1 votos

Eliptical View avatar

¿Alguien ha copiado archivos de mi Mac?

Preguntado el 2 de Abril, 2018
Cuando se hizo la pregunta
252 visitas
Cuantas visitas ha tenido la pregunta
3 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Me alejé brevemente de mi Macbook Air (Yosemite) y sospeché que alguien había copiado archivos de mi Mac. Esto es lo que puedo ver desde el system.log bajo la consola /var/log. ¿Podrían algunos expertos aconsejarme si este registro "(no único): 000000000820" puede ser señal de que alguien conectó una unidad USB? ¿Qué debo buscar para saber qué directorio de archivos fue posiblemente robado?

_____________________BEGIN______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
Preguntado el 2 de Abril, 2018 por Eliptical View

0 votos

Avatar de Matt121

Sólo por curiosidad, ¿qué registro era este? Además, ¿recuerdas si bloqueaste el ordenador o no?

Comentado el 2 de Abril, 2018 por Matt121

0 votos

Avatar de Eliptical View

Era el system.log bajo la consola /var/log, no bloqueé el ordenador.

Comentado el 2 de Abril, 2018 por Eliptical View

Respuestas

¿Demasiados anuncios?

3voto

Jason avatar
Jason Puntos 31

Este es el comando para generar una lista de todos los archivos a los que se ha accedido en las últimas 72 horas:

sudo find / -atime -72h -ls > output.txt

A partir de ahí, puedes ejecutar 'stat' en cada archivo para obtener el tiempo de acceso.

cat output.txt | while read in; do stat; done > accessTimes.txt

Puede restringir su búsqueda a un rango de fecha/hora específico mediante un editor de texto o un comando grep.

grep "Mar 31 21:" accessTimes.txt

Esto puede no ser suficiente para probar cualquier delito, pero puede refutarlo si no se accedió a los archivos durante la ventana de preocupación. Además, da una idea de lo que posiblemente se accedió.

Respondido el 2 de Abril, 2018 por Jason (31 Puntos )

0 votos

Avatar de Eliptical View

Gracias. Otra pregunta, ¿el "acceso" incluye los archivos copiados en una memoria USB o en otro disco duro USB portátil? He investigado los archivos a los que se ha "accedido" durante ese periodo. Sólo he reconocido algunos archivos de sistema cuyos nombres no me suenan.

Comentado el 3 de Abril, 2018 por Eliptical View

0 votos

Avatar de Jason

Sí, el tiempo de acceso en el inodo se actualiza con un archivo una copia.

Comentado el 3 de Abril, 2018 por Jason

2voto

Jose Chavez avatar
Jose Chavez Puntos 645

El otro post, en el que se afirma que es imposible saber qué es este dispositivo, es incorrecto.

La línea que indicas "USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3" en realidad te dice exactamente qué tipo de dispositivo es:

El número 0x5ac es un Vendor ID que indica que el dispositivo fue fabricado por Apple Inc.

El número 0x8406 es un ID de producto que indica que el dispositivo es el lector de tarjetas SDXC integrado en el portátil.

El número 0x820 es el número de serie, que es siempre este número para todos los lectores de tarjetas SDXC de Apple.

El número 3 es el número de revisión, lo que significa que este lector de tarjetas es una revisión 3.00.

Esto significa que el dispositivo que se conectó es el lector de tarjetas SDXC interno del portátil. Normalmente este dispositivo está siempre conectado, pero puede desconectarse debido, por ejemplo, a la puesta en reposo del portátil.

Esto le indica que nadie ha conectado una unidad USB externa a su portátil. En su lugar, el lector de tarjetas SDXC interno simplemente se comunicó con el procesador principal, lo que hace todo el tiempo.

Respondido el 4 de Febrero, 2020 por Jose Chavez (645 Puntos )

0voto

Douglas avatar
Douglas Puntos 10417

De ese registro, todo lo que se puede decir es que un dispositivo USB fue conectado o desconectado. Podría ser una unidad USB, pero también esa unidad podría estar durmiendo. Alguien podría haber conectado un iPhone para cargarlo. La cuestión es que es imposible saberlo.

Aunque se haya conectado una unidad USB, no hay forma de saber si los archivos se copiaron desde su máquina. Para ver si los archivos fueron, de hecho, copiados desde (o hacia) su máquina, necesita un registro de auditoría . Apple viene con uno pero está desactivado por defecto.

Ver este post en OpenBSM .

Respondido el 2 de Abril, 2018 por Douglas (10417 Puntos )

0 votos

Avatar de Eliptical View

Gracias. ¿Está de acuerdo en que alguna unidad USB estaba conectada durante ese período para haber provocado este elemento registrado? El ordenador no tenía ningún USB conectado. El simple hecho de estar sentado aquí por sí mismo no debería haber provocado este registro, ¿verdad? Además, no entiendo el código "(no único) 000000000820 0x5ac 0x8406 0x820, 3. ¿Cada unidad USB tiene un número de serie como 000000000820? Gracias

Comentado el 3 de Abril, 2018 por Eliptical View

0 votos

Avatar de Douglas

Algunos USBs tienen números SN únicos y otros no. Tengo varias unidades USB de SanDisk que aparecen con el mismo número de serie

Comentado el 3 de Abril, 2018 por Douglas

0 votos

Avatar de Eliptical View

Gracias. Imagino que hubo un intento de robo de archivos mediante una unidad USB, ya que el propio ordenador no habría provocado la primera línea, ¿no?

Comentado el 3 de Abril, 2018 por Eliptical View
Mostrar 3 comentarios más

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X