1 votos

Eliptical View avatar

¿Alguien copió archivos de mi Mac?

Preguntado el 2 de Abril, 2018
Cuando se hizo la pregunta
256 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Estuve lejos de mi MacBook Air (Yosemite) brevemente y sospechaba que alguien había copiado archivos de mi Mac. Aquí es lo que puedo ver en el system.log bajo consola /var/log. ¿Podrían algunos expertos asesorar si este registro "(no único): 000000000820" puede ser una señal de que alguien conectó una unidad USB? ¿Qué necesito buscar para averiguar qué directorio de archivos fueron posiblemente robados?

______________________INICIO______________________

Mar 31 21:18:41 Este mac kernel[0]: Identificador USBMSC (no único): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 Este mac kernel[0]: en0: canal cambiado a 1
Mar 31 21:18:41 Este mac.local FinderSyncAPIExtension[1051]: La ruta de la tubería es un enlace simbólico, conectándose al destino.
Mar 31 21:18:41 Este mac kernel[0]: IOBluetoothUSBDFU::sondeo
Mar 31 21:18:41 Este mac kernel[0]: IOBluetoothUSBDFU::sondeo ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 Este mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][iniciar] -- completado -- resultado = TRUE -- 0xb000 ****
Mar 31 21:18:41 Este mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][iniciar] -- Completado (coincidencia en dispositivo) -- 0xb000 ****
Mar 31 21:27:27 Este mac kernel[0]: USB (Simulación XHCI Root Hub USB 2.0): Puerto 12 en el bus 0xa conectado o desconectado: portSC(0xe4202a0)
Mar 31 21:27:27 Este mac kernel[0]: El dispositivo USB Card Reader (Puerto 3 del Hub en 0x15000000) pudo haber causado un despertar al desconectarse
Preguntado el 2 de Abril, 2018 por Eliptical View

0 votos

Avatar de Matt121

Sólo por curiosidad, ¿a qué registro te refieres? Además, ¿recuerdas si bloqueaste la computadora o no?

Comentado el 2 de Abril, 2018 por Matt121

0 votos

Avatar de Eliptical View

Fue el sistema.log bajo consola /var/log, no bloqueé la computadora.

Comentado el 2 de Abril, 2018 por Eliptical View

Respuestas

¿Demasiados anuncios?

3voto

Jason avatar
Jason Puntos 31

Aquí está el comando para generar una lista de todos los archivos accedidos en las últimas 72 horas:

sudo find / -atime -72h -ls > output.txt

A partir de ahí, puedes ejecutar 'stat' en cada archivo para obtener el tiempo de acceso.

cat output.txt | while read in; do stat; done > accessTimes.txt

Puedes limitar tu búsqueda a un rango de fecha/hora específico a través de un editor de texto o el comando grep.

grep "Mar 31 21:" accessTimes.txt

Esto puede no ser suficiente para probar alguna actividad incorrecta, pero puede desmentirla si no hubo archivos accedidos durante la ventana de preocupación. Además, da una idea de lo que posiblemente fue accedido.

Respondido el 2 de Abril, 2018 por Jason (31 Puntos )

0 votos

Avatar de Eliptical View

Gracias. Otra pregunta, ¿incluye "acceder" a archivos copiados en una memoria USB o en otro disco duro portátil USB? Miré los archivos "accedidos" durante ese periodo. Solo reconocí algunos archivos del sistema cuyos nombres no me resultan familiares.

Comentado el 3 de Abril, 2018 por Eliptical View

0 votos

Avatar de Jason

Sí, el tiempo de acceso en las actualizaciones del inode con un archivo copiado.

Comentado el 3 de Abril, 2018 por Jason

2voto

Jose Chavez avatar
Jose Chavez Puntos 645

El otro post, que afirma que es imposible saber qué es este dispositivo, es incorrecto.

La línea que indicas "USBMSC Identifier (no único): 000000000820 0x5ac 0x8406 0x820, 3" en realidad te dice exactamente qué tipo de dispositivo es:

El número 0x5ac es un ID de vendedor que te dice que el dispositivo fue fabricado por Apple Inc.

El número 0x8406 es un ID de producto que te dice que el dispositivo es el lector de tarjetas SDXC incorporado en la computadora portátil.

El número 0x820 es el número de serie, que siempre es este número para todos los lectores de tarjetas SDXC de Apple.

El número 3 es el número de revisión, lo que significa que este lector de tarjetas es una revisión 3.00.

Esto significa que el dispositivo que se conectó es el lector de tarjetas SDXC interno dentro de la computadora portátil. Normalmente este dispositivo siempre está conectado, pero puede desconectarse debido, por ejemplo, a que la computadora portátil se haya puesto en modo de suspensión.

Esto te indica que nadie conectó una unidad USB externa a tu computadora portátil. En cambio, el lector de tarjetas SDXC interno simplemente se comunicó con el procesador del host, lo cual hace todo el tiempo.

Respondido el 4 de Febrero, 2020 por Jose Chavez (645 Puntos )

0voto

Douglas avatar
Douglas Puntos 10417

Desde ese registro, todo lo que puedes decir es que se conectó o desconectó un dispositivo USB. Podría ser una unidad USB, pero también podría ser que esa unidad se esté poniendo en modo de suspensión. Alguien podría haber conectado un iPhone para cargarlo. El punto es que es imposible saberlo.

Inclusive si se conectó una unidad USB, no hay forma de saber si se copiaron archivos de tu máquina. Para ver si realmente se copiaron archivos (o desde) tu máquina, necesitas un registro de auditoría. Apple viene con uno, pero está deshabilitado por defecto.

Consulta esta publicación en OpenBSM.

Respondido el 2 de Abril, 2018 por Douglas (10417 Puntos )

0 votos

Avatar de Eliptical View

Gracias. ¿Estarías de acuerdo en que algún lápiz USB se conectó durante ese período para haber provocado este registro? La computadora no tenía ningún USB conectado. Simplemente estar aquí por sí sola no debería haber provocado este registro, ¿verdad? Además, no entiendo el código "(no único) 000000000820 0x5ac 0x8406 0x820, 3". ¿Cada lápiz USB tiene un número de serie como 000000000820? Gracias.

Comentado el 3 de Abril, 2018 por Eliptical View

0 votos

Avatar de Douglas

Algunos USB tienen números de serie únicos y otros no. Tengo varias unidades USB SanDisk que muestran el mismo número de serie.

Comentado el 3 de Abril, 2018 por Douglas

0 votos

Avatar de Eliptical View

Gracias. ¿Imagino que hubo un intento de robo de archivos usando una unidad USB ya que la computadora misma no habría solicitado la 1ª línea, ¿verdad?

Comentado el 3 de Abril, 2018 por Eliptical View
Mostrar 3 comentarios más

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X