festival ICT 2013: Alla ricerca della pendrive perduta

Alla ricerca della Pendrive Perduta
18 Settembre 2013, Milano
Paolo Dal Checco
Consulente Informatico Forense

paolo@dalchecco.it @forensico
Chi sono
• PhD in Computer & Network Security
• Consulente Informatico Forense
• Lavoro per Procure,Tribunali,Avvocati,Aziende, Privati
• Titolare Digital Forensics Bureau (DiFoB) di Torino
• Partner Digit Law Srl, Security Brokers ScpA.
• Founder DEFT Association
• Socio IISFA Italian Chapter
• paolo@dalchecco.it / www.dalchecco.it / @forensico

USB Forensics
• All’inizio era il Floppy...
• Perché un talk su USB forensics?
• Chi di voi NON ha una pendrive, con dati
personali sopra, anche cancellati, usata magari per
scambiare dati con colleghi o amici? :-)

Vantaggi
• Porte USB onnipresenti
• Plug & Play
• Tascabili ma con ampia campienza
• Economiche
• Veloci (ora anche USB 3.0 con 5Gbit/s)
• Compatibili con Mac OS, Linux o Windows

Svantaggi
• Cicli di scrittura NAND limitati (10K)
• Facili da perdere o dimenticare
• Possono diventare vettori per malware
• Spesso usate per materiali privati
• In genere non criptate
• Lasciano tracce dove vengono connesse
• Mantengono tracce dei dati memorizzati
(anche cancellati)

Identiﬁcazione di una pendrive
1. Device S/N impresso nel chip ﬂash
2. Volume S/N della partizione dati
3. Vendor e Product Name (USB ID)
4. Dimensione

1: Device S/N
• Codice identificativo impresso nel chip
flash, quasi sempre presente
• Spesso impossibile da modificare
(esistono tool specifici per alcuni chipset)
• Non viene catturato sempre dagli
strumenti di copia forense
(poche eccezioni, es.Tableau HW o SW)

1: Device S/N
• Ultima data di inserimento scritta nella chiave USBStor del registro di Windows
• A volte associata alla lettera del drive che è stata assegnata alla pendrive
• Prima data di inserimento scritta nel ﬁle Setupapi.log in Windows XP e Setupapi.dev.log suVista e successivi
• Se manca viene assegnato un numero dal sistema (il secondo carattere del S/N è in questo caso il
carattere“&”)

1: Device S/N

1: Device S/N (Linux)
• Viene indicato nei log del Kernel (/var/log/syslog), soggetto a rotazione
• Si può ottenere tramite il comando “lsusb”

1: Device S/N (Linux)
• Importante: durante le acquisizioni ricordarsi di tenerne traccia
• ad es. Guymager riempie il campo “Notes” con il Device S/N: va lasciato lì perché
non comparirà nel ﬁle di report

1: Device S/N (Mac OS)
• Si può leggere tramite Disk Utility
• Rimane traccia di tutti gli inserimenti nel log
(/var/log/system.log), soggetto a rotation

2:Volume S/N
• Codice binario memorizzato sulla
partizione durante la formattazione
• Facilmente modiﬁcabile
• Viene memorizzato nella copia forense
• Rimane scritto nei link ai ﬁle nella pendrive

2:Volume S/N (Win)
FAT 12/16 - 4 bytes at offset 0x027
FAT 32 - 4 bytes at offset 0x043
NTFS - 8 bytes at offset 0x48

2:Volume S/N (Mac OS)
http://lists.apple.com/archives/ﬁlesystem-dev/2012/Feb/msg00010.html

2:Volume S/N (Linux)
• blkid
• blkid -b /dev/sdc

3:Vendor e Product Name
• Device ID contenuto nell’HW
• Codice mappato inVendor e Product Name
• http://www.linux-usb.org/usb.ids
• Rimangono scritti nel registro di Windows

4: Dimensione della ﬂash
• Scritta nell’hardware, all’interno del ﬁrmware
• Esistono in commercio fake USB che mostrano al
sistema dimensione errata
• Possibile testare la dimensione reale con tool
come Bart's Stuff Test, H2testw, etc...

Tracce della pendrive sul PC?
• Device S/N e timestamp ultimo inserimento [registro]
• HKEY_LOCAL_MACHINESYSTEMMountedDevices,
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB
• HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR
• Volume S/N e nome nei link ai file sulla pendrive con dati relativi
ai file aperti in essa contenuti [LNK]
• Nomi e timestamp dei folder/file aperti sulla pendrive [registro]
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU
• HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreamMRU
• HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreams

• Data/ora di primo inserimento [logs]
• %windir%Setupapi.log in Win XP e %windir%INFSetupapi.dev.log o
%windir%INFSetupapi.app.log in WinVista e successivi]
• Ultima lettera assegnata alla pendrive [registro]
• Nomi di alcuni ﬁle aperti su pendrive con IE [index.dat]
• Avvio programmi sulla pendrive [prefetch]
• Eventuale copia massiva da PC [MFT]
• Eventuale cancellazione dal PC [usnjrnl]

• Installazione driver [System events]
• Event ID’s 20001, 20003, 24576, 24577
• Apertura o salvataggio ﬁle da ﬁnestra di dialogo
[registro]
• SoftwareMicrosoftWindowsCurrentVersionExplorer
ComDIg32OpenSaveMRU (OpenSavePidMRU in Win7) in
NTUSER.DAT
• Informazioni di cui sopra, ma storiche [Volume
Shadow Copy e Restore Point]

Limiti del filesystem FAT
• Pendrive formattate in genere in FAT
• Limiti dei timestamp dei file su FAT:
• Data e ora di creazione
• Data e ora (precisione 2 secondi) di
modifica
• Data di accesso (non viene indicata l’ora)

Tracce del PC sulla pendrive?
• Purtroppo poche, dipendono dall’OS e dall’utente...
• Su Mac OS possono rimanere ﬁle
come .DS_Store, .Trashes, .fseventsd e .Spotlight-V100
con dentro informazioni e date:
• In alcuni casi “Recycle.bin”, quando USB visto come ﬁsso

Come acquisire una pendrive
• Non commettere l’errore di inserire subito nel PC, rischiando di alterare
il contenuto e rompere quindi la catena di conservazione del reperto!!!
• Usare un copiatore forense, oppure un writeblocker e un PC
• Vedremo in seguito che ci sono alternative più economiche...

• Se non si possiede un copiatore hw o un write blocker:
• WIN: mettere in write lock porte USB
• MAC: impostare la disk arbitration
• LINUX: inibire il mount o usare una distro live forense

• Una volta bloccata la scrittura sulle porte USB
(via HW o SW) utilizzare un software di copia:
• FTK Imager
• Tableau Imager (con hardware Tableau)
• Guymager
• AIR
• dcﬂdd, etc...

Come recuperare i dati: undelete
• Tramite undelete è possibile recuperare ﬁle cancellati ma ancora indirizzati dalla FAT
• Tools: FTK Imager,Autopsy, etc...

Come recuperare i dati: carving
• Tramite carving è possibile recuperare ﬁle cancellati e “dispersi” nello spazio non allocato
• Tools: PhotoRec (anche su Win e a PC avviato), Scalpel, Foremost, etc...

Impersoniﬁcazione di pendrive
• Esiste un progetto che per pochi $ permette di creare un’intefaccia
con USB guest e host programmabile, mediante la board
“VINCULUM”, clone di “ARDUINO” con USB slave/host

• FTDIVinculum II dual USB host/slave controller
• 2 full-speed USB 2.0 interfaces (host or slave capable)
• 256 KB E-ﬂash memory
• 16 KB RAM
• 2 SPI slave and 1 SPI master interfaces
• Easy-to-use IDE
• Simultaneous multiple ﬁle access on BOMS devices

Honeydocs
• Idea utile per ritrovare pendrive
usb perse o rubate
• “Sting”: codici da inserire nei
documenti (una “sting” gratuita)
• “Buzz”: aperture dei documenti
• Viene tracciato IP di apertura

Honeydocs

Alcuni strumenti
• Regripper [code.google.com/p/regripper]
• lnkinfo [code.google.com/p/libforensics]
• log2timeline [code.google.com/log2timeline]
• Registry Report [www.gaijin.at]
• UsbDeview [www.nirsoft.net]
• FTK Imager [www.accessdata.com]
• USB History GUI [ohit-nair.blogspot.it/2]
• Sbag [www.tzworks.net]
• USP [www.tzworks.net]
• LNK Parsing Utility [www.tzworks.net]
• LinkViewer [www.gaijin.at]
• Windows Prefetch Parser [www.tzworks.net]

Q & A
• Domande?
• Suggerimenti?
• Osservazioni?
• Contatti?
paolo@dalchecco.it - @forensico
www.dalchecco.it

festival ICT 2013: Alla ricerca della pendrive perduta

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (8)

Similaire à festival ICT 2013: Alla ricerca della pendrive perduta

Similaire à festival ICT 2013: Alla ricerca della pendrive perduta (20)

Plus de festival ICT 2016

Plus de festival ICT 2016 (20)

festival ICT 2013: Alla ricerca della pendrive perduta