4 способа узнать, был ли удаленный доступ к вашему Mac

Это одно из худших чувств.

Вы используете свой компьютер Mac и начинаете замечать, что некоторые вещи не работают. Появляются файлы, которых вы никогда раньше не видели. Возможно, вы заметили приложения, которые никогда не устанавливали. Или, может быть, ваша мышь даже начнет двигаться сама по себе.

Ваш Mac был взломан?

Я Эндрю, бывший администратор Mac с пятнадцатилетним опытом работы в области информационных технологий, и я покажу вам, что нужно проверить, если вы подозреваете, что ваш MacBook, iMac или любое другое устройство под управлением macOS было скомпрометировано.

В этой статье мы рассмотрим три различных сценария. Мы рассмотрим, как определить, активно ли кто-то следит за вашим Mac, как определить, был ли ваш Mac скомпрометирован в прошлом, и как защитить вашу ОС, чтобы предотвратить несанкционированный удаленный доступ в будущем.

Давайте погрузимся.

Как я узнаю, что кто-то получает удаленный доступ к моему Mac?

Если вы подозреваете, что кто-то может получить удаленный доступ к вашему Mac во время его использования, есть несколько явных признаков.

1. Проверьте свет камеры

Вы, наверное, слышали кошмарные истории о хакерах, запускающих веб-камеры без ведома владельца и наблюдающих — или, что еще хуже, записывающих — все, что может видеть камера.

К счастью, у компьютеров Mac со встроенными камерами, таких как iMac и MacBook, есть индикатор, который становится зеленым, когда камера используется.

Является ли свет надежным подсказкой?

Apple утверждает, что камеры соединены последовательно с камерой, а это означает, что если свет отключится, камера также отключится. В собственные слова компании,

«Камера спроектирована таким образом, что она не может активироваться без включения индикатора камеры. Вот как вы можете определить, включена ли ваша камера».

Тем не менее, подсветка веб-камеры была отключена раньше, и не исключено, что хакеры смогут найти способ включить вашу камеру, сохраняя при этом тусклым светодиодный индикатор.

Не полагайтесь на светодиод на 100%, но если вы заметите, что он включен, и вы не запускаете какие-либо программы, обращающиеся к камере, возможно, кто-то еще имеет к ней доступ.

2. Найдите значок удаленного рабочего стола Apple или общего доступа к экрану.

Программное обеспечение Apple для удаленного управления под названием Удаленный рабочий стол Apple (сокращенно ARD) позволяет учителям, ИТ-специалистам и всем, у кого есть разрешение, отслеживать, манипулировать и даже контролировать другие компьютеры Macintosh.

Демонстрация экрана — это еще один способ предоставления кому-либо или другому устройству доступа к вашему компьютеру.

Но когда кто-то подключается к вашему Mac с помощью ARD или совместного использования экрана, macOS отображает значок совместного использования экрана в правом верхнем углу экрана.

Если ваш Mac находится на экране блокировки (или на экране входа в систему), вы также увидите сообщение «Ваш экран наблюдают».

В зависимости от версии вашей ОС, это будет в правом верхнем углу рядом со значком общего доступа к экрану в macOS 12 Monterey или рядом с центром над учетными записями пользователей в более старых версиях.

Вот как это выглядит в macOS Monterey:

Если вы видите этот значок, возможно, ваш Mac находится под наблюдением.

Есть два случая, когда этот значок не означает, что кто-то удаленно контролирует ваш экран.

Во-первых, если вы используете AirPlay для беспроводного зеркалирования экрана вашего Mac. Когда вы сделаете это, подключившись к Apple TV или другому устройству, совместимому с AirPlay, macOS отобразит значок общего доступа к экрану точно так же, как ОС делает это с ARD и удаленным совместным использованием экрана.

Конечно, если вы не инициировали сеанс зеркального отображения экрана, возможно, кто-то удаленно запустил AirPlay. Но если бы у кого-то был доступ к вашему Mac, маловероятно, что у него или у нее были бы какие-либо мотивы для использования AirPlay.

Второй сценарий возникает при записи вашего экрана. Знаете ли вы, что в macOS возможна запись экрана? Это.

Самый простой способ начать сеанс записи экрана — использовать сочетание клавиш Shift + Command + 5, а затем нажать кнопку «Запись».

Если вы следите за происходящим дома, вы заметите, что в правом верхнем углу появляется кружок с квадратной кнопкой остановки. Вы увидите значок общего доступа к экрану только в том случае, если ваш экран заблокируется во время записи экрана.

3. Следите за движением мыши или другим неустойчивым поведением графического интерфейса

Ваша мышь движется сама по себе?

Программы открываются или закрываются сами по себе? Вы видите нажатия клавиш, введенные на вашем компьютере?

Эти и другие странные или неустойчивые действия могут указывать на то, что кто-то дистанционно управляет вашим Mac.

Убедитесь, что любые периферийные устройства ввода, такие как мышь Magic Mouse, беспроводная клавиатура или трекпад, не работают неправильно, так как они могут вызывать некоторые из тех же симптомов.

4. Используйте команду Кто

Если на вашем Mac включен удаленный вход, кто-то может получить доступ к вашему Mac с помощью Secure Shell (SSH).

Простой способ проверить — запустить команду «кто» из терминала macOS. На панели запуска найдите «Терминал» и щелкните приложение, чтобы открыть его.

В командной строке введите «кто» (без кавычек) и нажмите клавишу возврата.

Терминал покажет всех пользователей, вошедших в систему на вашем компьютере.

Удаленные пользователи будут перечислены вместе с их IP-адресами. На скриншоте выше пользователь с именем «jeremiah» подключен с IP-адреса 192.168.1.22.

Как узнать, взломан ли ваш Mac

Если вы не подозреваете, что кто-то активно обращается к вашему Mac, но хотите знать, имел ли кто-нибудь удаленный доступ к вашему Mac в прошлом, вы можете посмотреть несколько мест.

1. Проверьте файлы журнала

Вернувшись в Терминал, введите следующую команду:

log show –last 7d –predicate ‘processImagePath СОДЕРЖИТ «общий экран» И eventMessage СОДЕРЖИТ «Аутентификация»’

Эта команда покажет все элементы журнала общего доступа к экрану за последние семь дней с сообщениями об аутентификации.

В приведенном выше примере вы можете видеть, что пользователь jeremiah попытался установить сеанс совместного использования экрана с IP-адреса 192.168.1.22.

2. Ищите новые или измененные файлы

Вы заметили какие-либо новые файлы, которые вы не создавали? Некоторые из ваших файлов изменены, но вы их не меняли?

Это признаки того, что кто-то мог получить доступ к вашему компьютеру и манипулировать им.

Имейте в виду, что система генерирует свои собственные файлы во всей ОС, поэтому не делайте поспешных выводов, если увидите файлы, которые не узнаете.

Тем не менее странные файлы могут быть признаком несанкционированного удаленного доступа.

3. Проверьте наличие новых учетных записей пользователей

Снова откройте Терминал и введите:

дскл . список /Пользователи

Вы можете игнорировать любых пользователей, начинающихся со знака подчеркивания, а также можете игнорировать демон, никтои корень. Это обычные пользователи, встроенные в macOS.

Если вы видите каких-либо пользователей, которых вы не узнаете, возможно, кто-то с удаленным доступом создал этих пользователей и использует учетные записи для доступа к вашему Mac.

4. Проверьте наличие вредоносных программ

Еще один элемент для проверки — вредоносное ПО.

Вредоносное ПО существует во многих формах, но одной из его функций является удаленный доступ к вашему компьютеру для различных целей, таких как кража личных данных, создание бот-сетей и вымогательство.

Битдефендер Антивирус последовательно входит в число лучших из лучших, когда речь идет о сканировании и защите от вирусов в macOS. Программное обеспечение не бесплатное, поэтому будьте готовы выложить несколько долларов в год, чтобы использовать программу.

Еще один хороший вариант Malwarebytes. Malwarebytes тоже платная, но у программы есть 14-дневная пробная версия. Так что, если все, что вам нужно, это однократное сканирование, это может быть хорошим вариантом.

5. Ищите недавно установленные приложения

В меню Finder нажмите «Перейти», а затем «Приложения». В представлении списка нажмите «Дата изменения», чтобы отсортировать приложения.

Вы замечаете какие-либо недавние программы, которые кажутся вам подозрительными или непонятными?

Если это так, введите имена приложений в поисковой системе Интернета, чтобы проверить, являются ли они законными. Если нет, удалите их.

6. Проверьте элементы входа

Несанкционированный запуск программ может указывать на присутствие на вашем компьютере шпионского, рекламного или другого вредоносного ПО.

Это может быть что-то столь же простое (и гнусное), как сценарий, который повторно включает совместное использование экрана каждый раз, когда вы входите в свой компьютер.

Чтобы увидеть, какие программы запускаются при входе в систему, перейдите в «Системные настройки» и щелкните значок «Пользователи и группы». Затем щелкните вкладку «Элементы входа» с правой стороны.

На этой панели будут перечислены программы, которые вы запускали при входе в систему. Выберите все элементы, которые вам незнакомы или которые вам не нужны, а затем нажмите кнопку «минус», чтобы удалить их.

Как запретить кому-либо удаленный доступ к вашему Mac

Даже если у вас нет подозрений, что кто-то получал доступ к вашему Mac в прошлом, всегда полезно настроить параметры вашей ОС, чтобы сделать ее более безопасной. Это называется закалкой и не требует слишком много времени. Вот некоторые настройки для проверки:

1. Проверьте доступ к камере и микрофону

В Системных настройках нажмите «Безопасность и конфиденциальность», а затем выберите вкладку «Конфиденциальность».

Щелкните значок замка в левом нижнем углу и выполните аутентификацию, чтобы изменить настройки на этой панели.

Прокрутите до Камера слева и выберите элемент. Любые приложения, у которых есть доступ, будут перечислены справа с галочкой в ​​поле рядом с ним.

Снимите флажки со всех программ, которым вы не хотите предоставлять доступ к камере.

Выполните те же действия для микрофона.

2. Установите антивирусное программное обеспечение

Хорошая антивирусная программа, хотя и может быть громоздкой, является еще одной линией защиты от гнусной активности на вашем Mac. Рекомендации смотрите выше.

3. Отключите SSH, совместное использование экрана и доступ к удаленному управлению.

Вернувшись в Системные настройки, перейдите на панель «Общий доступ».

Снимите следующие флажки: «Совместное использование экрана», «Удаленный вход» и «Удаленное управление».

Это ограничит удаленный доступ к вашему Mac. Вы всегда можете вручную вернуть их обратно, если вам нужно разрешить временный доступ к вашему Mac.

Часто задаваемые вопросы

Теперь вы знаете индикаторы удаленного доступа и то, как защитить свой Mac от несанкционированного доступа в будущем, но у вас может возникнуть еще пара вопросов.

Можно ли удаленно взломать Mac?

Да, Mac не застрахованы от удаленного взлома. Если SSH включен, любой с правами администратора может удаленно выполнить код, который может привести к полному захвату вашего Mac.

Как просмотреть недавнюю активность на моем Mac?

Файл system.log в утилите консоли — хорошее место для начала. В этом файле журнала вы можете искать определенные ключевые слова. Если вы специально ищете события демонстрации экрана, воспользуйтесь приведенными выше инструкциями.

Верните себе контроль над своим Mac

Следуя описанным выше шагам, вы не только сможете определить, имеет ли кто-то удаленный доступ к вашему Mac, но также сможете проверить прошлую активность и даже защитить свою систему, чтобы предотвратить будущие компрометации.

Не нужно бояться при использовании вашего Mac. Следуя этому руководству и руководствуясь здравым смыслом, вы будете уверены, что ваш Mac принадлежит вам, и никто, кроме вас и тех, кому вы даете разрешение, не будет иметь к нему доступ.