El otro día me encontré con la necesidad de saber si un ordenador había utilizado un PENDRIVE con objeto de una posible fuga de información.
Al parecer alguien había 'sustraido' información valiosa por medio de un disco extraible.
En todas las empresas hoy por hoy, podemos sufrir por este tipo de 'fuga de información' ya que es muy simple y al alcance de cualquiera el poder introducir en la empresa un 'pendrive' y llevarse datos y ficheros. Las soluciones actuales o son muy caras económicamente o hay que administrar con cuidado determinadas políticas de seguridad.
En el mundo de windows disponemos de Active Directory y sus GPO. En el caso de Linux es más complejo y hay que activar/desactivar a nivel de módulo el dispositivo de 'pendrive' por usb
Aun con todo, por muy robustas que sean las políticas de seguridad en una empresa, siempre esta 'el malo malisimo' que intentará obtener la información de la forma y el precio que sea (siempre que esta lo valga)
Otras formas de obtener información son muy variadas, desde mandarla por correo, hasta hacer una foto con el móvil.
DETECTANDO UN PENDRIVE POR USB
Aun sabiendo que hay muchas herramientas que permiten detectar por las entradas del registro si se ha conectado un disco o dispositivo, hay una alternativa mas que no hay que dejar pasar por alto. Estos son los archivos de registro de windows (que no el registro)
Los archivos de registro de la instalación de Windows están en distintas ubicaciones del disco duro. Estas ubicaciones dependen de la fase de instalación, post-instalación y configuración y se puede obtener muchísima información de los ficheros de 'log's' que genera.
En windows disponemos de estos ficheros:
| C:\WINDOWS\PANTHER\setupact.log | Contiene información acerca de las acciones de instalación durante la instalación. |
| C:\WINDOWS\PANTHER\setuperr.log | Contiene información acerca de los errores de instalación durante la instalación. |
| C:\WINDOWS\PANTHER\miglog.xml | Contiene información acerca de la estructura de directorios del usuario. Esta información incluye los identificadores de seguridad (SID). |
| C:\WINDOWS\INF\setupapi.dev.log | Contiene información acerca de los dispositivos Plug and Play y la instalación de controladores. |
| C:\WINDOWS\INF\setupapi.app.log | Contiene información acerca de la instalación de aplicaciones. |
| C:\WINDOWS\Panther\PostGatherPnPList.log | Contiene información acerca de la captura de dispositivos que están en el sistema después de la fase de configuración con conexión. |
| C:\WINDOWS\Panther\PreGatherPnPList.log | Contiene información acerca de la captura inicial de dispositivos que están en el sistema durante la fase de nivel inferior. |
Yo particularmente voy a centrarme en el siguiente fichero:
SETUPAPI.LOG
Setupapi.log es un archivo de texto que contiene datos interesantes sobre las instalaciones. Entre otras puede contener los números de serie de los dispositivos conectados a la máquina Windows. Es decir se puede saber a que hora se introdujo y extrajo un dispositivo como un pendrive
Con este fichero podemos saber la fecha y hora que un dispositivo ha estado conectado al ordenador durante la instalación del sistema operativo o conectado en una fase posterior.
Normalmente en XP se haya en '%windir%'. y en vista en '%windir%\INF'
Vista tiene dos ficheros similares setupapi.app.log y setupapi.dev.log que también se encuentra en '%windir%\INF'.
Para saber como se interpreta el fichero disponemos de esta tabla de información
| Message ID | Message Type |
|---|---|
| #Ennn | Error message. |
| #Wnnn | Warning message. |
| #Innn | Informational message. |
| #Tnnn | Timing message. |
| #Vnnn | Verbose message. |
| #-nnn | Status message. |
Y aquí tenéis unos pantallazos de 'evidencia'
En la anterior pantalla podemos deducir que el ordenador no tuvo actividad entre las 00:40 y las 07:43
En la siguiente pantalla vemos el ultimo tipo de conexión y que nombre tenia predeterminado en la máquina en su conexión de red.
Por último podemos ver cuando fue la ultima vez que alguien conecto un dispositivo USB
CONCLUSIONES:
No es que sea de lo más importante, ya que como dije, existen multitud de herramientas que pueden ayudar sobre este tema, pero tampoco viene mal saber que existen estos ficheros que como todo en la vida, pueden ayudar, y en este caso windows nos deja un rastro que nos puede esclarecer un poco más la actividad de un ordenador.
5 comentarios:
Hola Pedro
Seguro que ya la conoces, pero al hilo de tu entrada esta herramienta
http://www.argen.org/downloads/files/SAEX.zip
Seguro resultara de utilidad.
Saludos
Buenas.
Muy interesante el artículo. Sin duda, es muy útil saber acceder a estos logs de información que va guardando el sistema operativo y nos permiten conocer el uso que se le ha estado dando en un momento determinado.
Un poco menos profundo, pero muy fácilmente accesible, está el control del sistema sobre los dispositivos USB que le han sido conectados. En mi comentario a un lector del blog, al final de esta entrada en Lobosoft hago referencia a esta posibilidad.
Un cordial saludo.
Yo preferiría soldar las patillas centrales del puerto USB para inutilizarlo, pero el jefe no me deja... Eso si, también conozco la herramienta gratuita USBDeview de Nirsoft.
Una forma un poquito menos "bruta" de impedir el uso de los dispositivos USB en sistemas Windows XP:
http://support.microsoft.com/default.aspx?scid=kb;en-us;823732&Product=winxp
Saludos
nofito# No conocía la herramienta, le pondré un 'ojo' encima
Lobosoft# Buen articulo
Ivan# Esa herramienta si que la conocía ;-)
Publicar un comentario en la entrada