La mejor evidencia que podrías conseguir es inspeccionar la la última hora de acceso de los archivos en cuestión, o tal vez el último tiempo de acceso del directorio de nivel superior en el sistema de archivos.

Pero primero, un poco de antecedentes. Una memoria USB sería tratada por la computadora como un disco. La unidad (o, más precisamente, la partición principal dentro de la unidad) sería formateada como un sistema de archivos. La mayoría de los medios flash vienen formateados desde la caja con un sistema de archivos VFAT, que es una solución de mínimo común denominador que funciona con casi todos los dispositivos, incluyendo OSX, Windows, Linux y cámaras digitales. Las siguientes alternativas más probables a la VFAT serían HFS (el sistema de archivos nativo de OS X, que Windows no soporta en absoluto) o NTFS (el sistema de archivos nativo de Windows, soportado por cualquier versión de Windows lanzada este siglo, pero que sólo tiene soporte de sólo lectura en OS X, y raramente es soportado por las cámaras digitales).

Ese fondo es relevante porque los diferentes sistemas de archivos almacenan el último tiempo de acceso de forma diferente. Voy a trabajar con la suposición de que tu memoria USB está formateada con VFAT. Esto es importante porque Los sistemas de archivos VFAT sólo almacenan la última fecha de acceso no la hora del día. Esa sería la mejor evidencia que podrías esperar recoger, asumiendo que todo lo demás va bien.

Para ver las últimas fechas de acceso en el Finder ,

1. Cambiar a vista de lista (Ver → como lista (⌘2))
2. Mostrar el diálogo de opciones de visualización (Ver → Mostrar opciones de visualización (⌘J))
3. Seleccione "Fecha de la última apertura"

Alternativamente, en lugar de usar el Finder, podrías usar la Terminal para ejecutar

stat -x /Volumes/USB-Stick-Name/Path/To/File

para ver la hora de acceso de un archivo en particular.

Sin embargo, hay algunas advertencias importantes.

En primer lugar, el acto de conectar los medios de comunicación en su Mac hará que se monte automáticamente, alterando así el último tiempo de acceso del directorio de nivel superior (y quizás destruyendo aún más pruebas que eso). Un análisis forense debería requerir precauciones como montar los medios en modo de sólo lectura. Por lo tanto, tendría que suprimir el comportamiento de auto-montaje de OS X que no es tan fácil.

Segundo, su presunto compañero de trabajo/espía podría haber tomado una contramedida similar de montar los medios de comunicación de sólo lectura, por lo que no deja ninguna marca de tiempo como evidencia. (Tampoco hay garantía de que la computadora que el espía usó tuviera su reloj puesto con precisión, lo que pondría en duda la validez de cualquier marca de tiempo).

La moraleja de la historia es, si tienes alguna información sensible para ser almacenada en medios removibles, ¡encripta! La solución más fácil sería usar FileVault 2 . Tenga en cuenta, sin embargo, que tal encriptación haría que la memoria USB fuera ilegible en cualquier máquina que no sea una Mac.

Monte su dispositivo USB en ReadOnly

Para esto la forma más fácil consiste en instalar Arbitro de disco y configurándolo para que sólo monte cualquier dispositivo como de sólo lectura.

El Disk-Arbitrator El icono de la barra de menú debería cambiar a rojo.

Conecta tu dispositivo USB. Ahora no hay riesgo de que modifiques inadvertidamente cualquier tiempo de acceso en él.

Busca los tiempos de acceso

Digamos que tu dispositivo USB está montado como suspicious_USB .

Abre una Terminal o xterm ventana. Digamos que estás seguro de que no has montado tu dispositivo USB en cualquier ordenador desde hace 20 días. Dentro de su ventana de línea de comandos, ejecute los siguientes comandos:

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Este comando le mostrará cualquier archivo (incluso los ocultos) que cualquier sistema operativo pueda haber abierto en menos de 21 días. La salida de este comando le mostrará el último tiempo de acceso detallado de cualquier archivo o carpeta leída o simplemente tocada. Por ejemplo, este comando le mostrará que una carpeta fue simplemente abierta. Este comando le mostrará que Spotlight se ejecutó en tu llave USB.

Si encuentras algo, sabrás cuándo se leyó tu USB.

Limitación de la guerra

Si nuestro presunto colega o atacante es tan hábil como para leer esto documento y para entender cómo usarlo, podría haber montado su El dispositivo USB también es de sólo lectura. Por lo tanto, lo habría dejado limpio de cualquier modificación del tiempo de acceso.

En este caso tengo absolutamente no método para mostrar que algún archivo fue leída en su dispositivo USB.

• Abre tu Consola
• Seleccione system.log
• Escriba la siguiente consulta en el panel de búsqueda (esquina superior derecha): USBMSC
• Verás algo como kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
• El fecha y hora también se muestra. Esto le permitirá saber la última vez que un dispositivo fue conectado a un bus USB en particular.

Usa Belarc Advisor... ejecútalo con privilegios de administrador... cuando termine el informe busca el uso de la memoria USB en los últimos 30 días... allí puedes ver el tipo de USB y cuando fue usado por última vez...

Para "cualquier dispositivo USB" esto no es posible, ya que el estándar es para la comunicación.
En el caso de las memorias USB, puedes intentar comprobar las fechas de acceso de los archivos individuales (no cuentes con ello, a menudo no se utiliza de todos modos, y tu propia comprobación puede sobrescribir las fechas si no tienes cuidado), o la presencia de archivos que conozca ni tu ordenador podría haber puesto ahí (como thumbs.db o RECYCLED para Windows, .DS_Store o .Trashes para mac).

No tiene mucho sentido tener esta característica, en un producto de consumo típico. Incluso si estuviera almacenada en el firmware del dispositivo, seguiría dependiendo del reloj del ordenador central.