ova
Torna al blog
·10 min di lettura·productdevbook

Come rilevare attività di rete sospette sul tuo Mac

Come notare presto attività di rete strane su un Mac: strumenti, segnali e i pattern che indicano davvero un problema.

  • Security
  • macOS
  • Network monitoring
  • Privacy

La ventola parte alle 2 di notte. Un amico menziona che la sua banca ha segnalato login insoliti. Leggi un thread su un pacchetto npm malevolo che esfiltra le variabili d'ambiente di sviluppo. All'improvviso ogni blip dal Mac sembra sospetto. Quasi sempre non lo è — macOS è chiacchierone per design — ma sapere come distinguere il rumore di fondo normale dall'attività di rete sospetta che gli utenti Mac dovrebbero davvero indagare è una competenza che vale la pena avere. Ecco una checklist calma, senza terrorismo.

Parti da questa premessa: la grande maggioranza del traffico inatteso su un Mac sano è benigna. iCloud, Time Machine, notifiche push, aggiornamenti software, telemetria dalle app che hai installato — tutti generano traffico ad ore strane. Il punto di questa checklist è riconoscere il piccolo set di pattern che vale genuinamente la pena di guardare due volte.

Come appare il "rumore normale"

Prima di poter individuare un segnale sospetto, devi sapere come appare il traffico in background su un Mac di cui ti fidi.

Servizi di sistema Apple

Appaiono sotto PID che non riconosci immediatamente. Comuni:

  • cloudd — sync iCloud (Foto, Drive, Portachiavi iCloud)
  • bird — anche iCloud (sì, due daemon)
  • apsd — Apple Push Notification service (sempre attivo, basso rate)
  • nsurlsessiond — trasferimenti URLSession in background (App Store, aggiornamenti OS, Time Machine verso target di rete)
  • softwareupdated — controlli aggiornamenti macOS (raffiche occasionali)
  • gamed, imagent, identityservicesd — Game Center, iMessage, presenza FaceTime
  • mDNSResponder — discovery Bonjour sul Wi-Fi locale (solo locale, non internet)
  • syspolicyd, trustd — code-signing e validazione certificati (piccoli, frequenti)
  • parsecd, famiglia Siri — suggerimenti Spotlight, Siri

Se ordini per byte e vedi solo questi nomi più il browser e le app di chat, il Mac sta bene.

App "sync" di terze parti

Qualsiasi cosa prometta "file ovunque" gira costantemente:

  • Dropbox, Google Drive, OneDrive, Box
  • 1Password sync, Bitwarden
  • Notion, Obsidian Sync, Bear, Things
  • Spotify, Music (aggiornamenti del catalogo, sync)
  • Client VPN (TailscaleApp, NordVPN) — tengono i tunnel attivi

Il loro traffico è piccolo a regime e fa raffiche quando cambi qualcosa che sincronizzano. Il traffico a regime a riposo è normale.

Browser in background

Chrome e Safari mantengono connessioni ai server di aggiornamento delle estensioni, agli endpoint di sync, e a qualsiasi scheda fissata che hai dimenticato (una scheda Slack web, un calendario, una scheda YouTube Music). Un browser a riposo muove comunque byte.

Segni di attività di rete sospetta che gli utenti Mac dovrebbero indagare

Adesso i pattern davvero sospetti. Sono quelli che meritano un'occhiata più ravvicinata — non panico, solo un'occhiata.

1. Destinazioni sconosciute da un processo conosciuto

Un processo di cui ti fidi (diciamo, il tuo IDE o una piccola utility che hai installato il mese scorso) si sta connettendo a uno spazio IP che non riconosci. Vale la pena di controllare. Gli strumenti più semplici:

  • lsof -i -P -n -p <PID> — ogni connessione che quel PID ha aperta, con IP e porte remoti
  • whois sull'IP, o un lookup DNS inverso (dig -x <ip>)
  • Una ricerca per l'IP — la maggior parte degli endpoint cloud legittimi (AWS, GCP, Azure, Cloudflare) sono immediatamente ovvi

Sospetto qui significa: una piccola utility che si connette a uno spazio IP di ISP residenziale, un'app pirata che raggiunge un dominio che non riconosci, uno strumento CLI da npm o pip che fa ping a un server senza un legame ovvio col suo scopo.

2. Caricamenti fuori orario dalla tua macchina

Caricamento sostenuto alle 3 di notte da un'app che non ha motivo di caricare — è un segnale reale. Sii cauto con questo: i casi legittimi includono Time Machine verso un target di rete, sync foto che recupera dopo un backup iPhone, e sync grande di iCloud Drive.

Ma se è un'app che non riconosci, sostenuta per un'ora, che invia centinaia di megabyte, mentre dormi — indaga.

3. Porte insolite

La maggior parte delle app moderne parla HTTPS sulla porta 443 o HTTP sulla 80. Alcune eccezioni legittime: SSH (22), email (25/465/587/993/995), DNS (53/853), client di database (5432, 3306, 27017, 6379), client di gioco (qualunque range scelgano), VPN (1194, 51820 per WireGuard), Tailscale (41641 UDP).

Uscita verso porte come 4444, 6667 (IRC), o porte alte arbitrarie senza un motivo chiaro merita un'occhiata. Lo merita anche un'app che parla solo su una porta non standard e non usa mai 443.

4. Riconnessioni persistenti da un'app

Un processo apre una connessione, viene chiusa, ne apre un'altra, il ciclo si ripete ogni pochi secondi. Potrebbe essere una VPN mal configurata che si riconnette. Potrebbe essere un'app Electron il cui renderer sta crashando in loop. Potrebbe essere un info-stealer che cerca di telefonare a casa attraverso un proxy instabile.

Il rate di connessione (connessioni al secondo per processo) è un segnale più sensibile del rate di byte.

5. Un nuovo processo che non hai installato

Appare nella tua lista di banda con un nome che non hai mai visto, nessun bundle .app in /Applications, eseguibile in /tmp o ~/Library/LaunchAgents che non ricordi di aver aggiunto. Questa è la forma canonica del malware. Controlla con:

launchctl list | grep -v com.apple

…per vedere job launchd attivi che non sono di Apple. E:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…per vedere i file di persistenza. La maggior parte delle voci sono legittime (Dropbox, Spotify, ecc.), ma qualsiasi cosa non riconosci, cercala.

6. Picco improvviso da un processo normalmente silenzioso

Spotlight (mds_stores) normalmente non fa I/O di rete. Un daemon di code-signing non dovrebbe caricare. Un processo legittimo che improvvisamente si comporta fuori dalla sua categoria è un segnale — a volte da un aggiornamento software che cambia il comportamento, a volte da qualcos'altro.

Una checklist calma

Esegui questa lista prima di andare nel panico. Richiede circa dieci minuti.

  1. Controlla Monitoraggio Attività → scheda Rete. Ordina per Dati Inviati/sec e Dati Ricevuti/sec. Annota qualsiasi cosa nei primi cinque che non riconosci.
  2. Per ogni processo sconosciuto: clic destro → Ispeziona → File e Porte Aperti. A quali indirizzi sta parlando? Il path del bundle è sotto /Applications? Sotto ~/Library? Sotto /tmp?
  3. Cerca il bundle ID. mdls -name kMDItemCFBundleIdentifier <path>. Cercalo. Le app legittime mostrano risultati chiari.
  4. Controlla la persistenza launchd. launchctl list | grep -v com.apple e le cartelle LaunchAgents/Daemons elencate sopra.
  5. Controlla il log unificato per il processo. log show --last 1h --predicate 'process == "Suspicious"' --info — cosa stava facendo?
  6. Controlla le estensioni installate. systemextensionsctl list per le Network Extensions. Qualsiasi cosa non hai installato, cercala.
  7. Esegui uno scanner rispettato. Malwarebytes per Mac e KnockKnock (di Objective-See) sono entrambi gratuiti e ben considerati. Non sono infallibili ma catturano l'ovvio.
  8. Se sei ancora insicuro, fai screenshot e chiedi. Uno screenshot del pannello Ispeziona del processo sospetto e un paste della lista launchctl bastano a qualcuno di esperto per fare il triage.

Vedi ova in azione

Un monitor della larghezza di banda nella barra dei menu visibile a colpo d'occhio — locale, firmato, ~3 MB.

Scarica per macOS

Perché un monitor passivo aiuta

La parte più difficile dell'indagine sull'attività sospetta è essere lì quando accade. Quando la ventola sta girando, il processo incriminato potrebbe essersi fermato. Quando apri Monitoraggio Attività, il picco è andato.

Un monitor della larghezza di banda nella barra dei menu come ova aiuta perché è passivo e continuo. Campiona a circa 1 Hz e memorizza la cronologia in locale, quindi quando finalmente noti la ventola, puoi scorrere indietro le ultime ore e vedere esattamente come appariva la rete in quel momento. Per app, ausiliari raggruppati, su una timeline.

Quello non sostituisce un vero strumento EDR (esistono per modelli di minaccia seri), ma per uso personale migliora drammaticamente le tue probabilità di vedere il segnale che cerchi.

Cronologia per app per la forensics
ova mantiene una timeline scorrevole della banda per app in un file SQLite locale. Quando individui qualcosa di strano, puoi guardare indietro invece di cercare di prenderlo live.

Cose che sembrano spaventose ma di solito non lo sono

Una breve lista di "questo sembrava sospetto ma si è rivelato normale":

  • Una raffica da mDNSResponder su una nuova rete Wi-Fi. Discovery Bonjour. Normale.
  • identityservicesd che si connette ai server Apple. Presenza iMessage / FaceTime. Normale.
  • apsd che mantiene una connessione persistente a *.push.apple.com. Notifiche push. Normale.
  • com.apple.geod che si fa sentire occasionalmente. Servizi mappe e localizzazione. Normale.
  • triald, parsecd, searchpartyd. Ricerca Apple / Spotlight / Find My. Normale.
  • Una raffica massiccia di download subito dopo l'attività di softwareupdated. Aggiornamento macOS. Normale.
  • Una connessione a 17.x.x.x. È il range IP di Apple. Normale.

In dubbio, cerca il nome del processo più "macOS" — la maggior parte dei daemon Apple sono ben documentati.

Cosa è davvero raro

La compromissione genuina su un Mac gestito personalmente è poco comune per gli utenti che:

  • Si attengono ad App Store e app notarizzate
  • Non eseguono software pirata
  • Non incollano script di shell da siti casuali senza leggerli
  • Tengono macOS aggiornato
  • Non riusano password su account critici

Le minacce reali più comuni oggi non sono "virus Mac" ma malware stealer in bundle con app crackate, pacchetti npm/pip malevoli che mirano agli sviluppatori, e pagine di phishing che ti chiedono di eseguire un comando curl-pipe-bash. La difesa è la stessa di sempre: stai attento a cosa installi, stai attento a cosa incolli in un terminale.

In conclusione

L'attività di rete sospetta di cui gli utenti Mac devono davvero preoccuparsi è reale ma più rara di quanto sembri. Gran parte del traffico inspiegato è iCloud, Apple Push, app di sync, o una scheda del browser dimenticata. I segnali che vale la pena indagare sono destinazioni sconosciute da processi familiari, caricamenti fuori orario da app che non dovrebbero caricare, riconnessioni persistenti, porte insolite, e processi sconosciuti che appaiono in launchd. La checklist calma sopra richiede circa dieci minuti e risolve la maggior parte dei casi.

Per consapevolezza passiva e continua così puoi guardare indietro quando qualcosa sembra strano, installa ova — circa 3 MB, macOS 14 e successivi, Apple Silicon e Intel, campiona a circa 1 Hz, tutti i dati restano locali sul tuo disco. Non un firewall, non un EDR — solo una vista chiara di cosa fanno le tue app, disponibile quando ti serve.