Definire, configurare ed implementare soluzioni scalabili su sistemi di Cloud...
festival ICT 2013: Alla ricerca della pendrive perduta
1. Alla ricerca della Pendrive Perduta
18 Settembre 2013, Milano
Paolo Dal Checco
Consulente Informatico Forense
2. paolo@dalchecco.it @forensico
Chi sono
• PhD in Computer & Network Security
• Consulente Informatico Forense
• Lavoro per Procure,Tribunali,Avvocati,Aziende, Privati
• Titolare Digital Forensics Bureau (DiFoB) di Torino
• Partner Digit Law Srl, Security Brokers ScpA.
• Founder DEFT Association
• Socio IISFA Italian Chapter
• paolo@dalchecco.it / www.dalchecco.it / @forensico
3. paolo@dalchecco.it @forensico
USB Forensics
• All’inizio era il Floppy...
• Perché un talk su USB forensics?
• Chi di voi NON ha una pendrive, con dati
personali sopra, anche cancellati, usata magari per
scambiare dati con colleghi o amici? :-)
4. paolo@dalchecco.it @forensico
Vantaggi
• Porte USB onnipresenti
• Plug & Play
• Tascabili ma con ampia campienza
• Economiche
• Veloci (ora anche USB 3.0 con 5Gbit/s)
• Compatibili con Mac OS, Linux o Windows
5. paolo@dalchecco.it @forensico
Svantaggi
• Cicli di scrittura NAND limitati (10K)
• Facili da perdere o dimenticare
• Possono diventare vettori per malware
• Spesso usate per materiali privati
• In genere non criptate
• Lasciano tracce dove vengono connesse
• Mantengono tracce dei dati memorizzati
(anche cancellati)
7. paolo@dalchecco.it @forensico
1: Device S/N
• Codice identificativo impresso nel chip
flash, quasi sempre presente
• Spesso impossibile da modificare
(esistono tool specifici per alcuni chipset)
• Non viene catturato sempre dagli
strumenti di copia forense
(poche eccezioni, es.Tableau HW o SW)
8. paolo@dalchecco.it @forensico
1: Device S/N
• Ultima data di inserimento scritta nella chiave USBStor del registro di Windows
• A volte associata alla lettera del drive che è stata assegnata alla pendrive
• Prima data di inserimento scritta nel file Setupapi.log in Windows XP e Setupapi.dev.log suVista e successivi
• Se manca viene assegnato un numero dal sistema (il secondo carattere del S/N è in questo caso il
carattere“&”)
10. paolo@dalchecco.it @forensico
1: Device S/N (Linux)
• Viene indicato nei log del Kernel (/var/log/syslog), soggetto a rotazione
• Si può ottenere tramite il comando “lsusb”
11. paolo@dalchecco.it @forensico
1: Device S/N (Linux)
• Importante: durante le acquisizioni ricordarsi di tenerne traccia
• ad es. Guymager riempie il campo “Notes” con il Device S/N: va lasciato lì perché
non comparirà nel file di report
12. paolo@dalchecco.it @forensico
1: Device S/N (Mac OS)
• Si può leggere tramite Disk Utility
• Rimane traccia di tutti gli inserimenti nel log
(/var/log/system.log), soggetto a rotation
13. paolo@dalchecco.it @forensico
2:Volume S/N
• Codice binario memorizzato sulla
partizione durante la formattazione
• Facilmente modificabile
• Viene memorizzato nella copia forense
• Rimane scritto nei link ai file nella pendrive
17. paolo@dalchecco.it @forensico
3:Vendor e Product Name
• Device ID contenuto nell’HW
• Codice mappato inVendor e Product Name
• http://www.linux-usb.org/usb.ids
• Rimangono scritti nel registro di Windows
18. paolo@dalchecco.it @forensico
4: Dimensione della flash
• Scritta nell’hardware, all’interno del firmware
• Esistono in commercio fake USB che mostrano al
sistema dimensione errata
• Possibile testare la dimensione reale con tool
come Bart's Stuff Test, H2testw, etc...
19. paolo@dalchecco.it @forensico
Tracce della pendrive sul PC?
• Device S/N e timestamp ultimo inserimento [registro]
• HKEY_LOCAL_MACHINESYSTEMMountedDevices,
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR
• Volume S/N e nome nei link ai file sulla pendrive con dati relativi
ai file aperti in essa contenuti [LNK]
• Nomi e timestamp dei folder/file aperti sulla pendrive [registro]
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU
• HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreamMRU
• HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreams
20. paolo@dalchecco.it @forensico
Tracce della pendrive sul PC?
• Data/ora di primo inserimento [logs]
• %windir%Setupapi.log in Win XP e %windir%INFSetupapi.dev.log o
%windir%INFSetupapi.app.log in WinVista e successivi]
• Ultima lettera assegnata alla pendrive [registro]
• Nomi di alcuni file aperti su pendrive con IE [index.dat]
• Avvio programmi sulla pendrive [prefetch]
• Eventuale copia massiva da PC [MFT]
• Eventuale cancellazione dal PC [usnjrnl]
21. paolo@dalchecco.it @forensico
Tracce della pendrive sul PC?
• Installazione driver [System events]
• Event ID’s 20001, 20003, 24576, 24577
• Apertura o salvataggio file da finestra di dialogo
[registro]
• SoftwareMicrosoftWindowsCurrentVersionExplorer
ComDIg32OpenSaveMRU (OpenSavePidMRU in Win7) in
NTUSER.DAT
• Informazioni di cui sopra, ma storiche [Volume
Shadow Copy e Restore Point]
22. paolo@dalchecco.it @forensico
Limiti del filesystem FAT
• Pendrive formattate in genere in FAT
• Limiti dei timestamp dei file su FAT:
• Data e ora di creazione
• Data e ora (precisione 2 secondi) di
modifica
• Data di accesso (non viene indicata l’ora)
23. paolo@dalchecco.it @forensico
Tracce del PC sulla pendrive?
• Purtroppo poche, dipendono dall’OS e dall’utente...
• Su Mac OS possono rimanere file
come .DS_Store, .Trashes, .fseventsd e .Spotlight-V100
con dentro informazioni e date:
• In alcuni casi “Recycle.bin”, quando USB visto come fisso
24. paolo@dalchecco.it @forensico
Come acquisire una pendrive
• Non commettere l’errore di inserire subito nel PC, rischiando di alterare
il contenuto e rompere quindi la catena di conservazione del reperto!!!
• Usare un copiatore forense, oppure un writeblocker e un PC
• Vedremo in seguito che ci sono alternative più economiche...
25. paolo@dalchecco.it @forensico
Come acquisire una pendrive
• Se non si possiede un copiatore hw o un write blocker:
• WIN: mettere in write lock porte USB
• MAC: impostare la disk arbitration
• LINUX: inibire il mount o usare una distro live forense
26. paolo@dalchecco.it @forensico
Come acquisire una pendrive
• Una volta bloccata la scrittura sulle porte USB
(via HW o SW) utilizzare un software di copia:
• FTK Imager
• Tableau Imager (con hardware Tableau)
• Guymager
• AIR
• dcfldd, etc...
27. paolo@dalchecco.it @forensico
Come recuperare i dati: undelete
• Tramite undelete è possibile recuperare file cancellati ma ancora indirizzati dalla FAT
• Tools: FTK Imager,Autopsy, etc...
28. paolo@dalchecco.it @forensico
Come recuperare i dati: carving
• Tramite carving è possibile recuperare file cancellati e “dispersi” nello spazio non allocato
• Tools: PhotoRec (anche su Win e a PC avviato), Scalpel, Foremost, etc...
29. paolo@dalchecco.it @forensico
Impersonificazione di pendrive
• Esiste un progetto che per pochi $ permette di creare un’intefaccia
con USB guest e host programmabile, mediante la board
“VINCULUM”, clone di “ARDUINO” con USB slave/host
30. paolo@dalchecco.it @forensico
Impersonificazione di pendrive
• FTDIVinculum II dual USB host/slave controller
• 2 full-speed USB 2.0 interfaces (host or slave capable)
• 256 KB E-flash memory
• 16 KB RAM
• 2 SPI slave and 1 SPI master interfaces
• Easy-to-use IDE
• Simultaneous multiple file access on BOMS devices
33. paolo@dalchecco.it @forensico
Honeydocs
• Idea utile per ritrovare pendrive
usb perse o rubate
• “Sting”: codici da inserire nei
documenti (una “sting” gratuita)
• “Buzz”: aperture dei documenti
• Viene tracciato IP di apertura