ndice
de
Trminoshacking,
acceso, control,
dispositivos, almacenamiento, USB (Universal Serial Bus).
I. INTRODUCCIN
n la actualidad los dispositivos de
almacenamiento USB son muy populares,
debido a su facilidad de uso y relativamente bajo
costo. De acuerdo a un analista de Gartner se espera
que para finales de 2007 el mercado de dispositivos
de almacenamiento USB genere una utilidad de
$2.8 billones de dlares, y un nmero de unidades
vendidas de 133 millones [1]. Adems de su gran
capacidad, algunos de estos dispositivos cuentan
adems con reproductores multimedia, hacindolos
aun ms atractivos al pblico. Una lnea de estos
dispositivos multimedia, el iPod de Apple,
posee capacidades que varan entre 1 y 80 GB; este
dispositivo ha sido muy popular: para abril de 2007,
haba alcanzado los 100 millones de unidades
vendidas [2]. Sin duda, los dispositivos de
almacenamiento USB han revolucionado desde
hace algunos aos la manera en que las personas
manejan sus archivos [3].
2
Algunos dispositivos pueden ser de los dos tipos al mismo tiempo. Por
ejemplo, una pantalla USB (funcin) puede ser a su vez un concentrador con
dos o ms conexiones auxiliares para conectar otros dispositivos.
= Funcin
= Concentrador
= Concentrador
= Funcin.
Transferencia
de
control
("Control
transfer"): Ocurre cuando un dispositivo se
conecta por primera vez. En este momento
el controlador de host enva un paquete
"Token" al perifrico notificndole el
nmero que le ha asignado.
Transferencia de pila de datos ("Bulk data
transfer"): Este proceso se utiliza para enviar
gran cantidad de datos de una sola vez. Es
til para dispositivos que tienen que enviar
gran cantidad de datos cada vez, como
escneres o mquinas de fotografa digital.
Transferencia por interrupcin ("Interrupt
data transfer"): Este proceso se utiliza
cuando se solicita enviar informacin por el
bus en una sola direccin (de la funcin al
host).
Transferencia
de
datos
iscrona
("Isochronous data transfer"): Este proceso
se utiliza cuando es necesario enviar datos
en tiempo real. Los datos son enviados con
una cadencia precisa ajustada a un reloj, de
0.321 0.81 m
26
0.405 1.31 m
24
0.511 2.08 m
22
0.644 3.33 m
20
0.812 5.00 m
TABLA II.
Disposicin de pines y colores de identificacin
Pin
Nombre
Descripcin
Color
VBUS
+ 5 V. CC
rojo
D-
Data -
azul
D+
Data +
amarillo
GND
Tierra
verde
FIGURA I
CONECTOR TIPO A
FIGURA II
CONECTOR TIPO B
B. Especificacin USB
USB son las siglas de Universal Serial Bus. En
ordenadores, un bus es un subsistema que transfiere
datos o electricidad entre componentes del
ordenador dentro de un ordenador o entre
ordenadores. Un bus puede conectar varios
perifricos utilizando el mismo conjunto de cables.
La tecnologa USB ha sido promovida
principalmente por Intel, aunque le han seguido
todos los grandes fabricantes, de forma que se ha
convertido en un estndar importante. En sus
comienzos los interesados en esta tecnologa se
agruparon en un foro, el USB Implementers Forum
Inc., USB-IF, que agrupa a ms de 460 compaas3,
y ha publicado diversas revisiones de la norma [8]:
USB 0.9: Primer borrador, publicado en Noviembre
de 1995.
USB 1.0: Publicada en 1996 establece dos tipos de
conexin: La primera, denominada velocidad baja
("Low speed"), ofrece 1.5 Mbps, y est pensada
para perifricos que no requieren un gran ancho de
3
LSA [15].
Para obtener sta informacin, Switchblade se
vale de mecanismos populares usados en un
ambiente de red, y es por esto que se llama
Switchblade4; Por tanto, la ejecucin de estos
programas puede ser identificada por sistemas
antivirus; sin embargo, se pueden utilizar
herramientas poco conocidas o relativamente
nuevas para realizar el levantamiento de la
informacin.
Aunque la tcnica inicialmente fue creada para
ser usada con dispositivos de almacenamiento
convencionales, la tecnologa U3 permite realizar
ataques Switchblade de manera mas silenciosa y
totalmente automatizada (no se debe abrir el
explorador de archivos, tan solo se debe conectar el
dispositivo a la maquina), y por eso es la mas
preferible. Se debe modificar la unidad de CDROM emulada por el dispositivo, tal que se ejecuten
los
scripts
de
Switchblade
al
iniciar
automticamente el Launchpad.
La ventaja (o desventaja, dependiendo del punto
de vista) que posee esta tcnica sobre Hacksaw es
que no enva informacin por la red, y por tanto no
genera trfico sospechoso. Sin embargo, existe una
variante de esta tcnica conocida como HackBlade,
la cual combina caractersticas de Hacksaw y
Switchblade. Esta variante es la utilizada en el
experimento descrito en la seccin IV, y es
explicada con detalle all.
E. USB Chainsaw
Al momento de publicacin de este documento,
Chainsaw aun se encuentra en etapas tempranas de
desarrollo [16].
Aunque no se han dado detalles acerca del
funcionamiento de esta tcnica, se espera que sea
posible aplicarla a diversos sistemas operativos,
llegando ms all que sus predecesoras (Hacksaw,
Switchblade), los cuales solo pueden ser utilizadas
sobre Windows.
4
ProductName:MicrosoftWindowsXP
ProductID:55**0*****791*230***
ProductKey:PQ**M*****3B**W*****V**XQ
ComputerName:IVANDESKTOP
ProcessID:1944(Apache.exe)
ServiceName:Apache2
DisplayName:Apache2
ServiceType:runsinitsownprocess
PID
Port
LocalIP
State
Remote
IP:Port
1944
TCP80
0.0.0.0
LISTENING
0.0.0.0:2128
ProcessID:1968(AdskScSrv.exe)
ServiceName:AutodeskLicensingService
V. DETECCIN Y PREVENCIN
Es importante saber que el objetivo de usar
herramientas basadas en dispositivos USB es el de
dificultar la recoleccin de evidencias a los
investigadores forenses. Esto se puede lograr debido
al poco uso que se le da al disco duro donde se
encuentra el Sistema Operativo y otros archivos al
momento de realizar acciones ilcitas. En estos
casos no se encuentran tantos rastros como se
encontraran en caso de usar mecanismos para
obtener los mismos resultados a travs de una red.
Por otra parte, su gran movilidad y pequeo
tamao hace aun ms difcil la recoleccin de
evidencias, debido a que para poder encontrarlas, se
FIGURA IX
DISPOSITIVOS CONECTADOS
Nombredeclave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
\Disk&Ven_ChipsBnk&Prod_Flash_Disk&Rev_2.00\176119494270
&0
Nombredeclase:<Ningunaclase>
Horadeltimaescritura:12/03/200719:56
Valor3
Nombre:HardwareID
Tipo:REG_MULTI_SZ
Datos:
USBSTOR\DiskChipsBnkFlash_Disk______2.00
USBSTOR\DiskChipsBnkFlash_Disk______
USBSTOR\DiskChipsBnk
USBSTOR\ChipsBnkFlash_Disk______2
ChipsBnkFlash_Disk______2
USBSTOR\GenDisk
GenDisk
Valor8
Nombre:ParentIdPrefix
Tipo:REG_SZ
10
11
Autores
Paola Constanza Pea Melo
Estudiante de la carrera de Ingeniera de Sistemas de la
Pontificia Universidad Javeriana con nfasis en Redes y
Sistemas Distribuidos. Se encuentra prxima a concluir con
sus estudios universitarios que le han ayudado bastante para su
gran desarrollo personal y profesional. Las reas de mayor
inters en el tema de sistemas son: Gerencia y Gestin de
Proyectos, Administracin y Seguridad Informtica. Ha tenido
la oportunidad de estudiar en Repblica Dominicana y
Guatemala. As mismo la oportunidad de trabajar con
Teorema S.A Microsoft Certified Partner en la Repblica
Dominicana. Este tipo de experiencias laborales han hecho
crecer an ms el querer conocer ms acerca de todo lo
relacionado con la Ingeniera de Sistemas en el mundo entero.
Ivn Camilo Vsquez Giza
Estudiante de Ingeniera de Sistemas de la Pontificia
Universidad Javeriana. Actualmente est cursando VII
Semestre de sta carrera, haciendo nfasis en las reas de
redes y telecomunicaciones. Tambin es monitor de la
asignatura Estructuras de Datos, y actualmente est
realizando el sitio Web del circuito de maratones de
programacin de REDIS ACIS. Tambin est trabajando en
la apertura de un captulo de ACM para la Universidad
Javeriana.