Little Snitch informa las conexiones salientes desde Mach Kernel. ¿Estoy infectado?

Navega tus respuestas
3

Superviso todo mi tráfico usando Little Snitch. Recientemente, he notado extrañas direcciones IP que hacen conexiones al proceso "mach_kernel". La mayoría de estas direcciones IP parecen provenir de otros programas (por ejemplo, puedo ver una dirección de Google conectada a mach_kernel cuando estoy navegando en Gmail a través de mi navegador).

¿Mi Mac está infectado? La principal preocupación aquí es que tengo un virus que es el tráfico de MitMing de otros programas en mi caja. ¿Cómo puedo saber si este es el caso?

    
pregunta Dan Jaouen 15.01.2015 - 04:24

1 respuesta

1

Le he preguntado al equipo de desarrollo de Little Snitch en obdev sobre este tema. Aquí está la respuesta:

  

De hecho, el tráfico local a través del protocolo AFP o SMB se enruta mediante el proceso mach_kernel en los sistemas OS X más nuevos.

     

Se define como / mach_kernel en 10.10.x.   Estoy en OS X 10.11.4 aquí, donde la ruta del proceso es ahora / Sistema / Biblioteca / Kernels / kernel

     

Lamentablemente, no se puede tratar de la misma manera que en otros procesos, pero generalmente las reglas de su red local deberían cubrir todas las conexiones relevantes para él.

     

Pero debo admitir que también recuerdo un caso en el que las conexiones externas se asocian con el mach_kernel por error y parece suceder cuando las tablas en el caché de Little Snitch Network Monitor se mezclaron de alguna manera.   ¿Tal vez experimenta tales conexiones externas asociadas con el proceso mach_kernel?   Es posible que ese sea un problema de memoria: cuando su sistema (incluido el Little Snitch Network Monitor) se está ejecutando desde hace bastante tiempo ... Ya hablé con nuestros desarrolladores al respecto y nos mantendremos atentos a ese problema.

     

...

     

Simon

"las tablas en el cache de Little Snitch Network Monitor se mezclaron de alguna manera"? En serio?

De hecho, parece que ocurre después de que mi máquina haya estado funcionando durante días o semanas sin reiniciar. Y un reinicio lo arreglará temporalmente. Es posible que esto sea simplemente un error en Little Snitch.

Sin embargo, me parece dudoso que el tráfico enrutado a través de mach_kernel "no se pueda tratar de la misma manera que otros procesos". No estoy informado sobre cómo se arquea Little Snitch. Puede que no sea capaz de ejecutarse en el espacio del kernel (anillo 0), pero me parece terriblemente conveniente en el clima actual del espionaje gubernamental en masa que el kernel OSX puede simplemente tomar el control y moverse por Little Snitch. Creo que IPTables no tendría ningún problema para bloquear el tráfico, pero ciertamente es una arquitectura y un modelo de usuario completamente diferente.

Consulte aquí para obtener referencias adicionales: enlace

Cambiar a FOSS / Linux se parece cada vez más a la ruta a seguir.

    
respondido por el Midwire 12.07.2016 - 22:56

Lea otras preguntas en las etiquetas

iPhone, ¿es posible recuperar solo una aplicación desde una copia de seguridad? ¿Funcionará SCPlugin en Mac OS Yosemite (10.10)?