalara el USB. Formateé y restauré completamente la unidad.

El enrutador y el monitor de actividad aún muestran la actividad ocasional de la red.

Entonces mis preguntas son:

  1. ¿Cómo puedo saber qué está enviando los datos?

  2. Dado que restauré desde una copia de seguridad de una máquina del tiempo anterior, solo puedo asumir que el firmware se modificó ... entonces, ¿cómo verifico que no lo fue? ¿Hay alguna forma de ejecutar una suma de cheques o una verificación de hash? ¿Hay algo más que deba comprobar o considerar?

Supongo que esta persona pudo observar mi contraseña de administrador y tendría acceso completo a la máquina.

En este punto, estoy considerando comprar una nueva Mac, ya que no sé cómo detener o al menos determinar qué es este tráfico saliente. Agradezco cualquier ayuda (porque las nuevas Mac no son baratas).

8
mobileGuy

Intente usar Wireshark para hacer una captura de paquetes y ver qué datos se están enviando.

Entonces, al menos, debería poder decir si hay algo de qué preocuparse.

Alternativamente, intente usar el netstat -p comando que mostrará una lista de los programas que están listados actualmente en los puertos y podrá ver si hay algo extraño.

7
Mark Davidson

Si le preocupa que su firmware haya sido pirateado, no hay cantidad de software que pueda instalar en la máquina que pueda estar seguro de que funciona correctamente.

No sé nada sobre Little Snitch, así que no puedo comentar al respecto. ¿Se activa en el tráfico ARP? El parpadeo de la luz del enrutador es una medida de tráfico realmente muy mala. ¿Está seguro de que nunca parpadeó sin activar una alerta?

Es posible que una nueva máquina esté usando NTP o actualizaciones del sistema (que pueden o no activar una alerta).

2
Bradley Kreider

¿Cómo cambió su actividad? Mi recomendación es que primero establezca que realmente hay movimiento de datos. Debería tener una máquina separada rastreando su red. Además, ¿cómo sabe que no es el enrutador el que no fue pirateado? Eso es más probable.

1
vy32

¿Su enrutador tiene linux o es linux-flasheable? (DD-WRT u otro tipo.) Si es así, puede ejecutar tshark en el enrutador para registrar todo su tráfico y compararlo con una captura de Wireshark local. Deben ser idénticos (excepto por el tráfico que está completamente dentro de 127.0.0.1). En realidad, podría ser más sencillo que un amigo venga con una computadora portátil para monitorear uno al lado del otro.

Considere ejecutar tripwire para realizar una auditoría completa de su sistema y luego apagarlo para iniciar desde el CD y ejecutar otra auditoría completa sin conexión. Si no coinciden, averigüe por qué y qué cambió.

Una última opción es simplemente actualizar el EFI, las unidades de disco y cualquier otra cosa que crea que podría verse afectada. Eso debería borrarlo si es realmente firmware, ¿verdad?

Con suerte, es solo paranoia, pero la paranoia es una buena forma de aprender nuevos trucos.

1
SilverbackNet