Ciao a tutti.
Ieri, sul Mac Pro di mia moglie, è successa una cosa alquanto strana e preoccupante. Da remoto qualcuno è riuscito a controllare il Mac e poteva tranquillamente usarlo come se avesse attivato un controllo remoto stile VNC o condivisione schermo. Tutto questo però senza nessuna autorizzazione. L'unica cosa strana che abbiamo notato è che l'utente remoto poteva far comparire delle "lenti d'ingrandimento" bianche con il segno + o - al loro interno come se volesse zoomare. Lo dico perché magari può essere un indizio per capire il software da lui usato...

Inoltre l'unico programma che mi lascia qualche sospetto di vulnerabilità che era aperto era aMule. Gli altri programmi che mia moglie stava usando erano Aperture 3 e Safari...

Qualcuno ha qualche idea su come questo tizio abbia potuto prendere il controllo remoto?

Grazie!!!

Cerca in Aiuto Mac :
Condividere il tuo computer con altri sul network
Condividere il computer con altri utenti


Condividere il computer con altri utenti

Puoi configurare il computer per consentire ad altri utenti di vedere il tuo schermo e controllare il tuo computer, Mentre lo schermo è condiviso con un altro computer, l'altro utente vede il contenuto del tuo schermo e può aprire, spostare e chiudere i documenti e le finestre, aprire applicazioni e perfino riavviare il computer.
Per impostare la condivisione dello schermo:
1. Scegli Apple > Preferenze di Sistema e fai clic su Condivisione.
2. Seleziona il riquadro "Condivisione schermo".
3. Per specificare chi può condividere il tuo schermo, seleziona una delle seguenti opzioni:

Tutti gli utenti: seleziona questa opzione per permettere a tutti gli utenti con un account utente valido per il tuo computer di condividere lo schermo.


Solo questi utenti: seleziona questa opzione per limitare la condivisione dello schermo a specifici utenti.
Fai clic su Aggiungi (+) nella parte inferiore dell'elenco degli utenti e seleziona un utente da "Utenti e gruppi" (gli account che hai impostato nelle preferenze Account), "Utenti network" (cioè utenti del tuo network) o "Rubrica Indirizzi". In alternativa, fai clic su "Nuova persona" e inserisci un nome e una password, per creare un nuovo utente per la condivisione. Quindi, seleziona l'utente dall'elenco e fai clic su Seleziona.


4. Fai clic su "Impostazioni computer" e imposta le seguenti opzioni:

Chiunque può richiedere il permesso di controllare lo schermo: seleziona questa opzione per consentire a chiunque sia presente sul network di richiedere la condivisione del tuo schermo.


I visori VNC possono controllare lo schermo mediante password: seleziona questa opzione e inserisci la password che le applicazioni VNC di terze parti devono usare per controllare il tuo schermo.
Si consiglia di non impostare una password se condividi questo schermo del computer utilizzando il visore di condivisione dello schermo integrato di Mac OS X..

Il punto è che condivisione schermo era ed è disattivata.

L'accesso è stato di tipo non autorizzato...

A quanto ne so, per connettersi dovrebbe essere necessario immettere l’indirizzo Ip del computer+password o creare un account sul sito che gestisce la connessione.

Guarda se tra questi o altri nell'App Store c'è qualcosa di familiare (il fatto che abbia fatto ricorso a una lente di ingrandimento induce a pensare che gestisse la cosa da un device portatile tipo iPhone/iPod/iPad).

LogMeIn Ignition
RemoteTap (http://itunes.apple.com/it/app/remotetap/id295043998?mt=8#)

LogMeIn
JollysFastVNC

Verifica che nel Mac non ci sia installato software "strano".

Aggiungo che non hai fornito alcun dettaglio utile a capire cosa sia successo: versione sistema, caratteristiche connessione e rete locale, protezione ecc. E' a dir poco arduo accedere al Mac in modo non autorizzato... Ha installato software che comprenda funzioni tipo zoom, finestre fluttuanti o simili?

Ciao a tutti.
Ieri, sul Mac Pro di mia moglie, è successa una cosa alquanto strana e preoccupante. Da remoto qualcuno è riuscito a controllare il Mac e poteva tranquillamente usarlo come se avesse attivato un controllo remoto stile VNC o condivisione schermo. Tutto questo però senza nessuna autorizzazione. L'unica cosa strana che abbiamo notato è che l'utente remoto poteva far comparire delle "lenti d'ingrandimento" bianche con il segno + o - al loro interno come se volesse zoomare. Lo dico perché magari può essere un indizio per capire il software da lui usato...

Inoltre l'unico programma che mi lascia qualche sospetto di vulnerabilità che era aperto era aMule. Gli altri programmi che mia moglie stava usando erano Aperture 3 e Safari...

Qualcuno ha qualche idea su come questo tizio abbia potuto prendere il controllo remoto?

Grazie!!!

Anche io propendo per un abbaglio. Quelle lenti che menzioni hanno tutta l'aria di essere controlli di Aperture, magari attivati inavvertitamente.

Grazie per le risposte.
Assicuro che non erano lenti d'ingrandimento in stile aperture perché sono comparse su una finestra di safari e vi assicuro che il mouse si muoveva e compiva azioni varie. Calcolate che a quel punto mia moglie ha smesso di usare tastiera e mouse e venivano compiute azioni.

Controllo le applicazioni presenti in App Store e vedo se vedo qualcosa di simile ai simboli che ho visto...

Ps: il sistema è un Mac Pro con Snow Leopard installato ed aggiornato all'ultimo aggiornamento disponibile. Non era attiva condivisione schermo e nemmeno programmi come team viewer o simili.

Aggiungo dettagli: la rete intranet è cablata e anche wireless. Chiaramente la wireless è protetta con chiave WPA2 Personal.

Se erano circoscritte nella finestra di safari potevano essere animazioni della pagina visitata.

Sono scettico non perchè non voglia crederti, ma perchè l'ipotesi che qualcuno possa prendere il controllo del tuo mac, nelle condizioni che descrivi è davvero improbabile.

Facci sapere. (P.S. Guarda le opzioni di accessibilità nelle preferenze di sistma e vedi se per caso non potete avere inavvertitamente attivato qualcuna di quelle, se non lo sai, sembrano cose strane...)

Perdonami ma il fatto delle animazioni mi fa fare una risata... non sono "inesperto" al punto tale di non distinguere le animazioni!

Ti assicuro che poi le azioni effettuate erano anche cambi di spaces e apertura programmi.

Il problema è tuo, non mio. Sto cercando solamente di capire quello che può essere successo.

Anzichè farti una risata, potresti circostanziare meglio l'uso di quel mac. Dunque se vuoi aiuto, bisogna che tu dia il maggior numero di informazioni possibile.

Se hai un account da amministratore, lancia il terminale, scrivi il comandoç

sudo ps aux

Ti chiederà la password di amminsitratore, inseriscila e batti enter (quello che digiterai non lo vedrai per ragioni di sicurezza)

Fatto cio' copia e incolla qui e vediamo che processi sono attivi su quel mac.

Ciao. Non volevo essere scortese. Perdonami, Peterpan...

Ecco tutta la lista dei processi:


USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
Cris 7243 0,6 0,8 683500 65088 ?? S 10:27pm 0:37.59 /System/
Cris 211 0,1 8,1 6257552 676276 ?? S 9:32am 27:11.27 /Applica
Cris 2856 0,1 4,6 3691168 387424 ?? S 2:20pm 1:43.44 /Applica
Cris 7266 0,0 0,1 2826164 10452 ?? S 10:30pm 0:00.20 /Applica
Cris 7264 0,0 0,1 3060488 6516 ?? S 10:30pm 0:00.07 /System/
Cris 7237 0,0 0,1 2510600 9376 ?? SNs 10:27pm 0:00.12 /System/
Cris 1448 0,0 1,1 703796 90520 ?? S 11:44am 0:20.44 /Applica
Cris 1081 0,0 0,4 5009480 35204 ?? S 11:06am 0:01.59 /System/
Cris 924 0,0 0,1 2860612 7508 ?? S 10:48am 0:00.39 /System/
Cris 551 0,0 0,1 2579812 9812 ?? S 10:08am 0:03.74 /System/
Cris 301 0,0 0,8 3046148 63532 ?? S 9:40am 0:36.56 /Applica
_spotlight 240 0,0 0,1 2561820 9164 ?? SNs 9:33am 0:00.92 /System/
Cris 225 0,0 0,0 2485212 1264 ?? S 9:33am 0:00.04 /System/
Cris 214 0,0 0,8 5103388 68408 ?? S 9:32am 0:35.58 /Applica
root 210 0,0 0,0 602372 1456 ?? S 9:32am 0:02.99 /Applica
Cris 208 0,0 0,1 504860 4412 ?? S 9:32am 0:00.37 /Library
Cris 204 0,0 0,1 556592 10020 ?? S 9:32am 0:01.81 /Library
Cris 203 0,0 0,1 2854168 5124 ?? S 9:32am 0:00.29 /Library
Cris 202 0,0 0,1 2867852 8448 ?? S 9:32am 0:00.36 /Library
Cris 201 0,0 0,1 2537564 6376 ?? S 9:32am 0:00.30 /Applica
Cris 200 0,0 0,5 604860 40244 ?? S 9:32am 0:48.86 /Applica
Cris 199 0,0 0,3 541732 28396 ?? S 9:32am 0:29.92 /Library
Cris 197 0,0 0,0 2503184 3196 ?? S 9:32am 0:00.18 /Applica
Cris 196 0,0 0,2 2870808 16892 ?? S 9:32am 0:02.19 /Library
Cris 194 0,0 0,0 483404 2316 ?? S 9:32am 0:00.28 /Library
Cris 185 0,0 0,1 2838488 6748 ?? S 9:32am 0:01.54 /Applica
Cris 182 0,0 0,2 2885564 15816 ?? S 9:32am 0:00.59 /Library
Cris 181 0,0 0,1 2866856 6612 ?? S 9:32am 0:00.31 /System/
Cris 175 0,0 0,1 2595312 6936 ?? S 9:32am 0:00.86 /usr/lib
Cris 169 0,0 0,0 2435928 980 ?? S 9:32am 0:00.01 /usr/sbi
Cris 165 0,0 0,1 2576968 8896 ?? S 9:32am 0:05.84 /System/
Cris 158 0,0 0,6 2975824 50856 ?? R 9:32am 0:17.68 /System/
Cris 157 0,0 0,3 2960488 27900 ?? S 9:32am 0:07.02 /System/
Cris 156 0,0 0,5 2952860 42972 ?? S 9:32am 0:08.17 /System/
Cris 152 0,0 0,0 2585252 1708 ?? Ss 9:32am 0:06.72 /sbin/la
root 137 0,0 0,0 2437092 248 ?? Ss 9:32am 0:00.00 /Library
root 135 0,0 0,0 2437396 1232 ?? S 9:32am 0:00.11 /Library
root 132 0,0 0,0 2437196 300 ?? Ss 9:32am 0:00.09 /Library
root 130 0,0 0,0 2437092 248 ?? Ss 9:32am 0:00.00 /Library
root 127 0,0 0,0 2437196 300 ?? Ss 9:32am 0:00.11 /Library
root 114 0,0 0,0 2464448 1972 ?? S 9:32am 0:00.15 /Library
_coreaudiod 104 0,0 0,1 2531964 5284 ?? Ss 9:32am 0:01.58 /usr/sbi
root 89 0,0 0,0 2445332 1056 ?? Ss 9:32am 0:00.02 /System/
_windowserver 78 0,0 1,1 3109852 95824 ?? Ss 9:32am 7:25.35 /System/
root 76 0,0 0,5 2644100 39740 ?? Ss 9:32am 0:06.46 /System/
root 74 0,0 0,0 599756 424 ?? S 9:32am 0:00.85 /Library
root 46 0,0 0,0 2466128 1184 ?? Ss 9:32am 0:00.15 autofsd
root 40 0,0 0,0 2434784 860 ?? Ss 9:32am 0:00.01 /sbin/dy
root 38 0,0 0,1 2565156 4388 ?? Ss 9:32am 0:03.30 /System/
root 37 0,0 0,0 2453848 1076 ?? Ss 9:32am 0:00.15 /usr/lib
root 35 0,0 0,0 2468272 1220 ?? Ss 9:32am 0:00.37 /usr/sbi
Cris 34 0,0 0,2 2924972 15664 ?? Ss 9:32am 0:18.70 /System/
_mdnsresponder 33 0,0 0,0 2590184 3008 ?? Ss 9:32am 0:10.54 /usr/sbi
root 32 0,0 1,3 2899720 106220 ?? Ss 9:32am 0:29.37 /System/
root 29 0,0 0,1 2547476 4280 ?? Ss 9:32am 0:02.03 /usr/sbi
root 26 0,0 0,0 2476384 1224 ?? Ss 9:32am 0:00.15 /sbin/Sy
_usbmuxd 25 0,0 0,0 2469660 1844 ?? Ss 9:32am 0:00.18 /System/
root 23 0,0 0,0 2435212 1200 ?? Ss 9:32am 0:01.95 /usr/sbi
root 17 0,0 0,1 2546192 5264 ?? Ss 9:32am 0:00.55 /usr/sbi
daemon 16 0,0 0,0 2563396 2572 ?? Ss 9:32am 0:01.89 /usr/sbi
root 15 0,0 0,1 2596428 6500 ?? Rs 9:32am 0:52.79 /usr/sbi
root 14 0,0 0,0 2586120 1196 ?? Ss 9:32am 0:04.48 /usr/sbi
root 13 0,0 0,1 2582060 4312 ?? Ss 9:32am 0:02.11 /usr/lib
root 12 0,0 0,0 2541016 2464 ?? Ss 9:32am 0:08.94 /usr/sbi
root 11 0,0 0,0 2475264 876 ?? Ss 9:32am 0:01.77 /usr/sbi
root 10 0,0 0,0 2491308 4020 ?? Ss 9:32am 0:01.17 /usr/lib
root 7273 0,0 0,0 2434788 580 s000 R+ 10:30pm 0:00.02 ps aux
root 1 0,0 0,0 2585704 1904 ?? Ss 9:32am 0:27.71 /sbin/la
Cris 7270 0,0 0,0 2435468 1084 s000 S 10:30pm 0:00.01 -bash
root 7268 0,0 0,0 2436056 1704 s000 Ss 10:30pm 0:00.54 login -p


Vedete qualcosa di strano?

Purtroppo sono tutti troncati proprio dove ci interessa vedere il nome dell'eseguibile, allarga la finestra prima di eseguire il comando.

Per il resto no problem ;)

Ciao.

Essendo troppo lungo il risultato, te l'ho messo in un txt in allegato.