¿Alguien copió archivos de mi Mac?

Estuve alejado de mi MacBook Air (Yosemite) brevemente y sospeché que alguien había copiado archivos de mi Mac. Esto es lo que puedo ver en system.log en la consola /var/log. ¿Podrían algunos expertos aconsejar si este registro "(no único): 000000000820" puede ser una señal de que alguien conectó una unidad USB? ¿Qué debo buscar para averiguar qué directorio de archivos posiblemente fueron robados?

_____________________COMENZAR______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
solo curiosidad, ¿qué registro era este? Además, ¿recuerdas si bloqueaste la computadora o no?
Era system.log en la consola /var/log, no bloqueé la computadora.

Respuestas (3)

Este es el comando para generar una lista de todos los archivos a los que se accedió en las últimas 72 horas:

sudo find / -atime -72h -ls > output.txt

Desde allí, puede ejecutar 'stat' en cada archivo para obtener el tiempo de acceso.

cat output.txt | while read in; do stat; done > accessTimes.txt

Puede restringir su búsqueda a un rango de fecha/hora específico a través de un editor de texto o comando grep.

grep "Mar 31 21:" accessTimes.txt

Esto puede no ser suficiente para probar cualquier irregularidad, pero puede refutarlo si no se accedió a ningún archivo durante la ventana de preocupación. Además, da una idea de a qué se accedió posiblemente.

Gracias. Otra pregunta, ¿"acceder" incluye archivos copiados a una memoria flash USB u otro disco duro USB portátil? Investigué los archivos "accedidos" durante ese período. Solo reconocí algunos archivos del sistema cuyos nombres no me suenan.
Sí, el tiempo de acceso en el inodo se actualiza con un archivo una copia.

La otra publicación, que indica que es imposible saber qué es este dispositivo, es incorrecta.

La línea que indica "Identificador USBMSC (no único): 000000000820 0x5ac 0x8406 0x820, 3" en realidad le dice exactamente qué tipo de dispositivo es:

El número 0x5ac es una ID de proveedor que le indica que el dispositivo fue fabricado por Apple Inc.

El número 0x8406 es una identificación de producto que le indica que el dispositivo es el lector de tarjetas SDXC incorporado en la computadora portátil.

El número 0x820 es el número de serie, que siempre es este número para todos los lectores de tarjetas SDXC de Apple.

El número 3 es el número de revisión, lo que significa que este lector de tarjetas es una revisión 3.00.

Esto significa que el dispositivo que se conectó es el lector de tarjetas SDXC interno dentro de la computadora portátil. Normalmente, este dispositivo siempre está conectado, pero puede desconectarse debido, por ejemplo, a poner la computadora portátil en suspensión.

Esto le indica que nadie conectó una unidad USB externa a su computadora portátil. En cambio, el lector de tarjetas SDXC interno simplemente se comunicó con el procesador host, lo que hace todo el tiempo.

De ese registro, todo lo que puede decir es que se conectó o desconectó un dispositivo USB. Podría ser una unidad USB, pero, de nuevo, esa unidad podría estar durmiendo. Alguien podría haber conectado un iPhone para cargarlo. El punto es que es imposible saberlo.

Incluso si se conectó una unidad USB, no hay forma de saber si los archivos se copiaron desde su máquina. Para ver si los archivos fueron, de hecho, copiados desde (o hacia) su máquina, necesita un registro de auditoría . Apple viene con uno, pero está deshabilitado de forma predeterminada.

Vea esta publicación en OpenBSM .

Gracias. ¿Estaría de acuerdo en que se conectó una unidad USB durante ese período para haber solicitado este elemento registrado? La computadora no tenía ningún USB conectado. El simple hecho de sentarse aquí por sí solo no debería haber provocado este registro, ¿verdad? Además, no entiendo el código "(no único) 000000000820 0x5ac 0x8406 0x820, 3. ¿Cada unidad USB tiene un número de serie como 000000000820? Gracias
Algunos USB tienen números de serie exclusivos y otros no. Tengo varias unidades USB de SanDisk que aparecen con el mismo número de serie.
Gracias. Me imagino que hubo un intento de robar archivos usando una unidad USB ya que la computadora en sí no habría solicitado la primera línea, ¿verdad?
No puedo decirlo con certeza. ¿Cómo sabes que la computadora no se despertó y "volvió a conectar" un dispositivo USB? Desde el registro, simplemente no podemos decirlo.
Lo sabía porque no había ningún dispositivo USB conectado a la computadora portátil antes de irme y después de regresar.
Tenga en cuenta que solo muestra que se conectó/desconectó un dispositivo USB, no que se copiaron archivos. Es posible que desee pensar en cifrar sus archivos para que, incluso si alguien se apodera de ellos, sean inútiles.
¿Alguien copió archivos de mi Mac?
RespuestasAquíPolítica de privacidad1y, 0v