Macファームウェアがハッキングされていないことを確認してください...
最近のモデルのMacコンピューターを使用しています。誰かにUSBドライブを接続することを許可しましたが、その後ネットワーク活動が変わりました。
通常、Little Snitchはインターネットを使用するすべてのアプリを報告します。ルーターのライトが点滅するたびに、Little Snitchはそれを実行しているアプリ(またはシステム)を表示します。
この人に自分のUSBドライブをMacに挿入することを許可した後、ルーターがときどき1、2回フラッシュを表示しますが、Little Snitchには表示されません。 Activity Monitorでも送信されているデータを表示しますが、Little Snitchはそれを実行しているアプリを表示しません。
システムディスクを挿入し、USBが挿入される前に発生したタイムマシンバックアップから復元しました。ドライブを完全にフォーマットして復元しました。
ルーターとアクティビティモニターには、時々発生するネットワークアクティビティが表示されます。
だから私の質問は:
どのようにしてデータを送信しているのかを知ることができますか?
以前のマシンのバックアップから復元したので、ファームウェアが変更されたとしか想定できません...それで、変更されていないことを確認するにはどうすればよいですか?チェックサムまたはハッシュチェックを実行する方法はありますか?他に確認または検討すべき点はありますか?
この人は私の管理者パスワードを観察でき、マシンへのフルアクセス権があると想定しています。
この時点では、この発信トラフィックを停止する方法がわからないため、または少なくともこのトラフィックが何であるかを判断できないため、新しいMacを完全に入手することを検討しています。私はどんな助けにも感謝します(新しいMacは安くないからです)。
Wireshark を使用してパケットキャプチャを実行し、送信されているデータを確認してください。
そうすれば、少なくとも心配することがあるかどうかを判断できるはずです。
または、netstat -pコマンドは、現在ポートにリストされているプログラムをリストし、何か奇妙なものがあるかどうかを確認できます。
ファームウェアがハッキングされているのではないかと心配している場合、マシンにインストールできるソフトウェアがなく、適切に動作していることが保証されます。
リトルスニッチについては何も知りませんのでコメントはできません。 ARPトラフィックでトリガーされますか?ルーターのライトの点滅は、トラフィックの非常に悪い指標です。アラートをトリガーすることなく点滅しなかったと思いますか?
新しいマシンはNTP=またはシステムアップデートを使用している可能性があります(アラートをトリガーする場合としない場合があります)。
活動はどのように変わりましたか?私の推奨は、最初に実際にデータの移動があることを確認することです。ネットワークを傍受する別のマシンが必要です。また、ハッキングされなかったのがルーターではないことをどのようにして知っていますか?それはより可能性が高いです。
ルーターにLinuxが搭載されていますか、それともLinuxフラッシュ可能ですか? (DD-WRTまたは別のフレーバー。)その場合は、ルーターでtsharkを実行してすべてのトラフィックを記録し、ローカルのWiresharkキャプチャと比較できます。それらは同一である必要があります(完全に127.0.0.1内にあるトラフィックを除く)。実際には、仲間をラップトップで並べて監視する方が簡単かもしれません。
Tripwireを実行してシステムの完全な監査を実行し、シャットダウンしてCDから起動して、別の完全な監査をオフラインで実行することを検討してください。一致しない場合は、その理由と変更点を確認してください。
最後のオプションは、EFI、ディスクドライブ、および影響を受ける可能性があると思われるその他すべてを再フラッシュすることです。それが本当にファームウェアなら、それはそれをクリアするはずですよね?
うまくいけば、それは単なるパラノイアですが、パラノイアは新しいトリックを学ぶ良い方法です。