Qualcuno ha copiato dei file dal mio Mac?

1

Ero lontano dal mio MacBook Air (Yosemite) brevemente e sospettavo che qualcuno avesse copiato dei file dal mio Mac. Ecco cosa posso vedere da system.log sotto console / var / log. Alcuni esperti potrebbero consigliare se questo registro "(non univoco): 000000000820" potrebbe indicare che qualcuno ha collegato un'unità USB? Cosa devo cercare per scoprire quale directory di file è stata probabilmente rubata?

_____________________INIZIO______________________ 

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
macos  mac  yosemite  security  data 
user283539
fonte
solo curioso, quale registro era questo? Inoltre, ricordi se hai bloccato il computer o no?
Matthew N
Era system.log sotto console / var / log, non bloccavo il computer.
user283539

Risposte:

3

Ecco il comando per generare un elenco di tutti i file a cui è stato effettuato l'accesso nelle ultime 72 ore: 

sudo find / -atime -72h -ls > output.txt

Da lì, puoi eseguire "stat" su ciascun file per ottenere il tempo di accesso. 

cat output.txt | while read in; do stat; done > accessTimes.txt

È possibile restringere la ricerca a un intervallo di data / ora specifico tramite un editor di testo o il comando grep. 

grep "Mar 31 21:" accessTimes.txt

Questo potrebbe non essere sufficiente per provare qualsiasi errore, ma può confutarlo se non ci fossero file accessibili durante la finestra di interesse. Inoltre, dà un'idea di ciò che è stato possibile accedere.

Jason
fonte
Grazie. Un'altra domanda: "accessing" include i file copiati su una chiavetta USB o su un altro hard disk USB portatile? Ho esaminato i file "accessibili" durante quel periodo. Ho riconosciuto solo alcuni file di sistema i cui nomi non suonano.
user283539
Sì, il tempo di accesso nell'inode aggiorna con un file una copia.
Jason
0

Da quel registro, tutto quello che puoi dire è che un dispositivo USB era connesso o disconnesso. Potrebbe un drive USB, ma poi di nuovo, quell'unità potrebbe andare a dormire. Qualcuno potrebbe aver collegato un iPhone per caricarlo. Il punto è che è impossibile sapere.

Anche se è stata collegata un'unità USB, non è possibile stabilire se i file sono stati copiati dal computer. Per vedere se i file sono stati, infatti, copiati dalla (o alla) macchina, è necessario un file registro di audizione . Apple viene fornito con uno ma è disabilitato per impostazione predefinita.

Vedi questo post su OpenBSM .

Allan
fonte
Grazie. Sei d'accordo sul fatto che alcune unità USB sono state collegate durante quel periodo per richiedere questo elemento registrato? Il computer non aveva alcun collegamento USB. Semplicemente sedersi da solo non dovrebbe aver richiesto questo registro, giusto? Inoltre, non capisco il codice "(non univoco) 000000000820 0x5ac 0x8406 0x820, 3. Ogni unità USB ha un numero di serie come 000000000820? Grazie
user283539
Alcuni USB hanno SN # unici e altri no. Ho diverse unità USB SanDisk che appaiono con la stessa seriale
Allan
Grazie. Immagino che ci sia stato un tentativo di rubare i file usando l'unità USB dal momento che il computer stesso non avrebbe richiesto la prima linea, giusto?
user283539
Non posso dire per certo. Come sai che il computer non si è svegliato e "riattacca" un dispositivo USB? Dal registro, semplicemente non possiamo dirlo.
Allan
Lo sapevo perché non c'era nessun dispositivo USB collegato al computer portatile prima della mia partenza e dopo il mio ritorno.
user283539
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.