Malware conosciuti

[Macos8]

DetectX e KnockKnock entrano in gioco successivamente alla download e segnalano la presenza di malware o comunque file sospetti, o riconosciuti come tali, che sono stati già installati, ad insaputa dell’utente, da parte di app, programmi e/o software in generale.
Difatti DetectX esegue una scansione del disco e, se trova qualcosa, fornisce una lista degli elementi che ritiene siano portatori di adware, malware, ecc. e dà anche la possibilità all’utente di eliminare radicalmente gli elementi segnalati.

Grazie! Chiedevo se MacOs integra un'App o una funzione simile a DetectX e KnockKnock?

[paolinoweb]

2) Qui la situazione è diversa.
Gatekeeper ti avvisa nel momento in cui si vuole scaricare un’app e fa un controllo se l’app stessa proviene da App Store oppure se è autenticata.
Se non soddisfa queste condizioni, blocca la download e segnala il pericolo.
Viceversa, DetectX e KnockKnock entrano in gioco successivamente alla download e segnalano la presenza di malware o comunque file sospetti, o riconosciuti come tali, che sono stati già installati, ad insaputa dell’utente, da parte di app, programmi e/o software in generale.
Difatti DetectX esegue una scansione del disco e, se trova qualcosa, fornisce una lista degli elementi che ritiene siano portatori di adware, malware, ecc. e dà anche la possibilità all’utente di eliminare radicalmente gli elementi segnalati.

Grazie, la domanda era riferita all'eventuale integrazione in MacOs di un "programma" o funzione simile a DetectX e KnockKnock, che segnalano la presenza di malware o file sospetti, che sono stati già installati, ad insaputa dell’utente, da parte di app, programmi e/o software in generale.
MacOs integra una funzione simile a DetectX che esegue una scansione del disco e, se trova qualcosa, fornisce una lista degli elementi che ritiene siano portatori di adware, malware, ecc... ?

Non c'è in macOs una scansione nativa da fare, Mac impedisce installazione di programmi attraverso Xprotect, se il database di Apple non ha la firma del malware, questo viene installato. se invece conosce il malware Xprotect blocca installazione e chiede se spostare nel cestino. se l'app ed eventuale malware è già installato
Xprotect non interviene. interviene solo se l'app è stata modificata nel file system oltre che quando viene aperta per la prima volta. potresti aver scaricato un'app un mese fa, trascinata in applicazioni ma non averla mai aperta, per svariati motivi, allora si che interviene.

Nota: l'autorizzazione è efficace contro file (o hash di file) noti e può essere utilizzata su app che sono state avviate precedentemente. Le regole basate sulle firme di XProtect sono più generiche rispetto all'hash di un file specifico, quindi è in grado di rilevare varianti che Apple non conosce. XProtect scansiona soltanto le app che hanno subito delle modifiche o che vengono aperte per la prima volta.

Santa è un software che come Xprotect che ha un diverso database, quindi può rilevare malware che Xprotect non rileva.
Il problema di Santa sta/stava negli aggiornamenti delle firme malware database, lui usa quelli che ha in locale, per aggiornare le definizioni si deve andare nel terminale e dare l'indirizzo di uno dei 4 server.... ci sono i comandi, non sono mai riuscito a configurare un server, perchè con il comando rule o sync dove si dovrebbe il tutto, mi dice che il demone è aperto e quindi niente configurazione. fermare il demone ci ho provato in mille modi, ovvero. tutti quelli nella pagina di aiuto, più altre pagine, non si riesce a fare un uscita forzata di santa in modo che si chiuda il demone, se si cancella il demone dalla libreria stesso risultato.

Però "studiando" Santa ho visto che un file di sync c'è, ma non so se funziona. il mio firewall non mi ha mai avvisato che Santa o un demone collegato chieda accesso ad internet, per cui ogni tanto se lo volete usare andate su github e scaricate la versione nuova, Santa non vi avverte se c'è aggiornamento.

Se qualcuno ha voglia di "giocare un po'" con Santa ed i server potete partire da qui.
https://santa.dev/introduction/syncing-overview.html

Quindi scansioni a mano, ma sopratutto spiegatemi come fate a beccare dei malware... non li becco con windows, con Mac non vi dico che cosa installo, non becco mai nulla... ovvio che non installo un pkg che mi dice che sono infetto... c'è troppa paura a mio vedere sul forum sulle minacce per Mac, poi tanti credono che basti una vpn per essere sicuri che avendo altro ip si è sicuri... falsissimo. tracciabilissimi.

Teamviewer software di controllo remoto, se si usa troppo, avvisa che lo si sta utilizzando per scopi commerciali e non per uso personale.
Cambiate ip e vedrete che non funziona lo stesso. Allora uno dice formatto. Ma attenti. Inizializzate il mac e installate Teamviewer, vi dice subito al primo collegamento di comprare la versione a pagamento. questo anche se si è connessi con vpn o wi fi dove non siete mai entrati.

Vi metto alla prova. come fa a capire che lo avete già utilizzato anche se Mac inizializzato? Mac dove avete disabilitato localizzazione, non avete nemmeno messo id apple, non c'è nulla che porti a voi... eppure Teamviewer lo capisce...

[Cindy]

legge il numero di serie?

[paolinoweb]

legge il numero di serie?

Ciao Cindy,
no, ma ti sei avvicinata...c'è un numero univoco del Mac che legge. anche in windows...e Linux stessa cosa.

infatti un modo per far rifunzionare Teamviewer è cambiare questo numero....

Il Mac Air che ho venduto qualche mese fa, non può utililizzare teamviewer nemmeno per essere controllati da remoto...

Questo numero è quello che frega molta gente che con la VPN e Tor si sente al sicuro...

Ci sono VPN che dicono che cambiano il numero in questione, ancora non l'ho trovata...

[Macos8]

legge il numero di serie?

Ciao Cindy,
no, ma ti sei avvicinata...c'è un numero univoco del Mac che legge. anche in windows...e Linux stessa cosa.

infatti un modo per far rifunzionare Teamviewer è cambiare questo numero....

Il Mac Air che ho venduto qualche mese fa, non può utililizzare teamviewer nemmeno per essere controllati da remoto...

Questo numero è quello che frega molta gente che con la VPN e Tor si sente al sicuro...

Ci sono VPN che dicono che cambiano il numero in questione, ancora non l'ho trovata...

Come alternativa a Santa puoi utilizzare BlockBlock. Tu per proteggere il Mac cosa hai installato?

[Pingus]

legge il numero di serie?

no, ma ti sei avvicinata...

Il numero seriale teoricamente nemmeno Apple dovrebbe poterlo leggere, perché le leggi sulla privacy europee vietano la lettura remota di dati univoci come riconoscimento di un terminale. Anche eventuale servizio assistenza, garanzia, etc dovrebbe chiederlo ma non dovrebbe poterlo leggere. Tantomeno registrarlo in archivi identificativi.

c'è un numero univoco del Mac che legge. anche in windows...e Linux stessa cosa.

Potrebbe essere l'indirizzo MAC address di una delle schede di rete, ovvero l'indirizzo cosiddetto fisico, ma…
… su Linux lo puoi cambiare/mascherare.

Ricordi che da qualche parte ne avevamo parlato di questa cosa e avevo pensato ad una macchina virtuale Linux per aggirare le verifiche di TeamViewer.
Non ho più provato ed ho poi usato AnyDesk più tranquillamente.
Ma tu mi pare devi stare "sempre" collegato se non ricordo male.

Potrebbe usare anche lo UID del disco, volendo.
Ma non dovrebbe poterlo fare nemmeno questo, sempre secondo il GDPR europeo.

Potrebbe usare anche l'indirizzo IPv6 ma sarebbe troppo semplice per utenti avanzati da cambiare, anzi forse anche per utenti poco avanzati come me

[joseterra]

legge il numero di serie?

no, ma ti sei avvicinata...

Il numero seriale teoricamente nemmeno Apple dovrebbe poterlo leggere, perché le leggi sulla privacy europee vietano la lettura remota di dati univoci come riconoscimento di un terminale. Anche eventuale servizio assistenza, garanzia, etc dovrebbe chiederlo ma non dovrebbe poterlo leggere. Tantomeno registrarlo in archivi identificativi.

c'è un numero univoco del Mac che legge. anche in windows...e Linux stessa cosa.

Potrebbe essere l'indirizzo MAC address di una delle schede di rete, ovvero l'indirizzo cosiddetto fisico, ma…
… su Linux lo puoi cambiare/mascherare.

Ricordi che da qualche parte ne avevamo parlato di questa cosa e avevo pensato ad una macchina virtuale Linux per aggirare le verifiche di TeamViewer.
Non ho più provato ed ho poi usato AnyDesk più tranquillamente.
Ma tu mi pare devi stare "sempre" collegato se non ricordo male.

Potrebbe usare anche lo UID del disco, volendo.
Ma non dovrebbe poterlo fare nemmeno questo, sempre secondo il GDPR europeo.

Potrebbe usare anche l'indirizzo IPv6 ma sarebbe troppo semplice per utenti avanzati da cambiare, anzi forse anche per utenti poco avanzati come me

mi pare più probabile che legga il MAC address..e, quello, con qualche comando da terminale, si dovrebbe poter modificare usando esadecimali nel comando, dopo aver disconesso la rete:

Codice: Seleziona tutto

sudo ifconfig en0 ether  <ESADECIMALE SCELTO>

..ma non lo farei, senza esserne esperti.
Lo si può modificare e variare casualmente, anche usando Spoof-for mac da HomeBrew https://osxdaily.com/2021/09/05/change- ... mac-spoof/
Ma non sono certo che TeamViewer legga quello..

[Cindy]

Potrebbe essere l'indirizzo MAC address

C'è un corrispondente anche su Windows?
Il Team Viewer legge lo stesso "codice" che deve essere presente su ciascun computer ed in maniera univoca

[Pingus]

Potrebbe essere l'indirizzo MAC address

C'è un corrispondente anche su Windows?
Il Team Viewer legge lo stesso "codice" che deve essere presente su ciascun computer ed in maniera univoca

Sì il cosiddetto Mac Address è una specie di "UID" un numero univoco del produttore della scheda di rete, una sottospecie di seriale della scheda di rete, ethernet, wifi, etc. Non dipende dai sistemi operativi usati sul dispositivo. Lo puoi vedere anche sul tuo iPhone o smartphone. Ma anche sul tuo climatizzatore con scheda wifi. Dovrebbe essere davvero univoco, cioè non ripetibile, perché lo inserisce direttamente il produttore delle schede.
Ma per qualche motivo è possibile modificarlo con utility e/o comandi da terminale (diciamo via software).
Sui sistemi Linux addirittura dal sistema dal pannello di controllo di rete.

Sinceramente non so se è solo una "mascheratura" (software) dell'indirizzo MAC, temporanea, software, etc e si annulla una volta smontata la scheda e/o formattato (inizializzato) il sistema operativo che ospita le schede. Questo non l'ho mai testato.
Ma sicuramente DuckDuckGo lo sa

[Pingus]

Comunque tornando un attimo a TeamViewer tanto per andare fuori tema in ogni caso
Quando lo disinstallo elimino con AppCleaner, quindi eliminando anche i file che ci sono nei LaunchAgents LaunchDaemons Logs etc a me non ripropone lo stesso ID di TeamViewer precedente.
Magari qualche volta una sera facciamo una prova, registrando il mio ID TeamViewer e vediamo se dopo il mio reset di tutti i file di TeamViewer torna o meno lo stesso ID oppure cambia.
Ovviamente è un sistema che non è pensabile per usare TeamViewer con clienti e/o tenere sotto controllo dispositivi terminali periodicamente.

[Pingus]

Codice: Seleziona tutto

ifconfig -a

per visualizzare l'elenco degli indirizzi MAC Address delle schede di rete sui sistemi UnixLike (anche macOS).

[Pingus]

Ecco infatti come pensavo immaginavo.
È solo una "mascheratura" software. Che viene poi ripristinata.
Altrimenti non si chiamerebbe indirizzo fisico

wiki: https://it.wikipedia.org/wiki/MAC_spoofing

[Pingus]

Codice: Seleziona tutto

ifconfig -a

per visualizzare l'elenco degli indirizzi MAC Address delle schede di rete sui sistemi UnixLike (anche macOS).

sempre dalla cara vecchia Wiki

il comando arp -a visualizza l'intera Arp cache della rete locale alla quale siamo connessi

Codice: Seleziona tutto

arp -a

PS: da quando ho figli frequentanti scuola, ho deciso ogni anno di fare una piccola donazione alla Wikipedia perché mi sembra corretto e giusto, nei confronti di uno strumento di lavoro, conoscenza, tempo libero, ricerca, approfondimenti interessi, etc etc etc che abbiamo a costo zero e che una volta ci potevamo solo sognare!

[Cindy]

PS: da quando ho figli frequentanti scuola, ho deciso ogni anno di fare una piccola donazione alla Wikipedia perché mi sembra corretto e giusto, nei confronti di uno strumento di lavoro, conoscenza, tempo libero, ricerca, approfondimenti interessi, etc etc etc che abbiamo a costo zero e che una volta ci potevamo solo sognare!

Tanto per restare fuori tema: idem, lo metto sempre come destinatario del 5 per mille quando faccio la dichiarazione dei redditi e se non la faccio cerco di contribuire in diversa maniera.
Adoro il sito, lo spulcio quotidianamente in ogni pagina e in ogni lingua, sostituisce egregiamente enciclopedie e spesso anche dizionari, nel 95% delle ricerche che effettuo è il primo sito nel quale cerco risposte.
Quando il sito è temporaneamente fuori servizio, vado in panico!

[Pingus]

Lo si può modificare e variare casualmente,
anche usando Spoof-for mac da HomeBrew https://osxdaily.com/2021/09/05/change- ... mac-spoof/

Ah ecco, ho letto adesso!
«The MAC address will remain changed until you either switch it back, or the Mac is rebooted.»