Little Snitch informa conexões de saída do Mach Kernel - estou infectado?

3

Eu monito todo o meu tráfego usando o Little Snitch. Recentemente, notei endereços IP estranhos fazendo conexões com o processo "mach_kernel". A maioria desses endereços IP parece ter origem em outros programas (por exemplo, eu posso ver um endereço do Google conectado ao mach_kernel quando estou navegando no Gmail pelo meu navegador).

Meu Mac está infectado? A principal preocupação aqui é que eu tenho um vírus que é o tráfego MitMing de outros programas na minha caixa. Como posso saber se este é o caso?

Dan Jaouen
fonte
qual é o endereço IP "estranho"? para que possamos procurar por você.
Buscar웃
Infelizmente, eu não tenho nenhuma mão fora, já que eu reinicio meu Macbook toda vez que eu noto conexões mach_kernel (o que parece consertar as coisas, pelo menos temporariamente). No entanto, tenho notado que eles se relacionam com outros programas na minha caixa. Por exemplo, ao usar o Skype, veremos conexões com servidores da Microsoft ou, quando usar o Chrome, veremos conexões com servidores do Gmail. É por isso que estou preocupado com os ataques MitM.
Dan Jaouen
Abra o Terminal na sua Pasta de Utilitários e digite "lsof -i" e observe o resultado
Buscar웃
Eu não estou percebendo nada de estranho no lsof saída no momento, mas vou tentar novamente na próxima vez que notar a atividade mach_kernel.
Dan Jaouen
ok, me avise. Você sempre pode executar o aplicativo Clamxav para verificar se há vírus e outros. clamxav.com
Buscar웃

Respostas:

1

Eu perguntei à equipe de desenvolvimento do Little Snitch no obdev sobre esse problema. Aqui está a resposta:

Na verdade, o tráfego local sobre o protocolo AFP ou SMB é roteado pelo processo mach_kernel nos sistemas OS X mais recentes.

É definido como / mach_kernel no 10.10.x.   Eu estou no OS X 10.11.4 aqui, onde o caminho do processo é agora / System / Library / Kernels / kernel

Infelizmente, ele não pode ser tratado da mesma maneira que outros processos, mas normalmente suas regras de rede locais devem cobrir todas as conexões relevantes para ele.

Mas tenho que admitir que também me lembro de um caso em que conexões externas são associadas ao mach_kernel por engano e parece acontecer quando as tabelas no cache do Little Snitch Network Monitor foram misturadas de alguma forma.   Você talvez tenha essas conexões externas associadas ao processo mach_kernel?   Possivelmente isso é um problema de memória - acontecendo quando o seu sistema (incluindo o Little Snitch Network Monitor) está funcionando há algum tempo ... Eu já falei com nossos desenvolvedores sobre isso e vamos ficar de olho nesse problema.

...

Simon

"as tabelas no cache do Little Snitch Network Monitor foram mixadas de alguma forma"? A sério?

Parece, de fato, que isso acontece depois que minha máquina está funcionando por dias ou semanas sem reiniciar. E uma reinicialização corrigirá temporariamente. É possível que isso seja simplesmente um bug no Little Snitch.

No entanto, acho duvidoso que o tráfego seja roteado mach_kernel "não pode ser tratado da mesma forma que outros processos". Eu não sou informado sobre como o Little Snitch é arquitetado. Pode não ser capaz de rodar no espaço do kernel (anel 0), mas eu acho muito conveniente no clima atual do governo de massa espionar que o kernel do OSX pode simplesmente assumir o controle do Little Snitch. Acredito IPTables não teria esse problema em bloquear o tráfego, mas certamente é uma arquitetura e um modelo de usuário diferentes.

Veja aqui para referência adicional: https://security.stackexchange.com/questions/58815/do-firewalls-always-run-in-userspace

Mudar para o FOSS / Linux parece cada vez mais o caminho a seguir.

Midwire
fonte