Incident Response, Security and Forensics"

.

jueves, 7 de mayo de 2009

Otros ficheros

Hola lectores,

El otro día me encontré con la necesidad de saber si un ordenador había utilizado un PENDRIVE con objeto de una posible fuga de información.

Al parecer alguien había 'sustraido' información valiosa por medio de un disco extraible.

En todas las empresas hoy por hoy, podemos sufrir por este tipo de 'fuga de información' ya que es muy simple y al alcance de cualquiera el poder introducir en la empresa un 'pendrive' y llevarse datos y ficheros. Las soluciones actuales o son muy caras económicamente o hay que administrar con cuidado determinadas políticas de seguridad.

En el mundo de windows disponemos de Active Directory y sus GPO. En el caso de Linux es más complejo y hay que activar/desactivar a nivel de módulo el dispositivo de 'pendrive' por usb

Aun con todo, por muy robustas que sean las políticas de seguridad en una empresa, siempre esta 'el malo malisimo' que intentará obtener la información de la forma y el precio que sea (siempre que esta lo valga)

Otras formas de obtener información son muy variadas, desde mandarla por correo, hasta hacer una foto con el móvil.

DETECTANDO UN PENDRIVE POR USB

Aun sabiendo que hay muchas herramientas que permiten detectar por las entradas del registro si se ha conectado un disco o dispositivo, hay una alternativa mas que no hay que dejar pasar por alto. Estos son los archivos de registro de windows (que no el registro)

Los archivos de registro de la instalación de Windows están en distintas ubicaciones del disco duro. Estas ubicaciones dependen de la fase de instalación, post-instalación y configuración y se puede obtener muchísima información de los ficheros de 'log's' que genera.

En windows disponemos de estos ficheros:

C:\WINDOWS\PANTHER\setupact.logContiene información acerca de las acciones de instalación durante la instalación.
C:\WINDOWS\PANTHER\setuperr.logContiene información acerca de los errores de instalación durante la instalación.
C:\WINDOWS\PANTHER\miglog.xmlContiene información acerca de la estructura de directorios del usuario. Esta información incluye los identificadores de seguridad (SID).
C:\WINDOWS\INF\setupapi.dev.logContiene información acerca de los dispositivos Plug and Play y la instalación de controladores.
C:\WINDOWS\INF\setupapi.app.logContiene información acerca de la instalación de aplicaciones.
C:\WINDOWS\Panther\PostGatherPnPList.logContiene información acerca de la captura de dispositivos que están en el sistema después de la fase de configuración con conexión.
C:\WINDOWS\Panther\PreGatherPnPList.logContiene información acerca de la captura inicial de dispositivos que están en el sistema durante la fase de nivel inferior.

Yo particularmente voy a centrarme en el siguiente fichero:

SETUPAPI.LOG

Setupapi.log es un archivo de texto que contiene datos interesantes sobre las instalaciones. Entre otras puede contener los números de serie de los dispositivos conectados a la máquina Windows. Es decir se puede saber a que hora se introdujo y extrajo un dispositivo como un pendrive

Con este fichero podemos saber la fecha y hora que un dispositivo ha estado conectado al ordenador durante la instalación del sistema operativo o conectado en una fase posterior.

Normalmente en XP se haya en '%windir%'. y en vista en '%windir%\INF'

Vista tiene dos ficheros similares setupapi.app.log y setupapi.dev.log que también se encuentra en '%windir%\INF'.

Para saber como se interpreta el fichero disponemos de esta tabla de información

Message IDMessage Type
#EnnnError message.
#WnnnWarning message.
#InnnInformational message.
#TnnnTiming message.
#VnnnVerbose message.
#-nnnStatus message.

Y aquí tenéis unos pantallazos de 'evidencia'









En la anterior pantalla podemos deducir que el ordenador no tuvo actividad entre las 00:40 y las 07:43

En la siguiente pantalla vemos el ultimo tipo de conexión y que nombre tenia predeterminado en la máquina en su conexión de red.







Por último podemos ver cuando fue la ultima vez que alguien conecto un dispositivo USB






CONCLUSIONES:

No es que sea de lo más importante, ya que como dije, existen multitud de herramientas que pueden ayudar sobre este tema, pero tampoco viene mal saber que existen estos ficheros que como todo en la vida, pueden ayudar, y en este caso windows nos deja un rastro que nos puede esclarecer un poco más la actividad de un ordenador.

5 comentarios:

Hola Pedro

Seguro que ya la conoces, pero al hilo de tu entrada esta herramienta

http://www.argen.org/downloads/files/SAEX.zip

Seguro resultara de utilidad.

Saludos

Buenas.

Muy interesante el artículo. Sin duda, es muy útil saber acceder a estos logs de información que va guardando el sistema operativo y nos permiten conocer el uso que se le ha estado dando en un momento determinado.

Un poco menos profundo, pero muy fácilmente accesible, está el control del sistema sobre los dispositivos USB que le han sido conectados. En mi comentario a un lector del blog, al final de esta entrada en Lobosoft hago referencia a esta posibilidad.

Un cordial saludo.

Yo preferiría soldar las patillas centrales del puerto USB para inutilizarlo, pero el jefe no me deja... Eso si, también conozco la herramienta gratuita USBDeview de Nirsoft.

Una forma un poquito menos "bruta" de impedir el uso de los dispositivos USB en sistemas Windows XP:

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732&Product=winxp

Saludos

nofito# No conocía la herramienta, le pondré un 'ojo' encima

Lobosoft# Buen articulo

Ivan# Esa herramienta si que la conocía ;-)