La mejor evidencia que puede obtener es inspeccionar el último tiempo de acceso de los archivos en cuestión, o quizás el último tiempo de acceso del directorio de nivel superior en el sistema de archivos.

Pero primero, un poco de fondo. El ordenador trataría una unidad flash USB como si fuera un disco. La unidad (o, más precisamente, la partición principal dentro de la unidad) se formateará como un sistema de archivos. La mayoría de los medios flash vienen formateados de manera inmediata con un sistema de archivos VFAT, que es la solución de mínimo denominador común que funciona con casi todos los dispositivos, incluidos OS X, Windows, Linux y cámaras digitales. La siguiente alternativa más probable a VFAT sería HFS + (el sistema de archivos nativo de OS X, que Windows no soporta en absoluto) o NTFS (el sistema de archivos nativo de Windows, compatible con cualquier versión de Windows lanzada en este siglo, pero que solo tiene soporte de solo lectura en OS X, y rara vez es compatible con cámaras digitales).

Ese fondo es relevante porque diferentes sistemas de archivos almacenan la última hora de acceso de manera diferente. Voy a trabajar asumiendo que su memoria USB está formateada con VFAT. Esto es importante porque los sistemas de archivos VFAT solo almacenan el último acceso fecha , no la hora del día. Esa sería la mejor evidencia que podrías esperar recopilar, suponiendo que todo lo demás salga bien.

Para ver fechas de acceso en el Finder ,

1. Cambiar a la vista de lista (Ver → como lista (⌘2))
2. Mostrar el cuadro de diálogo Opciones de vista (Ver → Mostrar opciones de vista (⌘J))
3. Seleccione "Fecha de la última apertura"

Alternativamente, en lugar de usar el Finder, puedes usar la Terminal para ejecutar

stat -x /Volumes/USB-Stick-Name/Path/To/File

para ver el tiempo de acceso de un archivo en particular.

¡Sin embargo, hay algunas advertencias importantes!

Primero, el hecho de conectar los medios en tu Mac hará que se monte automáticamente, lo que altera el tiempo de último acceso del directorio de nivel superior (y tal vez destruye más pruebas que eso). Un análisis forense debe requerir precauciones, como montar los medios en modo de solo lectura. Por lo tanto, tendría que suprimir el comportamiento de montaje automático de OS X , que no es tan fácil.

En segundo lugar, su presunto compañero de trabajo / espía podría haber tomado una medida similar para montar el medio de solo lectura, por lo que no deja ninguna marca de tiempo como evidencia. (Tampoco hay garantía de que la computadora que usó el espía tuviera su reloj ajustado con precisión, lo que arrojaría dudas sobre la validez de cualquier marca de tiempo).

La moraleja de la historia es que, si tiene alguna información confidencial para almacenar en medios extraíbles, ¡cifrada! La solución más sencilla sería utilizar FileVault 2 . Sin embargo, tenga en cuenta que dicho cifrado hará que la memoria USB sea ilegible en cualquier máquina que no sea una Mac.

Monte su dispositivo USB de forma instantánea

Para esto, la forma más fácil consiste en instalar Disk Arbitrator y configurarlo para que solo monte cualquier dispositivo como solo lectura.

El icono de la barra de menú Disk-Arbitrator debería cambiar a rojo.

Conecta tu dispositivo USB. Ahora no existe ningún riesgo de que modifiques inadvertidamente el tiempo de acceso en él.

Buscar tiempos de acceso

Digamos que su dispositivo USB está montado como suspicious_USB .

Abre una ventana Terminal o xterm . Digamos que está seguro de que no montó su dispositivo USB En cualquier ordenador desde 20 días. Dentro de su ventana de línea de comandos, ejecute los siguientes comandos:

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Este comando le mostrará cualquier archivo (incluso los ocultos) que cualquier sistema operativo pueda haber abierto en menos de 21 días. La salida de este comando le mostrará el último tiempo de acceso detallado De cualquier archivo o carpeta leído o simplemente tocado. Por ejemplo, este comando le mostrará que una carpeta simplemente se abrió. Este comando te mostrará ese Spotlight se ejecutó en su llave USB.

Si encuentra algo, sabrá cuándo se leyó su USB.

Limitación de la garantía

Si nuestro presunto colega o atacante es tan hábil como para leer esto documento y para entender cómo usarlo, podría haber montado su Dispositivo USB de solo lectura también. Por lo tanto, lo habría dejado limpio de cualquier modificación de tiempo de acceso.

En este caso, tengo absolutamente el método no para mostrar que algún archivo se leyó en su dispositivo USB :(.

• Abra su Console
• Selecciona system.log
• Escriba la siguiente consulta en el panel de búsqueda (esquina superior derecha): USBMSC
• Verás algo como kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
• También se muestra la fecha y hora . Esto le permitirá saber la última vez que se conectó un dispositivo a un bus USB en particular.

Para "cualquier dispositivo USB", esto ciertamente no es posible, ya que el estándar es para la comunicación.
Para las unidades flash USB, puede intentar verificar las fechas de acceso de los archivos individuales (no cuente con ello, a menudo no se usa de todos modos, y su propio cheque puede sobrescribir las fechas si no tiene cuidado), o la presencia de archivos que know , ni usted ni su computadora podrían haber colocado allí (como thumbs.db o RECICLADO para Windows, .DS_Store o .Trashes para mac).

No tiene mucho sentido tener esta característica, en un producto de consumo típico. Incluso si estuviera almacenado en el firmware del dispositivo, aún dependería del reloj de la computadora host.

Use Belarc Advisor ... ejecútelo con privilegios de administrador ... cuando termine el informe, busque el uso de almacenamiento USB en los últimos 30 días ... allí puede ver el tipo de USB y la última vez que se usó ...