Salve,
sono nuovo del forum e vi faccio i complimenti perchè siete veramente d'aiuto per un sacco di cose e spero possiate illuminarmi circa il problema che sto per presentarvi.
Sono alle prese con dei dubbi di una persona che conosco e del suo mac che pare siano fondati. Girovagando nel suo sistema ho trovato un crash report di un app chiamata keyboard spy.app e suppongo sia proprio un keylogger non installato volontariamente.
Oltre al crash in quel giorno specifico nei system log non riesco a trovare altre stringhe che riportano a questa app e se cerco nel percorso di sistema evidenziato nel report non la trovo..c'è qualche altro modo per capire se l'app in questione è ancora presente sul mac e nel caso non ci fosse capire quando sia stata installata e da chi? premetto che nel mac in questione è attivo il firewall senza nessuna eccezione ed è anche attiva la modalità stealth..vorrei capire se qualcuno davvero è entrato illegalmente nel mac, quando e che cosa ha fatto e magari bloccargli la possibilità di poterlo fare ancora?
Intanto vi ringrazio in anticipo per l'attenzione in attesa di vostre risposte incoraggianti
Questa app è appunto un keylogger, cioé tutto quello che si scrive sulla tastiera, l'App la memorizza in un file dove tiene conto pure dei siti che si visita ecc ecc... e questo file in un secondo momento verrà visionato da chi ha installato App, solo aprendolo con una password precedentemente impostata...
Che sia stata installata all'insaputa dell'ignaro propetario del Mac, questo è fuori dubbio, a meno che non sia stato proprio lui ad installarla, per controllare i movimenti di qualche altro utente che usava il Mac.
Ipotesi, niente di certo, comunque sono applicazioni che di solito vengono installate sul Mac fisicamente e non tramite trojan o simili, per tanto chi la installata, sapeva molto bene la password di amministratore.
Unico consiglio e di scaricare easy find, per provare a fare una ricerca spuntando tutto anche i file invisibili, per sperare che ci sia qualche traccia di questo software, che si nasconde molto bene.
Ci sono anche keylogger che inviano silenziosamente il file di resoconto tramite email ad un indirizzò specifico, quindi chi poi visionerà questo file, non necessariamente lo farà sul Mac su cui é installato il keylogger.
Io farei una installazione da zero...
iMac 2,5 Ghz Intel Core i5 quad-core (Late 2011) SSD 256 GB Samsung Serie 830
Mac Mini M1 2020 SSD 512 GB & 16GB di Ram Nas DiskStation DS1513+ Apc Smart-Ups 1000Va Lcd 230V
Scarica questo: http://alphaomega.software.free.fr/keyb ... %20Spy.dmg" onclick="window.open(this.href);return false;
in questo modo ti renderai conto di quanto NON sia pericoloso il software se non presente nel Mac.
Se non ci sono tracce sull'HD (usa i consigli di Phate) stai sereno.
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)
Grazie per le risposte dettagliate ed esaustive.
Ho fatto una ricerca con easyfind e non trova nulla, solo due pagine internet del software in questione che ho aperto personalmente. Per essere sicuri al 100% bisognerebbe formattare e ripartire da zero vero?
Ma è possibile che ci sia qualche log di sistema che memorizza i processi tipo le app installate per capire quando l'hanno potuto installare?
Altra domanda...per evitare intrusioni nel mac da persone che accedono alla stessa rete cui è collegato cosa sarebbe necessario fare oltre ad attivare firewall, modalità stealth filevault e non so cos'altro?
Ciao ragazzi, ci sono delle novità in questa questione... ho approfondito la ricerca e sono stato in remoto con temviewer ad osservare il registro di sistema con le varie attività mentre questo computer era fermo non lavorava in nulla...e potevo muoverlo solo io.
Nel registro c'è stata una mezzoretta in cui il firewall segnava continuamente degli attacchi incomputi netbios sempre dallo stesso ip collegato alla rete tramite porta 137, tra i tanti tentativi falliti apparivano ogni tanto degli stealth mode connection attempt to udp del computer in question dall'ip precemendente menzionato..riguardante altre porte...c'è stato un momento in cui è avvenuta una di queste connessioni e mentre il computer non era utilizzano da me ne dal proprietario si è aperta la finestra di airport da sola e mi è caduta la connessione teamviewer senza che io lo volessi...dopo un po di tempo dal registro sono spariti tutti messaggi riguardanti il firewall infatti c'erano dei buchi di mezz'ora ogni tot minuti.
Ho notato inoltre che nelle reti airport c'era una rete con 5 tacche che era comparsa proprio questa sera e in qualunque posto spostavi il computer questa rete continuava ad avere sempre la stessa banda...quindi presumo fosse stata creata proprio sul macbook attaccato...
e questa rete è sparita nel momento in cui ho visto nel registro 4 stringhe relative a kernel: airport..... bssid... e altro, e mi fa presumere che le cose siano strettamente collegate!
Ultima nota particolare è che l'ip del computer dal quale partivano gli attacchi non appartiene ad una persona che è in grado di fare tutto ciò e la cosa è stata confermata perchè mentre gli attacchi avvenivano lui non era materialmente davanti al pc...quindi mi confermate che questo pc è stato usato da tramite?
Mi confermate che non ho inventato nessuna favola e c'è davvero un tentativo di attacco a questo macbook? (considerando che abbiamo parlato anche di keylogger?)
Vi ringrazio e spero mi illuminiate perchè nel caso fosse così è arrivato il momento di prendere decisioni serie.
Non possiamo confermare nulla, solo che sarebbe simpatico provare ad avviare il Mac da un altro HD con OS pulito e vedere che succede.
Secondo me gli "attacchi" partono da fuori e non sono "inviti" del Mac. Il mio stesso router "vanta" TCP Packet massivi ogni due giorni circa.
La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
Franz Grua (sarebbe fragrua)