festival ict 2013: alla ricerca della pendrive perduta
DESCRIPTION
TRANSCRIPT
Alla ricerca della Pendrive Perduta18 Settembre 2013, Milano
Paolo Dal CheccoConsulente Informatico Forense
[email protected] @forensico
Chi sono• PhD in Computer & Network Security
• Consulente Informatico Forense
• Lavoro per Procure, Tribunali, Avvocati, Aziende, Privati
• Titolare Digital Forensics Bureau (DiFoB) di Torino
• Partner Digit Law Srl, Security Brokers ScpA.
• Founder DEFT Association
• Socio IISFA Italian Chapter
• [email protected] / www.dalchecco.it / @forensico
[email protected] @forensico
USB Forensics• All’inizio era il Floppy...
• Perché un talk su USB forensics?
• Chi di voi NON ha una pendrive, con dati personali sopra, anche cancellati, usata magari per scambiare dati con colleghi o amici? :-)
[email protected] @forensico
Vantaggi• Porte USB onnipresenti
• Plug & Play
• Tascabili ma con ampia campienza
• Economiche
• Veloci (ora anche USB 3.0 con 5Gbit/s)
• Compatibili con Mac OS, Linux o Windows
[email protected] @forensico
Svantaggi• Cicli di scrittura NAND limitati (10K)
• Facili da perdere o dimenticare
• Possono diventare vettori per malware
• Spesso usate per materiali privati
• In genere non criptate
• Lasciano tracce dove vengono connesse
• Mantengono tracce dei dati memorizzati(anche cancellati)
[email protected] @forensico
Identificazione di una pendrive
1. Device S/N impresso nel chip flash
2. Volume S/N della partizione dati
3. Vendor e Product Name (USB ID)
4. Dimensione
[email protected] @forensico
1: Device S/N• Codice identificativo impresso nel chip
flash, quasi sempre presente
• Spesso impossibile da modificare(esistono tool specifici per alcuni chipset)
• Non viene catturato sempre dagli strumenti di copia forense(poche eccezioni, es. Tableau HW o SW)
[email protected] @forensico
1: Device S/N• Ultima data di inserimento scritta nella chiave USBStor del registro di Windows
• A volte associata alla lettera del drive che è stata assegnata alla pendrive
• Prima data di inserimento scritta nel file Setupapi.log in Windows XP e Setupapi.dev.log su Vista e successivi
• Se manca viene assegnato un numero dal sistema (il secondo carattere del S/N è in questo caso il carattere“&”)
[email protected] @forensico
1: Device S/N (Linux)• Viene indicato nei log del Kernel (/var/log/syslog), soggetto a rotazione
• Si può ottenere tramite il comando “lsusb”
[email protected] @forensico
1: Device S/N (Linux)• Importante: durante le acquisizioni ricordarsi di tenerne traccia
• ad es. Guymager riempie il campo “Notes” con il Device S/N: va lasciato lì perché non comparirà nel file di report
[email protected] @forensico
1: Device S/N (Mac OS)
• Si può leggere tramite Disk Utility
• Rimane traccia di tutti gli inserimenti nel log (/var/log/system.log), soggetto a rotation
[email protected] @forensico
2: Volume S/N
• Codice binario memorizzato sulla partizione durante la formattazione
• Facilmente modificabile
• Viene memorizzato nella copia forense
• Rimane scritto nei link ai file nella pendrive
[email protected] @forensico
2: Volume S/N (Win)
FAT 12/16 - 4 bytes at offset 0x027FAT 32 - 4 bytes at offset 0x043NTFS - 8 bytes at offset 0x48
[email protected] @forensico
2: Volume S/N (Mac OS)
http://lists.apple.com/archives/filesystem-dev/2012/Feb/msg00010.html
[email protected] @forensico
3: Vendor e Product Name• Device ID contenuto nell’HW
• Codice mappato in Vendor e Product Name
• http://www.linux-usb.org/usb.ids
• Rimangono scritti nel registro di Windows
[email protected] @forensico
4: Dimensione della flash• Scritta nell’hardware, all’interno del firmware
• Esistono in commercio fake USB che mostrano al sistema dimensione errata
• Possibile testare la dimensione reale con tool come Bart's Stuff Test, H2testw, etc...
[email protected] @forensico
Tracce della pendrive sul PC?• Device S/N e timestamp ultimo inserimento [registro]
• HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices,
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
• Volume S/N e nome nei link ai file sulla pendrive con dati relativi ai file aperti in essa contenuti [LNK]
• Nomi e timestamp dei folder/file aperti sulla pendrive [registro]
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
• HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
• HKCU\Software\Microsoft\Windows\Currentversion\Explorer\StreamMRU
• HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Streams
[email protected] @forensico
Tracce della pendrive sul PC?• Data/ora di primo inserimento [logs]
• %windir%\Setupapi.log in Win XP e %windir%\INF\Setupapi.dev.log o %windir%\INF\Setupapi.app.log in Win Vista e successivi]
• Ultima lettera assegnata alla pendrive [registro]
• Nomi di alcuni file aperti su pendrive con IE [index.dat]
• Avvio programmi sulla pendrive [prefetch]
• Eventuale copia massiva da PC [MFT]
• Eventuale cancellazione dal PC [usnjrnl]
[email protected] @forensico
Tracce della pendrive sul PC?• Installazione driver [System events]
• Event ID’s 20001, 20003, 24576, 24577
• Apertura o salvataggio file da finestra di dialogo [registro]
• \Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\OpenSaveMRU (OpenSavePidMRU in Win7) in
NTUSER.DAT
• Informazioni di cui sopra, ma storiche [Volume Shadow Copy e Restore Point]
[email protected] @forensico
Limiti del filesystem FAT• Pendrive formattate in genere in FAT
• Limiti dei timestamp dei file su FAT:
• Data e ora di creazione
• Data e ora (precisione 2 secondi) di modifica
• Data di accesso (non viene indicata l’ora)
[email protected] @forensico
Tracce del PC sulla pendrive?• Purtroppo poche, dipendono dall’OS e dall’utente...
• Su Mac OS possono rimanere file come .DS_Store, .Trashes, .fseventsd e .Spotlight-V100 con dentro informazioni e date:
• In alcuni casi “Recycle.bin”, quando USB visto come fisso
[email protected] @forensico
Come acquisire una pendrive• Non commettere l’errore di inserire subito nel PC, rischiando di alterare
il contenuto e rompere quindi la catena di conservazione del reperto!!!
• Usare un copiatore forense, oppure un writeblocker e un PC
• Vedremo in seguito che ci sono alternative più economiche...
[email protected] @forensico
Come acquisire una pendrive• Se non si possiede un copiatore hw o un write blocker:
• WIN: mettere in write lock porte USB
• MAC: impostare la disk arbitration
• LINUX: inibire il mount o usare una distro live forense
[email protected] @forensico
Come acquisire una pendrive• Una volta bloccata la scrittura sulle porte USB
(via HW o SW) utilizzare un software di copia:
• FTK Imager
• Tableau Imager (con hardware Tableau)
• Guymager
• AIR
• dcfldd, etc...
[email protected] @forensico
Come recuperare i dati: undelete• Tramite undelete è possibile recuperare file cancellati ma ancora indirizzati dalla FAT
• Tools: FTK Imager, Autopsy, etc...
[email protected] @forensico
Come recuperare i dati: carving• Tramite carving è possibile recuperare file cancellati e “dispersi” nello spazio non allocato
• Tools: PhotoRec (anche su Win e a PC avviato), Scalpel, Foremost, etc...
[email protected] @forensico
Impersonificazione di pendrive• Esiste un progetto che per pochi $ permette di creare un’intefaccia
con USB guest e host programmabile, mediante la board “VINCULUM”, clone di “ARDUINO” con USB slave/host
[email protected] @forensico
Impersonificazione di pendrive• FTDI Vinculum II dual USB host/slave controller
• 2 full-speed USB 2.0 interfaces (host or slave capable)
• 256 KB E-flash memory
• 16 KB RAM
• 2 SPI slave and 1 SPI master interfaces
• Easy-to-use IDE
• Simultaneous multiple file access on BOMS devices
[email protected] @forensico
Impersonificazione di pendrive
[email protected] @forensico
Impersonificazione di pendrive
[email protected] @forensico
Honeydocs• Idea utile per ritrovare pendrive
usb perse o rubate
• “Sting”: codici da inserire nei documenti (una “sting” gratuita)
• “Buzz”: aperture dei documenti
• Viene tracciato IP di apertura
[email protected] @forensico
Alcuni strumenti• Regripper [code.google.com/p/regripper]
• lnkinfo [code.google.com/p/libforensics]
• log2timeline [code.google.com/log2timeline]
• Registry Report [www.gaijin.at]
• UsbDeview [www.nirsoft.net]
• FTK Imager [www.accessdata.com]
• USB History GUI [ohit-nair.blogspot.it/2]
• Sbag [www.tzworks.net]
• USP [www.tzworks.net]
• LNK Parsing Utility [www.tzworks.net]
• Link Viewer [www.gaijin.at]
• Windows Prefetch Parser [www.tzworks.net]
[email protected] @forensico
Q & A• Domande?
• Suggerimenti?
• Osservazioni?
• Contatti?
[email protected] - @forensicowww.dalchecco.it