• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
festival ICT 2013: Alla ricerca della pendrive perduta
 

festival ICT 2013: Alla ricerca della pendrive perduta

on

  • 290 views

 

Statistics

Views

Total Views
290
Views on SlideShare
290
Embed Views
0

Actions

Likes
0
Downloads
27
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    festival ICT 2013: Alla ricerca della pendrive perduta festival ICT 2013: Alla ricerca della pendrive perduta Presentation Transcript

    • Alla ricerca della Pendrive Perduta 18 Settembre 2013, Milano Paolo Dal Checco Consulente Informatico Forense
    • paolo@dalchecco.it @forensico Chi sono • PhD in Computer & Network Security • Consulente Informatico Forense • Lavoro per Procure,Tribunali,Avvocati,Aziende, Privati • Titolare Digital Forensics Bureau (DiFoB) di Torino • Partner Digit Law Srl, Security Brokers ScpA. • Founder DEFT Association • Socio IISFA Italian Chapter • paolo@dalchecco.it / www.dalchecco.it / @forensico
    • paolo@dalchecco.it @forensico USB Forensics • All’inizio era il Floppy... • Perché un talk su USB forensics? • Chi di voi NON ha una pendrive, con dati personali sopra, anche cancellati, usata magari per scambiare dati con colleghi o amici? :-)
    • paolo@dalchecco.it @forensico Vantaggi • Porte USB onnipresenti • Plug & Play • Tascabili ma con ampia campienza • Economiche • Veloci (ora anche USB 3.0 con 5Gbit/s) • Compatibili con Mac OS, Linux o Windows
    • paolo@dalchecco.it @forensico Svantaggi • Cicli di scrittura NAND limitati (10K) • Facili da perdere o dimenticare • Possono diventare vettori per malware • Spesso usate per materiali privati • In genere non criptate • Lasciano tracce dove vengono connesse • Mantengono tracce dei dati memorizzati (anche cancellati)
    • paolo@dalchecco.it @forensico Identificazione di una pendrive 1. Device S/N impresso nel chip flash 2. Volume S/N della partizione dati 3. Vendor e Product Name (USB ID) 4. Dimensione
    • paolo@dalchecco.it @forensico 1: Device S/N • Codice identificativo impresso nel chip flash, quasi sempre presente • Spesso impossibile da modificare (esistono tool specifici per alcuni chipset) • Non viene catturato sempre dagli strumenti di copia forense (poche eccezioni, es.Tableau HW o SW)
    • paolo@dalchecco.it @forensico 1: Device S/N • Ultima data di inserimento scritta nella chiave USBStor del registro di Windows • A volte associata alla lettera del drive che è stata assegnata alla pendrive • Prima data di inserimento scritta nel file Setupapi.log in Windows XP e Setupapi.dev.log suVista e successivi • Se manca viene assegnato un numero dal sistema (il secondo carattere del S/N è in questo caso il carattere“&”)
    • paolo@dalchecco.it @forensico 1: Device S/N
    • paolo@dalchecco.it @forensico 1: Device S/N (Linux) • Viene indicato nei log del Kernel (/var/log/syslog), soggetto a rotazione • Si può ottenere tramite il comando “lsusb”
    • paolo@dalchecco.it @forensico 1: Device S/N (Linux) • Importante: durante le acquisizioni ricordarsi di tenerne traccia • ad es. Guymager riempie il campo “Notes” con il Device S/N: va lasciato lì perché non comparirà nel file di report
    • paolo@dalchecco.it @forensico 1: Device S/N (Mac OS) • Si può leggere tramite Disk Utility • Rimane traccia di tutti gli inserimenti nel log (/var/log/system.log), soggetto a rotation
    • paolo@dalchecco.it @forensico 2:Volume S/N • Codice binario memorizzato sulla partizione durante la formattazione • Facilmente modificabile • Viene memorizzato nella copia forense • Rimane scritto nei link ai file nella pendrive
    • paolo@dalchecco.it @forensico 2:Volume S/N (Win) FAT 12/16 - 4 bytes at offset 0x027 FAT 32 - 4 bytes at offset 0x043 NTFS - 8 bytes at offset 0x48
    • paolo@dalchecco.it @forensico 2:Volume S/N (Mac OS) http://lists.apple.com/archives/filesystem-dev/2012/Feb/msg00010.html
    • paolo@dalchecco.it @forensico 2:Volume S/N (Linux) • blkid • blkid -b /dev/sdc
    • paolo@dalchecco.it @forensico 3:Vendor e Product Name • Device ID contenuto nell’HW • Codice mappato inVendor e Product Name • http://www.linux-usb.org/usb.ids • Rimangono scritti nel registro di Windows
    • paolo@dalchecco.it @forensico 4: Dimensione della flash • Scritta nell’hardware, all’interno del firmware • Esistono in commercio fake USB che mostrano al sistema dimensione errata • Possibile testare la dimensione reale con tool come Bart's Stuff Test, H2testw, etc...
    • paolo@dalchecco.it @forensico Tracce della pendrive sul PC? • Device S/N e timestamp ultimo inserimento [registro] • HKEY_LOCAL_MACHINESYSTEMMountedDevices, • HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB • HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR • Volume S/N e nome nei link ai file sulla pendrive con dati relativi ai file aperti in essa contenuti [LNK] • Nomi e timestamp dei folder/file aperti sulla pendrive [registro] • HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags • HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU • HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreamMRU • HKCUSoftwareMicrosoftWindowsCurrentversionExplorerStreams
    • paolo@dalchecco.it @forensico Tracce della pendrive sul PC? • Data/ora di primo inserimento [logs] • %windir%Setupapi.log in Win XP e %windir%INFSetupapi.dev.log o %windir%INFSetupapi.app.log in WinVista e successivi] • Ultima lettera assegnata alla pendrive [registro] • Nomi di alcuni file aperti su pendrive con IE [index.dat] • Avvio programmi sulla pendrive [prefetch] • Eventuale copia massiva da PC [MFT] • Eventuale cancellazione dal PC [usnjrnl]
    • paolo@dalchecco.it @forensico Tracce della pendrive sul PC? • Installazione driver [System events] • Event ID’s 20001, 20003, 24576, 24577 • Apertura o salvataggio file da finestra di dialogo [registro] • SoftwareMicrosoftWindowsCurrentVersionExplorer ComDIg32OpenSaveMRU (OpenSavePidMRU in Win7) in NTUSER.DAT • Informazioni di cui sopra, ma storiche [Volume Shadow Copy e Restore Point]
    • paolo@dalchecco.it @forensico Limiti del filesystem FAT • Pendrive formattate in genere in FAT • Limiti dei timestamp dei file su FAT: • Data e ora di creazione • Data e ora (precisione 2 secondi) di modifica • Data di accesso (non viene indicata l’ora)
    • paolo@dalchecco.it @forensico Tracce del PC sulla pendrive? • Purtroppo poche, dipendono dall’OS e dall’utente... • Su Mac OS possono rimanere file come .DS_Store, .Trashes, .fseventsd e .Spotlight-V100 con dentro informazioni e date: • In alcuni casi “Recycle.bin”, quando USB visto come fisso
    • paolo@dalchecco.it @forensico Come acquisire una pendrive • Non commettere l’errore di inserire subito nel PC, rischiando di alterare il contenuto e rompere quindi la catena di conservazione del reperto!!! • Usare un copiatore forense, oppure un writeblocker e un PC • Vedremo in seguito che ci sono alternative più economiche...
    • paolo@dalchecco.it @forensico Come acquisire una pendrive • Se non si possiede un copiatore hw o un write blocker: • WIN: mettere in write lock porte USB • MAC: impostare la disk arbitration • LINUX: inibire il mount o usare una distro live forense
    • paolo@dalchecco.it @forensico Come acquisire una pendrive • Una volta bloccata la scrittura sulle porte USB (via HW o SW) utilizzare un software di copia: • FTK Imager • Tableau Imager (con hardware Tableau) • Guymager • AIR • dcfldd, etc...
    • paolo@dalchecco.it @forensico Come recuperare i dati: undelete • Tramite undelete è possibile recuperare file cancellati ma ancora indirizzati dalla FAT • Tools: FTK Imager,Autopsy, etc...
    • paolo@dalchecco.it @forensico Come recuperare i dati: carving • Tramite carving è possibile recuperare file cancellati e “dispersi” nello spazio non allocato • Tools: PhotoRec (anche su Win e a PC avviato), Scalpel, Foremost, etc...
    • paolo@dalchecco.it @forensico Impersonificazione di pendrive • Esiste un progetto che per pochi $ permette di creare un’intefaccia con USB guest e host programmabile, mediante la board “VINCULUM”, clone di “ARDUINO” con USB slave/host
    • paolo@dalchecco.it @forensico Impersonificazione di pendrive • FTDIVinculum II dual USB host/slave controller • 2 full-speed USB 2.0 interfaces (host or slave capable) • 256 KB E-flash memory • 16 KB RAM • 2 SPI slave and 1 SPI master interfaces • Easy-to-use IDE • Simultaneous multiple file access on BOMS devices
    • paolo@dalchecco.it @forensico Impersonificazione di pendrive
    • paolo@dalchecco.it @forensico Impersonificazione di pendrive
    • paolo@dalchecco.it @forensico Honeydocs • Idea utile per ritrovare pendrive usb perse o rubate • “Sting”: codici da inserire nei documenti (una “sting” gratuita) • “Buzz”: aperture dei documenti • Viene tracciato IP di apertura
    • paolo@dalchecco.it @forensico Honeydocs
    • paolo@dalchecco.it @forensico Honeydocs
    • paolo@dalchecco.it @forensico Honeydocs
    • paolo@dalchecco.it @forensico Honeydocs
    • paolo@dalchecco.it @forensico Alcuni strumenti • Regripper [code.google.com/p/regripper] • lnkinfo [code.google.com/p/libforensics] • log2timeline [code.google.com/log2timeline] • Registry Report [www.gaijin.at] • UsbDeview [www.nirsoft.net] • FTK Imager [www.accessdata.com] • USB History GUI [ohit-nair.blogspot.it/2] • Sbag [www.tzworks.net] • USP [www.tzworks.net] • LNK Parsing Utility [www.tzworks.net] • LinkViewer [www.gaijin.at] • Windows Prefetch Parser [www.tzworks.net]
    • paolo@dalchecco.it @forensico Q & A • Domande? • Suggerimenti? • Osservazioni? • Contatti? paolo@dalchecco.it - @forensico www.dalchecco.it