Estuve alejado de mi MacBook Air (Yosemite) brevemente y sospeché que alguien había copiado archivos de mi Mac. Esto es lo que puedo ver en system.log en la consola /var/log. ¿Podrían algunos expertos aconsejar si este registro "(no único): 000000000820" puede ser una señal de que alguien conectó una unidad USB? ¿Qué debo buscar para averiguar qué directorio de archivos posiblemente fueron robados?
_____________________COMENZAR______________________
Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
Este es el comando para generar una lista de todos los archivos a los que se accedió en las últimas 72 horas:
sudo find / -atime -72h -ls > output.txt
Desde allí, puede ejecutar 'stat' en cada archivo para obtener el tiempo de acceso.
cat output.txt | while read in; do stat; done > accessTimes.txt
Puede restringir su búsqueda a un rango de fecha/hora específico a través de un editor de texto o comando grep.
grep "Mar 31 21:" accessTimes.txt
Esto puede no ser suficiente para probar cualquier irregularidad, pero puede refutarlo si no se accedió a ningún archivo durante la ventana de preocupación. Además, da una idea de a qué se accedió posiblemente.
La otra publicación, que indica que es imposible saber qué es este dispositivo, es incorrecta.
La línea que indica "Identificador USBMSC (no único): 000000000820 0x5ac 0x8406 0x820, 3" en realidad le dice exactamente qué tipo de dispositivo es:
El número 0x5ac es una ID de proveedor que le indica que el dispositivo fue fabricado por Apple Inc.
El número 0x8406 es una identificación de producto que le indica que el dispositivo es el lector de tarjetas SDXC incorporado en la computadora portátil.
El número 0x820 es el número de serie, que siempre es este número para todos los lectores de tarjetas SDXC de Apple.
El número 3 es el número de revisión, lo que significa que este lector de tarjetas es una revisión 3.00.
Esto significa que el dispositivo que se conectó es el lector de tarjetas SDXC interno dentro de la computadora portátil. Normalmente, este dispositivo siempre está conectado, pero puede desconectarse debido, por ejemplo, a poner la computadora portátil en suspensión.
Esto le indica que nadie conectó una unidad USB externa a su computadora portátil. En cambio, el lector de tarjetas SDXC interno simplemente se comunicó con el procesador host, lo que hace todo el tiempo.
De ese registro, todo lo que puede decir es que se conectó o desconectó un dispositivo USB. Podría ser una unidad USB, pero, de nuevo, esa unidad podría estar durmiendo. Alguien podría haber conectado un iPhone para cargarlo. El punto es que es imposible saberlo.
Incluso si se conectó una unidad USB, no hay forma de saber si los archivos se copiaron desde su máquina. Para ver si los archivos fueron, de hecho, copiados desde (o hacia) su máquina, necesita un registro de auditoría . Apple viene con uno, pero está deshabilitado de forma predeterminada.
Vea esta publicación en OpenBSM .
mateo n
usuario283539