#DFIR: Piénsatelo dos veces antes de meterla – (Gracias, @CONPilarZgz)

Hola… ¿Secuaces?

Hace mucho que no me paso por aquí. Concretamente desde el 15 enero, cuando publiqué mi último trabajo. Venga. Vale. No es tanto tiempo, ¿No? Para mí, es una eternidad. Una eternidad sin poder escribir nada, sin poder demostrar el poder de la curiosidad. Creo que hasta he perdido ‘mi toque’. Son varias las razones que me han llevado a estar desaparecido. Tanto personales como profesionales. Pero no voy a mencionar nada relativo a esto. Ya sabes que las circunstancias son las que son y que los tiempos no se pueden cambiar. Aprovecho esta coyuntura de los tiempos para pedir disculpas, pues no podré redactar este artículo en inglés, precisamente por la falta de tiempo. Todos tenemos nuestra temporada de ‘vacas flacas‘. Ya llegaran tiempos mejores, (espero). Quienes me conocen ya saben mi situación en ambos espacios, que procuro no mezclar, aunque a veces es inevitable.

Suelen decir de mis artículos que son muy extensos. La razón que me lleva a ello es, simplemente, que me gusta documentar cada paso que doy; que me gusta explicar absolutamente todo lo que hago. Por ello también me suelen decir, aunque con menos frecuencia, que son instructivos. Sinceramente, me vale. Me basta con que una sola persona me diga que ha aprendido a hacer algo y que, además, lo ha entendido, para seguir con ello.

En esta ocasión no será así. Voy a cambiar de la forma de presentar mis trabajos. Sí. Se puede catalogar como un experimento.

Espero no tener que dejar a mis villanos favoritos, por ello, para buscarme a otros. Dicen que Orlando es un buen sitio para buscar…

Voy a intentar centrarme en lo que me interesa mostrar y en lo que creo que te puede interesar, sin irme por las ramas. Cosa que me será muy difícil.

He tenido el inmenso placer de volver a participar en el Congreso de Seguridad Informática CONPilar. Sí. Inmenso placer y tremendo honor de que contaran conmigo, por segunda vez, porque fue allí donde tuve mi ‘Bautismo de fuego’ con el escenario. De corazón lo digo: Son como gran familia.

La lástima fue que no pude disfrutar del evento en todo su esplendor. De hecho, tan sólo pude asistir un rato en la mañana de mi ponencia. Lo siento en el alma.

Pero te aseguro que mereció la pena el viaje exprés, cada segundo que allí pasé. Mereció la pena despertarme a las 05.00 horas de un sábado. Mereció la pena ver amanecer mientras viajaba, escuchando una buena música culta para relajar mis nervios. Mereció la pena emprender el viaje de vuelta a las 13.30 horas. Mereció la pena, aunque tan sólo fuera por ver a viejos amigos y por la cerveza, no necesariamente por ese orden.

Venga. Va. Si no pudiste asistir, si te perdiste parte del Congreso o si, sencillamente, quieres ver lo que allí pasó, puedes ver su Hashtag, #CONPilar18. Es, sencillamente, impresionante lo que hacen.

Y, como para mí significa algo muy especial que cuenten conmigo, quise preparar algo especial, algo nuevo, porque no me gusta repetir contenido.

Tras terminar la charla hubo algunas personas que se acercaron para decirme que les había parecido muy interesante, muy instructiva e incluso que les había entrado un poco de miedo. Mi objetivo no era causar miedo. Mi objetivo era lanzar un mensaje, que creo quedó claro en el escenario: Ser conscientes de lo que hacemos. Tener cuidado con lo que hacemos. Así de simple.

Por ello he decidido publicar este artículo, con el contenido de la ponencia. Tranquilo, que no será una serie de entradas como la que hice con «Ser curioso no es una opción«. Procuraré no extenderlo más de lo necesario, por lo que tendré que sacrificar ~~algunas,~~ muchas, explicaciones. Si no te parece buena idea, dímelo sin tapujos. Tranquilo, que no te buscaré para pelear.

No me sentará mal porque soy muy receptivo con toda idea, sugerencia o crítica. Me gusta el buen rollo, me gusta llevarme bien con todo el mundo.

El título de mi presentación, tal y como podrás deducir, fue: «Piénsatelo dos veces antes de meterla«. No seas mal pensado. No. Que alguno ya me dijo, «Piénsatelo dos veces antes de sacarla».

¿Empezamos?

¿De verdad estás listo para emprender este viaje sin retorno? (Dicen las malas lenguas que se está muy bien viviendo en la ignorancia). No lo comparto en absoluto porque… No me gusta vivir en el desconocimiento, cuando ello puede implicar algún tipo de riesgo.

Si hay algo que me he preguntado siempre, desde que me introduje en el mundo DFIR, es, ¿Cómo funcionan las memorias USB? ¿Qué hacen realmente? ¿Qué ocurre con ellas desde el momento en que las conectamos a nuestro ordenador? De ello trataba la ponencia. De los dispositivos de almacenamiento USB.

Sinceramente, me extraña no haber visto nada publicado en profundidad con respecto a este tema y, sinceramente también, no esperaba encontrar los resultados que encontré.

Te puedo decir que me quedé de piedra.

Todo empieza, pues, con una pregunta: ¿Sabemos…?

¿Sabemos qué ocurre cuando conectamos un dispositivo USB a un Sistema Windows?
¿Sabemos cómo interactúa nuestra información con ese Sistema?
¿Sabemos qué rastro dejamos atrás, sin ser conscientes de ello?

Tenía una curiosidad enorme por realizar este trabajo, la verdad. Y te puedo asegurar que me ha costado más tiempo preparar el escenario que realizar el análisis, que no me ha entrañado dificultad alguna. Ya me he quitado esta espina, de momento.

Hubo quien me dijo que le parecía impresionante lo que soy capaz de investigar, sólo por pasión, sin ser mi profesión. Bueno, todos tenemos pasión por algo, ¿No? Tan sólo hace falta manifestarla de alguna manera.

Antes de entrar en materia permíteme que te haga algunas preguntas: ¿Tienes un dispositivo USB? ¿Tienes más de un dispositivo USB? ¿Procuras separar lo profesional de lo personal dentro de ellos? ¿Mezclas, aunque sea de forma temporal, el contenido de uno y de otro? ¿Te has confundido alguna vez al conectar un dispositivo a un Sistema que no sea tuyo? ¿Usas nombres para archivos o carpetas que te puedan identificar a ti o a tu actividad? ¿Has abierto por error algún fichero que no debieras?

Te lanzo estas preguntas porque te aseguro que verás con otros ojos los dispositivos USB.

Si eres un ser mortal, un ser humano, como yo, seguramente que se te haya dado, al menos, alguna de esas situaciones, porque somos imperfectos y cometemos errores, ¿Cierto?

Cuando estuve encima del escenario, comenzando con la presentación, pregunté si alguien me dejaba alguna memoria USB… Y nadie se dignó a dejarme una, (qué desconfianza existe en el mundo). Muy bien hecho, he de decir, porque soy un ‘cabrón resabiado’ y puedo ser muy malo 😉

Ya me he enrollado suficiente.

El escenario

Para la realización de esta pequeña investigación he efectuado unas pruebas bajo dos versiones de Sistemas Operativos Windows, virtualizados bajo VirtualBox: Windows 7 y Windows 10.

Pero son muchas las situaciones que se pueden dar cuando conectas un dispositivo USB en un Sistema. Por ello, las realicé bajo una serie de supuestos:

Dispositivo USB conectado.
Dispositivo USB conectado y explorado, (unidad USB abierta).
Dispositivo USB conectado y ‘reparado’, (chkdsk).
Dispositivo USB conectado y un fichero abierto.

Es decir, que, cuatro supuestos distintos con los que he trabajado multiplicado por dos versiones de Sistemas Windows… me salen ocho máquinas virtuales que preparé y analicé, bien a gusto.

En cuanto al procedimiento que llevé a cabo para la realización de las pruebas, lo que hice fue importar las máquinas virtuales de Microsoft, encenderlas, conectar el dispositivo USB a cada una de ellas, (de una en una, por favor), llevar la acción oportuna para cada supuesto y adquirir la Imagen Forense de esa máquina. Por lo que la actividad que voy a reflejar es la relativa a minutos de actividad en el Sistema en cuestión.

Herramientas utilizadas

Para la realización de estas pruebas, de este análisis, he optado por usar únicamente pequeñas utilidades que no requieren instalación alguna, exceptuando las máquinas virtuales:

Máquinas virtuales de Microsoft, (Windows 7 y Windows 10).
FTK Imager Lite.
Strings.
Registry Explorer.
ParseRacWMI.
LECmd.
LogFileParser.
Thumbcache Viewer.
BrowsingHistoryView.
PECmd.
OSForensics, (Para facilitar la comprensión de la actividad reciente que llevé a cabo).
Visor de eventos de Windows, (eventvwr).
Bloc de notas de Windows, (notepad).

¿Sabías que…?

Antes de continuar debes saber que, (si no lo sabes ya), conectar un dispositivo USB y desconectarlo, (sin necesidad de realizar acción alguna sobre él), a nivel de artefactos forenses, equivale a conectar un dispositivo USB y abrirlo, tanto en Sistemas Windows 7 como en Sistemas Windows 10. ¿Sabrías decirme porqué?

Antes de adentrarte en este maravilloso mundo de los dispositivos USB te diré que, durante el análisis de los distintos artefactos, nos podremos encontrar con varios datos sobre los dispositivos USB que han sido conectados al Sistema: números de serie, marcas de tiempo de instalación del dispositivo, marcas de tiempo de última conexión, nombres del volumen, letras de unidad, rutas, identificadores únicos, (GUID), … Y algo más. Todos estos datos se pueden relacionar entre sí, de una manera o de otra.

En lo referente a los artefactos que contienen información que considero valiosa, debo decir que hay algunos tipos de ficheros de los que no he encontrado referencias fiables y hay otros de los que ni siquiera hay referencia alguna en la propia base de conocimiento de Microsoft. Nada. Ni el porqué de su existencia, su razón de ser. Así que, si estás leyendo este material y tienes algo que me deje en el tintero, te estaré agradecido si me arrojas algo de luz.

Igualmente y dado que se repiten el mismo tipo de artefactos, el mismo tipo de ficheros, con cada uno de los supuestos, los omitiré si ya he hablado de ellos con anterioridad. Dicho esto, comenzaré con los detalles de las pruebas.

Y para comenzar, la pregunta que nos debemos hacer es: ¿Dónde mirar? Esa es la pregunta que te debes hacer. Esa es la pregunta que verás a lo largo de la presentación.

Las slides

Bueno… Sin más dilación te dejo la presentación en su totalidad. Seguramente te surgirán dudas con alguna diapositiva. Estoy convencido de ello. No tengas miedo a preguntar. De hecho te invito a que lo hagas de manera abierta, para que todos podamos aprender ello, aclarar lo que haga falta, hacer Comunidad.

#CONPilar18: Piénsatelo dos veces antes de meterla from Marcos Fuentes

Y, sobre todo, recuerda que no me dedico a esto. Mis labores son otras…

¿Nos leeremos en la siguiente entrada? Marcos, @_N4rr34n6_

3 comentarios en «#DFIR: Piénsatelo dos veces antes de meterla – (Gracias, @CONPilarZgz)»

kembar dice:

mayo 18, 2018 a las 1:12 pm

Lamentablemente parece que el enlace tiene algun problema y no es posible ver la presentacion , interesante tematica, ademas recientemente una compañia azul va a prohibir su uso a sus empleados.
1. Marcos dice:
  
  mayo 18, 2018 a las 1:30 pm
  
  Gracias por el comentario. Yo sí puedo acceder al enlace. No obstante, mira a ver con este: http://www.slideshare.net/N4rr34n6/conpilar18-pinsatelo-dos-veces-antes-de-meterla
  En cuanto a la empresa que ha prohibido el uso de este tipo de dispositivos a sus empleados, sí. Se trata de IBM. Pero veremos a ver hasta dónde llegan porque la alternativa es la nube y hay datos y procedimientos que no se pueden llevar a cabo desde la misma.
  Un saludo.-
Josep dice:

enero 3, 2019 a las 10:10 am

Muchas gracias por tu labor divulgativa. Por otra parte, aunque una imagen vale más que mil palabras…. ¿es posible ver la presentación que hiciste en #CONPilar18?

Los comentarios están cerrados.