ova
Voltar ao blog
·10 min de leitura·productdevbook

Como auditar a atividade de rede do seu Mac

Uma auditoria repetível que você roda em 20 minutos para saber com quem seu Mac conversa e decidir o que deve continuar.

  • Security
  • Privacy
  • macOS
  • Network monitoring

Você reserva vinte minutos uma vez por trimestre para auditar atividade de rede no Mac, e a única pergunta é se você tem um processo que de fato pode rodar, ou se vai improvisar de novo com nettop e um caderno. Este guia te dá um script repetível de 20 minutos: scan, revisão, checagem de hostname, retenção de logs, ações. Rode da mesma forma toda vez. Compare ao trimestre passado. Flagre drift.

Aqui como auditar atividade de rede do Mac sem virar uma tarde inteira.

Por que se importar — e o que você está procurando

O ponto da auditoria não é paranoia. É drift. Cada instalação macOS gradualmente acumula serviços em segundo plano que começaram a falar com a internet em algum ponto e nunca pararam. Uma auditoria trimestral pega:

  • Apps que você esqueceu que instalou que ainda estão ligando para casa diariamente.
  • Endpoints de telemetria que ficaram mais tagarelas do que costumavam (depois de um update).
  • Processos auxiliares (Chrome, Slack, Adobe) que silenciosamente atualizaram a pegada de rede.
  • Conexões de saída para hostnames que você não reconhece.

Uma auditoria de 20 minutos, quatro vezes por ano, é suficiente para pegar quase tudo.

O que você precisa antes de começar

  • Um monitor de rede na barra de menu. ova é o que esse guia usa. Cerca de 3 MB, amostra taxas por app a ~1 Hz, agrupa processos auxiliares sob o app pai.
  • nettop — built-in. Sem instalação.
  • Opcional: Little Snitch ou LuLu para visibilidade no nível de hostname. A auditoria funciona sem eles mas é mais afiada com.
  • Um app de notas ou arquivo de texto plano para findings. A auditoria só é útil se você consegue comparar à última.

É isso. Sem instalações extras além do monitor, sem extensões de kernel, sem mudanças de sistema.

O script de 20 minutos para auditar atividade de rede do Mac

Aqui o cronograma. Mantenha o timing — passar de 30 minutos transforma um hábito trimestral em "algo que farei quando tiver tempo", o que significa nunca.

Minutos 0-2: estabeleça a linha de base

Saia de apps que não precisa abertos. Deixe rodando: seu navegador, Finder, serviços de sistema. O objetivo é ver seu uso "ambiente" de rede — o que seu Mac faz quando você não está usando ativamente.

Abra o ova na barra de menu. Anote a taxa total up/down. Num Mac ocioso, você esperaria alguns KB/s para heartbeats de push notification, iCloud e Spotlight. Qualquer coisa acima de 100 KB/s sustentado em idle vale olhar.

Minutos 2-7: scan com nettop

Abra o Terminal. Rode:

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5 captura cinco amostras (uma por segundo por padrão), depois sai. A saída vai para um arquivo datado na sua mesa — você vai manter pra retenção depois.

Enquanto roda, não faça nada. Cinco segundos, depois cheque o arquivo. Você verá linhas como:

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

Passe os olhos por qualquer coisa que não reconheça. Nomes que não consegue colocar são pistas.

Minutos 7-12: revisão por app no seu monitor

Mude para o ova. Abra a lista por app. Ordene por bytes totais na última hora (ou a janela mais longa que o app mostra por padrão).

Para cada app no top 10, pergunte:

  1. Esse app deveria estar na rede agora? Um player de música — sim. Um leitor de PDF — provavelmente não.
  2. O volume é razoável? Slack a 30 KB/s sustentado é normal. Slack a 3 MB/s sustentado é incomum.
  3. Esse app é um que instalei de propósito, ou um resíduo? Se é resíduo, desinstale.

Agrupamento de processos auxiliares importa aqui. Sem ele, o top 10 enche com linhas como Google Chrome Helper (Renderer), Slack Helper (GPU), Discord Helper (Plugin). Com agrupamento, cada uma colapsa sob o app pai e você consegue de fato ler a lista.

Agrupamento de processos auxiliares
ova agrupa PIDs auxiliares sob o pai para que a lista por app leia como aplicações em vez de árvores de processo. A auditoria fica mais rápida.

Minutos 12-16: checagem de hostname

Esse é onde Little Snitch (ou LuLu) ganha o lugar. Se você tem instalado, abra a visão Network Monitor e olhe hostnames por processo na janela da auditoria.

Se você não tem ferramenta classe-firewall, ainda dá para fazer checagem parcial de hostname seguindo o unified log:

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

A saída é densa, mas buscar por connect to ou nomes de app específicos vai trazer dicas de domínio.

O que você está procurando:

  • Hostnames não familiares. Busque o domínio num navegador. Um endpoint de telemetria legítimo geralmente tem propósito documentado.
  • Conexões frequentes para domínios de ad/tracking. Infratores comuns: *.doubleclick.net, *.scorecardresearch.com, *.googletagmanager.com. Extensões de navegador podem ajudar (uBlock Origin), mas para apps nativos, uma regra de firewall é a resposta.
  • Conexões para países que você não espera. Não inerentemente ruim — muitas CDNs são regionais — mas vale notar.

Minutos 16-18: retenção de log

Pegue o arquivo nettop-AAAAMMDD.txt que você gerou e mova para uma pasta, por exemplo, ~/Documents/network-audits/. Opcionalmente exporte o resumo por app do ova como screenshot.

Por que reter: sua primeira auditoria é só um snapshot. Sua segunda vira comparação. Pela terceira, você consegue flagrar tendências — "Tráfego Adobe dobrou em Q2" ou "Spotify foi de 200 KB/s para 800 KB/s depois do update".

Uma pasta plana de arquivos de texto e screenshots é o suficiente. Sem ferramenta sofisticada.

Minutos 18-20: ações

Anote três a cinco ações concretas. Exemplos de auditorias reais:

  • "Desinstalar MagicScreenshotPro — usei duas vezes ano passado, fala com telemetria toda abertura."
  • "Bloquear Adobe *.adobe.io no Little Snitch — só preciso para checagem de licença, que pode falhar com graça."
  • "Investigar o pico de 14 MB de saída do mds_stores — provavelmente reindex Spotlight, mas confirme próxima auditoria."
  • "Adicionar perfil DNS Quad9."
  • "Desabilitar analytics no Microsoft Word."

Três a cinco é o número certo. Mais e você não vai fazer. Menos e a auditoria não trouxe nada, o que normalmente significa que você não estava olhando com cuidado.

Rode a auditoria com visão em tempo real

ova mostra taxas ao vivo por app e histórico navegável — local, assinado, ~3 MB.

Baixar para macOS

O que rastrear trimestre a trimestre

Algumas coisas que vale comparar à última auditoria:

SinalPor que importa
Tráfego de linha de base ociosoDrift para cima significa algo novo está tagarela
Top 5 apps por bytes/diaRevela novos entrantes ou crescimento
Número de hostnames distintosSobe = mais serviços contatados
Helpers em segundo plano rodandoAdobe / Office frequentemente adicionam novos por updates
Apps com extensões de kernel/redeCada um é uma delegação de confiança

Você não precisa de planilha. Quatro linhas de nota por auditoria é o suficiente.

Findings comuns (e o que fazer)

"Um app que desinstalei ainda está na rede"

Alguns apps deixam LaunchAgents para trás. Liste-os:

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

Qualquer coisa amarrada ao app desinstalado — com.example.helper.plist — pode ser removida. Use launchctl unload primeiro, depois apague. Re-audite próximo trimestre para confirmar que sumiu.

"Activity Monitor mostra números diferentes da minha ferramenta de barra de menu"

A aba Rede do Activity Monitor conta desde o início do processo. Um monitor de barra de menu conta numa janela rolante. Lentes diferentes nos mesmos dados de kernel — ambos honestos, só medindo intervalos diferentes.

"Vejo um 50 KB/s constante que não consigo justificar"

Suspeite, em ordem: sync iCloud, Time Machine pela rede, reindex Spotlight, backup estilo Backblaze/Carbonite, sync Dropbox/Drive, download de update do SO. nettop -P vai nomear o PID. A maior parte é legítima. Confirme saindo do app suspeito e observando a taxa cair.

Considerações de privacidade durante a auditoria

Se você salva logs, esses logs contêm hostnames e timestamps — metadados sensíveis. Armazene localmente, não em pastas iCloud Drive sincronizadas, a menos que esteja confortável com isso. Melhor ainda, rode uma auditoria que fique local de ponta a ponta:

  • Monitor que mantém histórico em disco (sem dashboard de nuvem).
  • Saída do nettop salva em pasta local.
  • Notas num arquivo de texto local, não num doc sincronizado na nuvem.

ova encaixa nesse perfil por design — não tem dashboard remoto, sem conta, sem telemetria. O histórico de banda fica no seu Mac e em nenhum outro lugar.

A imagem maior: por que um monitor combina com um firewall

A auditoria produz findings. Alguns findings são "deveria bloquear isso". Aí entra o Little Snitch (ou LuLu) — configure a regra e re-rode a auditoria próximo trimestre para confirmar que a regra segurou.

Um padrão comum:

  1. Auditoria identifica Adobe Updater tagarela.
  2. Regra Little Snitch: nega saída do Adobe Updater.
  3. ova confirma na próxima vez que você abre o Photoshop que tráfego do updater agora é zero.

O monitor e o firewall fazem coisas diferentes. Você quer ambos para um loop real de auditoria.

Encerrando

Um hábito trimestral de 20 minutos para auditar atividade de rede do Mac pega o drift que transforma um Mac limpo num tagarela. O script é: linha de base ociosa, snapshot do nettop, revisão por app com agrupamento de helpers, checagem de hostname, retenção de log, três a cinco ações. Rode da mesma forma toda vez. Compare à última. Aja nos findings.

Escolha uma data — última sexta do trimestre, manhã de feriado prolongado, o que pegar. Coloque no calendário agora. A parte mais difícil do hábito de auditoria é começar; quando você tem um arquivo de histórico em ~/Documents/network-audits/, vai querer um segundo.