Quelqu'un a-t-il copié des fichiers de mon Mac?

1

J'étais brièvement absent de mon MacBook Air (Yosemite) et je soupçonnais que quelqu'un avait copié des fichiers à partir de mon Mac. Voici ce que je peux voir dans le fichier system.log sous console / var / log. Certains experts pourraient-ils indiquer si ce journal "(non unique): 000000000820" peut indiquer que quelqu'un a branché une clé USB? Que dois-je rechercher pour savoir quel répertoire de fichiers a éventuellement été volé?

_____________________COMMENCER______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
utilisateur283539
la source
Juste curieux, quel journal était-ce? Aussi, vous souvenez-vous si vous avez verrouillé l'ordinateur ou non?
Matthew N
C'était le fichier system.log sous console / var / log, je n'ai pas verrouillé l'ordinateur.
user283539 le

Réponses:

3

Voici la commande permettant de générer une liste de tous les fichiers consultés au cours des 72 dernières heures:

sudo find / -atime -72h -ls > output.txt

À partir de là, vous pouvez exécuter "stat" sur chaque fichier pour obtenir le temps d'accès.

cat output.txt | while read in; do stat; done > accessTimes.txt

Vous pouvez limiter votre recherche à une plage de dates / heures spécifique via un éditeur de texte ou une commande grep.

grep "Mar 31 21:" accessTimes.txt

Cela peut ne pas être suffisant pour prouver un acte répréhensible, mais cela peut être démenti s'il n'y avait aucun fichier accédé pendant la période de préoccupation. En outre, donne une idée de ce qui a été éventuellement accédé.

Jason
la source
Je vous remercie. Une autre question, "accéder" inclut-il les fichiers copiés sur une clé USB ou un autre disque dur USB portable? J'ai examiné les fichiers "accédés" au cours de cette période. Je n'ai reconnu que certains fichiers système dont le nom ne me dit rien.
user283539
Oui, le temps d'accès dans l'inode est mis à jour avec un fichier, une copie.
Jason
0

À partir de ce journal, tout ce que vous pouvez dire est qu'un périphérique USB a été connecté ou déconnecté. Il pourrait s'agir d'un lecteur USB, mais là encore, ce lecteur pourrait être en veille. Quelqu'un aurait pu brancher un iPhone pour le charger. Le fait est qu'il est impossible de savoir.

Même si un lecteur USB était branché, il est impossible de savoir si des fichiers ont été copiés à partir de votre ordinateur. Pour voir si les fichiers ont été copiés de (ou vers) votre ordinateur, vous avez besoin d'un journal d'audit . Apple en propose un, mais il est désactivé par défaut.

Voir ce post sur OpenBSM .

Allan
la source
Je vous remercie. Vous conviendrez que certains lecteurs USB ont été branchés pendant cette période pour avoir invité cet élément enregistré? L’ordinateur n’a pas de prise USB connectée. Le simple fait de rester assis ici n’aurait pas dû ouvrir ce journal, pas vrai? Aussi, je ne comprends pas le code "(non unique) 000000000820 0x5ac 0x8406 0x820, 3. Est-ce que chaque clé USB a un numéro de série comme 000000000820? Merci
user283539
Certaines clés USB ont des numéros de série uniques et d’autres pas. J'ai plusieurs clés USB SanDisk qui apparaissent avec le même numéro de série
Allan
Je vous remercie. J'imagine qu'il y a eu une tentative de vol de fichiers à l'aide d'une clé USB, car l'ordinateur lui-même n'aurait pas demandé la 1ère ligne, non?
user283539
Je ne peux pas dire avec certitude. Comment savez-vous que l'ordinateur ne s'est pas réveillé et "re-connecté" un périphérique USB? À partir du journal, nous ne pouvons tout simplement pas dire.
Allan
Je le savais car aucun ordinateur USB n'était connecté à l'ordinateur portable avant mon départ et après mon retour.
user283539