Mi sono entrati nel mac?

[NickyBrenda]

Stasera ero in una video chat e un utente mi ha scritto che mi collegavo da un software apple. Questo vuol dire che mi sono entrati nel mac? Che in qualche modo sono a rischio? Se vado in console vedo tutti messaggi strani, mai visti prima. Cosa devo fare ora? Sono davvero preoccupata e spaventata.

[flashcream]

le informazioni sul sistema operativo, il browser, la risoluzione, ecc sono informazioni in chiaro che trasmettiamo normalmente quando si visita un sito o si stabilisce una connessione. anche l'amministratore di questo sito vede queste informazioni. di tutti. pc compresi. vede anche il tuo IP che, a grandi linee, se tracciato, fornisce pure la tua posizione.
magari si è semplicemente accorto del tuo OS perchè una tua faccina da lui, che ha win, viene vista come un simbolo incomprensibile.

e allora? nulla. tutto normale. quella chat, di cui non specifichi nulla (tramite browser? applicazione dedicata?), semplicemente mette in chiaro queste info. da qui ad essere entrati nel mac, ce ne passa. da escludere al 99,99%.

infine…. che messaggi in console? se non li riporti, ogni sensata risposta è preclusa in partenza. postali.

[NickyBrenda]

Ciao! Grazie mille per la tua risposta. Stavo usando una chat su un sito interner tramite browser. Comunque ricontrollando la consolo non so quanto possono essere strani perchè non me ne intendo tantissimo


30/04/13 23:35:52,389 VLC: Media key event tap was disabled by timeout
30/04/13 23:36:13,000 kernel: MacAuthEvent en1 Auth result for: 00:0c:f6:28:0c:69 MAC AUTH succeeded
30/04/13 23:36:13,000 kernel: wlEvent: en1 en1 Link UP virtIf = 0
30/04/13 23:36:13,000 kernel: wl0: Roamed or switched channel, reason #8, bssid 00:0c:f6:28:0c:69
30/04/13 23:36:13,000 kernel: en1: BSSID changed to 00:0c:f6:28:0c:69
30/04/13 23:36:13,000 kernel: AirPort: RSN handshake complete on en1
30/04/13 23:51:52,507 com.apple.SecurityServer: Session 100035 created
30/04/13 23:51:52,995 com.apple.SecurityServer: Session 100037 created
01/05/13 00:01:22,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1716[GoogleSoftwareUp] clearing CS_VALID
01/05/13 00:01:32,581 KernelEventAgent: tid 00000000 received event(s) VQ_LOWDISK, VQ_VERYLOWDISK (516)
01/05/13 00:01:32,000 kernel: HFS: Very Low Disk: freeblks: 0, dangerlimit: 668
01/05/13 00:01:34,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1754[ksadmin] clearing CS_VALID
01/05/13 00:01:34,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1757[ksadmin] clearing CS_VALID
01/05/13 00:01:34,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1759[ksadmin] clearing CS_VALID
01/05/13 00:04:39,401 com.apple.SecurityServer: Killing auth hosts
01/05/13 00:04:39,401 com.apple.SecurityServer: Session 100029 destroyed
01/05/13 00:07:38,975 VLC: Media key event tap was disabled by timeout
01/05/13 00:10:27,430 VLC: Media key event tap was disabled by timeout
01/05/13 00:26:17,766 VLC: Media key event tap was disabled by timeout
01/05/13 00:27:09,576 Firewall: Stealth Mode connection attempt to UDP 192.168.0.101:53199 from 46.37.181.234:53
01/05/13 00:32:59,285 VLC: Media key event tap was disabled by timeout
01/05/13 00:34:44,585 VLC: Media key event tap was disabled by timeout
01/05/13 00:38:15,439 VLC: Media key event tap was disabled by timeout
01/05/13 01:00:05,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1798[GoogleSoftwareUp] clearing CS_VALID
01/05/13 01:00:14,374 KernelEventAgent: tid 00000000 received event(s) VQ_LOWDISK, VQ_VERYLOWDISK (516)
01/05/13 01:00:14,000 kernel: HFS: Very Low Disk: freeblks: 0, dangerlimit: 668
01/05/13 01:00:15,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1833[ksadmin] clearing CS_VALID
01/05/13 01:00:16,321 com.apple.SecurityServer: Killing auth hosts
01/05/13 01:00:16,321 com.apple.SecurityServer: Session 100015 destroyed
01/05/13 01:00:16,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1837[ksadmin] clearing CS_VALID
01/05/13 01:00:16,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1840[ksadmin] clearing CS_VALID
01/05/13 01:37:45,008 VLC: Media key event tap was disabled by timeout
01/05/13 01:44:56,345 com.apple.SecurityServer: Killing auth hosts
01/05/13 01:44:56,345 com.apple.SecurityServer: Session 100031 destroyed
01/05/13 01:45:11,182 authorizationhost: SFBuiltinEntitled: System Preferences.app is not entitled for system.preferences.security.remotepair
01/05/13 01:45:12,737 [0x0-0x13a13a].com.apple.systempreferences: System Preferences(1877,0x10f920000) malloc: *** auto malloc[1877]: error: GC operation on unregistered thread. Thread registered implicitly. Break on auto_zone_thread_registration_error() to debug.
01/05/13 01:45:19,379 [0x0-0x13a13a].com.apple.systempreferences: System Preferences(1877,0x10f9a1000) malloc: *** auto malloc[1877]: error: GC operation on unregistered thread. Thread registered implicitly. Break on auto_zone_thread_registration_error() to debug.
01/05/13 01:45:32,898 VLC: Media key event tap was disabled by timeout
01/05/13 01:47:06,051 VLC: Media key event tap was disabled by timeout
01/05/13 01:48:31,753 Firewall: Stealth Mode connection attempt to TCP 192.168.0.101:52455 from 173.194.35.7:80
01/05/13 01:48:32,352 Firewall: Stealth Mode connection attempt to TCP 192.168.0.101:52455 from 173.194.35.7:80
01/05/13 01:48:33,545 Firewall: Stealth Mode connection attempt to TCP 192.168.0.101:52455 from 173.194.35.7:80
01/05/13 01:48:35,951 Firewall: Stealth Mode connection attempt to TCP 192.168.0.101:52455 from 173.194.35.7:80
01/05/13 01:48:40,756 Firewall: Stealth Mode connection attempt to TCP 192.168.0.101:52455 from 173.194.35.7:80
01/05/13 01:51:10,711 Firewall: Stealth Mode connection attempt to UDP 192.168.0.101:51719 from 46.37.181.234:53
01/05/13 01:52:26,370 VLC: Media key event tap was disabled by timeout
01/05/13 01:56:02,694 VLC: Media key event tap was disabled by timeout
01/05/13 01:58:14,987 VLC: Media key event tap was disabled by timeout
01/05/13 01:58:48,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1897[GoogleSoftwareUp] clearing CS_VALID
01/05/13 01:58:54,762 KernelEventAgent: tid 00000000 received event(s) VQ_LOWDISK, VQ_VERYLOWDISK (516)
01/05/13 01:58:54,000 kernel: HFS: Very Low Disk: freeblks: 0, dangerlimit: 668
01/05/13 01:58:56,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1933[ksadmin] clearing CS_VALID
01/05/13 01:58:56,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1936[ksadmin] clearing CS_VALID
01/05/13 01:58:56,000 kernel: CODE SIGNING: cs_invalid_page(0x1000): p=1938[ksadmin] clearing CS_VALID
01/05/13 02:01:27,000 kernel: wlEvent: en1 en1 Link DOWN virtIf = 0
01/05/13 02:01:27,000 kernel: wl0: Beacon Loss Event
01/05/13 02:01:27,000 kernel: AirPort: Link Down on en1. Reason 4 (Disassociated due to inactivity).
01/05/13 02:01:27,000 kernel: en1: BSSID changed to 00:00:00:00:00:00
01/05/13 02:01:28,323 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - PreProbe
01/05/13 02:01:28,377 configd: network configuration changed.
01/05/13 02:01:36,000 kernel: MacAuthEvent en1 Auth result for: 00:0c:f6:28:0c:69 MAC AUTH succeeded
01/05/13 02:01:36,000 kernel: wlEvent: en1 en1 Link UP virtIf = 0
01/05/13 02:01:36,000 kernel: AirPort: Link Up on en1
01/05/13 02:01:36,000 kernel: en1: BSSID changed to 00:0c:f6:28:0c:69
01/05/13 02:01:36,000 kernel: wl0: Roamed or switched channel, reason #4, bssid 00:0c:f6:28:0c:69
01/05/13 02:01:36,000 kernel: en1: BSSID changed to 00:0c:f6:28:0c:69
01/05/13 02:01:36,000 kernel: AirPort: RSN handshake complete on en1
01/05/13 02:01:37,612 ntpd: bind(25) AF_INET6 fe80::ba8d:12ff:fe2c:a4a8%5#123 flags 0x11 failed: Can't assign requested address
01/05/13 02:01:37,612 ntpd: unable to create socket on en1 (13) for fe80::ba8d:12ff:fe2c:a4a8#123
01/05/13 02:01:40,596 configd: network configuration changed.
01/05/13 02:01:40,680 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Probe
01/05/13 02:01:40,680 UserEventAgent: CaptiveNetworkSupport:CaptiveStartDetect:2343 Bypassing probe on BUCK because it is protected and not on the exception list
01/05/13 02:01:40,681 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Unknown
01/05/13 02:01:40,686 configd: network configuration changed.
01/05/13 02:01:44,786 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - PreProbe
01/05/13 02:01:44,790 configd: network configuration changed.
01/05/13 02:01:49,338 configd: network configuration changed.
01/05/13 02:01:49,346 mDNSResponder: mDNS_RegisterInterface: Frequent transitions for interface en1 (192.168.0.101)
01/05/13 02:01:49,363 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Probe
01/05/13 02:01:49,364 UserEventAgent: CaptiveNetworkSupport:CaptiveStartDetect:2343 Bypassing probe on BUCK because it is protected and not on the exception list
01/05/13 02:01:49,364 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Unknown
01/05/13 02:01:49,366 configd: network configuration changed.
01/05/13 02:02:36,000 kernel: wlEvent: en1 en1 Link DOWN virtIf = 0
01/05/13 02:02:36,000 kernel: wl0: Beacon Loss Event
01/05/13 02:02:36,000 kernel: AirPort: Link Down on en1. Reason 4 (Disassociated due to inactivity).
01/05/13 02:02:36,000 kernel: en1: BSSID changed to 00:00:00:00:00:00
01/05/13 02:02:36,224 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - PreProbe
01/05/13 02:02:36,230 configd: network configuration changed.
01/05/13 02:02:36,240 mDNSResponder: DeregisterInterface: Frequent transitions for interface en1 (192.168.0.101)
01/05/13 02:02:43,000 kernel: MacAuthEvent en1 Auth result for: 00:0c:f6:28:0c:69 Auth timed out
01/05/13 02:02:46,000 kernel: MacAuthEvent en1 Auth result for: 00:0c:f6:28:0c:69 MAC AUTH succeeded
01/05/13 02:02:46,000 kernel: wlEvent: en1 en1 Link UP virtIf = 0
01/05/13 02:02:46,000 kernel: AirPort: Link Up on en1
01/05/13 02:02:46,000 kernel: en1: BSSID changed to 00:0c:f6:28:0c:69
01/05/13 02:02:47,000 kernel: wl0: Roamed or switched channel, reason #4, bssid 00:0c:f6:28:0c:69
01/05/13 02:02:47,000 kernel: en1: BSSID changed to 00:0c:f6:28:0c:69
01/05/13 02:02:47,000 kernel: AirPort: RSN handshake complete on en1
01/05/13 02:02:47,615 ntpd: bind(25) AF_INET6 fe80::ba8d:12ff:fe2c:a4a8%5#123 flags 0x11 failed: Can't assign requested address
01/05/13 02:02:47,615 ntpd: unable to create socket on en1 (17) for fe80::ba8d:12ff:fe2c:a4a8#123
01/05/13 02:02:47,937 configd: network configuration changed.
01/05/13 02:02:47,944 mDNSResponder: mDNS_RegisterInterface: Frequent transitions for interface en1 (FE80:0000:0000:0000:BA8D:12FF:FE2C:A4A
01/05/13 02:02:47,944 mDNSResponder: mDNS_RegisterInterface: Frequent transitions for interface en1 (192.168.0.101)
01/05/13 02:02:47,960 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Probe
01/05/13 02:02:47,960 UserEventAgent: CaptiveNetworkSupport:CaptiveStartDetect:2343 Bypassing probe on BUCK because it is protected and not on the exception list
01/05/13 02:02:47,961 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Unknown
01/05/13 02:02:47,963 configd: network configuration changed.
01/05/13 02:02:54,883 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - PreProbe
01/05/13 02:02:54,888 configd: network configuration changed.
01/05/13 02:02:54,894 configd: network configuration changed.
01/05/13 02:02:57,594 configd: network configuration changed.
01/05/13 02:02:57,603 mDNSResponder: mDNS_RegisterInterface: Frequent transitions for interface en1 (192.168.0.101)
01/05/13 02:02:57,619 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Probe
01/05/13 02:02:57,620 UserEventAgent: CaptiveNetworkSupport:CaptiveStartDetect:2343 Bypassing probe on BUCK because it is protected and not on the exception list
01/05/13 02:02:57,620 UserEventAgent: CaptiveNetworkSupport:CaptivePublishState:1211 en1 - Unknown

cmq ecco quello che è successo mentre ero connessa in chat e poco dopo che mi sono disconnessa.

[flashcream]

non c'è nulla di strano. non c'è nessuna intrusione.

si vede la regolare aperture delle porte che ti hanno permesso il collegamento in chat e si vede che hai attivo il firewall (pure in modalità stealth). se hai un router, il firewall è inutile, ma puoi tenerlo attivo. però la modalità stealth, a mio parere, fa più casini che altro. vedi tu se disabilitarla in pref. sistema/sicurezza/firewall/opzioni. si vede, infine, che hai chiuso la connessione. null'altro che possa far pensare ad intrusioni.

[NickyBrenda]

A me sembrava strano perchè non l'avevo mai vista così però è pur vero che non avevo mai controllato la console quando entravo su quella chat . Grazie mille per il tuo aiuto! Ti volevo chiedere, c'è qualche dicitura della console in generale, che deve allarmare? Grazie ancora

Quindi mi consigli di disattivare lo stealth? Io l'avevo attivato perchè pensavo proteggesse ancora di più però se rischia di incasinare le cose lo disattivo

[flashcream]

non vedo nulla di allarmante. i logs sono sempre ricchi di informazioni che possono sembrare problemi. alla fine quello che conta è l'esperienza d'uso: se il tuo mac va bene e risponde ai tuoi comandi, non hai problemi.

io disattivo la modalità stealth perchè il fatto di essere visti sulla porta 7 (ICMP) spesso è utile. anche il nostro provider potrebbe richiederlo e non solo lui. essere visibili, non coincide col essere "attaccabili" o peggio "bucabili".

[NickyBrenda]

ah ecco ho capito Dato che ti vedo ferrato sull'argomento ti volevo chiedere se c'è un modo per proteggersi al 100% da attacchi di persone (a parte il buon senso di non scaricare e aprire file sospetti). Sto spesso sulle chat e si entra in contatto con persone di tutti i tipi e non vorrei dover vivere brutte esperienze.

[flashcream]

certamente non devi aprire file sospetti di dubbia provenienza. aggiorna sempre il sistema operativo, java e flash player che sono due tra i software con più falle in assoluto. cosi facendo hai già "innalzato" una barriera naturale verso exploit di sicurezza, backdoors e malware in genere. attiva pure il firewall, ma non installare un antivirus, che ancora di fatto non serve (ci sono solo 3 trojan potenzialmente in giro + relative varianti), a meno che la legge non te lo imponga per la presenza su HD di dati personali di altri (legge privacy).

se hai Mac OS X 10.8 consenti che in pref. sistema/sicurezza si possano aprire solo applicazioni da app store/sviluppatori identificati e soprattutto permetti che nelle opzioni si aggiorni automaticamente l'elenco dei download sicuri.

se vuoi stare ancora più tranquilla, non utilizzare un utente amministratore, ma standard. alla fine, come vedi, sono semplici e naturali comportamenti.

[flashcream]

infine, aggiungo che non devi attivare in pref. sistema/condivisione nulla di più di quello che serve. ammesso ti serva qualcosa. per impostazione predefinita non c'è nulla di attivo. l'utente amministratore (o standard) che utilizzi deve correttamente avere una password non banale.

è tutto.

[NickyBrenda]

Grazie mille mi sembrano ottimi consigli