Ustalanie, czy dysk twardy został usunięty, a dane z niego skopiowane?

30

Czy istnieje metoda lub narzędzie, które może wykryć, czy ktoś oddzielił mój dysk twardy od komputera, skopiował z niego dane i zwrócił z powrotem?

Chcę mieć pewność, że nikt nie zrobił tego bez mojej wiedzy, ale nie jestem pewien, jak to zrobić.

  • Uwaga: używam Deep freeze.
Anyname Donotcare
źródło
10
W ogólnym przypadku osoba, która ma fizyczny dostęp do maszyny, jest jej właścicielem, Deep Freeze Faronics lub nie. Są rzeczy, które możesz zrobić, aby to utrudnić, ale poważnie wątpię, czy można to naprawdę egzekwować.
Billy ONeal
3
Wielu komentatorów wspomniało, że dostęp fizyczny oznacza, że ​​jesteś wkręcony. Powiązany punkt: jeśli stwierdzisz, że ktoś fizycznie dotknął twojego dysku, komu zależy na dowodzie, że skopiował dane? Załóżmy, że tak.
Cascabel,
4
Zawsze się nad tym zastanawiałem, ilekroć ktoś wysyła laptopa do Dell lub HP. Dlatego nigdy nie wyślę laptopa do magazynu bez uprzedniego wyjęcia dysku twardego.
James Mertz

Odpowiedzi:

50

Zastosowanie głębokiego zamrożenia jest w tej sytuacji nieistotne.

Jeśli są częściowo kompetentni, użyją interfejsu tylko do odczytu.

Znacznik czasu ostatniego dostępu zostanie zmieniony tylko wtedy, gdy używają interfejsu odczytu i zapisu. Wyłączenie interfejsu zapisu jest trywialne. To właśnie robi kryminalistyka. Oni nigdy umieścić oryginalny napęd z interfejsem odczytu / zapisu. Zawsze tylko do odczytu. Następnie robią kopię roboczą. Wszystko bez zmiany jednego bitu na oryginalnym dysku.

Najlepszym rozwiązaniem jest użycie szyfrowania dysku, takiego jak Bitlocker lub TrueCrypt.

edytować:

dziękuję bardzo, ale czy mógłbyś wyjaśnić, co rozumiesz przez interfejs odczytu i zapisu?

Urządzenia takie jak te . . .

Fizycznie blokują dostęp do zapisu na dysku. Często stosowany w odzyskiwaniu kryminalistyki / HD z powodów prawnych i praktycznych, takich jak sprawa Amanda Knox.

surfasb
źródło
10
Istnieją urządzenia sprzętowe, które można wstawić między dysk a komputer, aby blokować zapisy, aby udowodnić w sądzie, że dysk tak naprawdę nie został naruszony.
MSalters
10
Mogę po prostu podłączyć dysk do mojego komputera z systemem Linux i uruchomić dd if=/dev/sdx of=out.img. Afaik po prostu podłączenie dysku do komputera nie pozostawi żadnych śladów. Potem dostanę kopię każdego bajtu na dysku, który mogę zmienić bez twojej wiedzy, ponieważ mam teraz własną kopię.
August Lilleaas,
4
Interesujące pytanie postawione przez innego respondenta w dalszej części: Czy te działania spowodowałyby zmianę czasu włączenia, liczby cykli zasilania itp. Wartości SMART zmieniłyby się - są one obsługiwane wewnętrznie przez napęd, tak, nie interfejs? (Oczywiście trzeba znać wartości z góry, co w przypadku losowym jest nierealne, ale wciąż interesujące)
DMA57361
4
@ DMA57361: Tak, to będzie zmieniać atrybutów SMART.
surfasb
9
Ciekawe, że dyski SSD stwarzają pewne problemy osobom zajmującym się kryminalistyką. Oprogramowanie układowe na dysku SSD będzie zapisywać w całej pamięci flash, gdy tylko zostanie podłączone, niezależnie od tego, czy polecenia zapisu są wysyłane, czy nie. Forex: jeśli ostatnia otrzymana komenda była TRIM wszystkiego, dysk SSD zajmie zerowo bloki do wykorzystania w przyszłości, nawet jeśli zostanie natychmiast wyłączony.
Zan Lynx
36

Wygląda na to, że wszyscy dążą do pełnego szyfrowania dysku, co z pewnością ma swoje zalety w zabezpieczaniu danych, ale nie rozwiązuje kwestii pytania, czy ktoś był na komputerze i małpował dysk twardy.

Aby wykonać to proste zadanie, znajdź paczkę irytująco lepkich zwykłych etykiet, które po przyklejeniu rozrywają zamiast łezki, podpisują się na nim i przyklejają jedną ze śrub mocujących dysk twardy (nie zapomnij o najpierw usuń kurz, aby uzyskać dobre połączenie). Nie do końca na taką samą skalę, jak producenci plomby, ale powinny okazać się wystarczające, aby zapobiec wyjęciu dysku twardego bez Twojej wiedzy. Oznacza to, że albo muszą złamać etykietę ostrzegającą o tym, albo wyciągnąć przewody z dysku twardego, a następnie zamontować je na laptopie, zmuszając ich do spędzenia więcej czasu z otwartą obudową, która wygląda bardzo podejrzanie!

Warto również sprawdzić z tyłu komputera punkt mocowania kłódki, prosty, dość bezpieczny i skuteczny.

Żadne z nich nie uniemożliwia dostępu do twoich danych, ale oba dodają znaczny poziom niedogodności i zmuszają atakującego do jawnego działania (zgrywanie etykiet i obcinania śrub na kłódkę) lub spędzania dużo więcej czasu na majstrowaniu przy komputerze i ryzyku wykrycia .

Robb
źródło
1
To jest świetna metoda i zrobię to w przyszłości, ale co teraz. Czy jest jakiś sposób, aby się upewnić, czy ktoś skopiował moje dane (ślady).
Anyname Donotcare
12
Jak powiedział surfasb, chyba że twój hipotetyczny intruz jest wystarczająco głupi, aby pisać na dysku, nie ma niezawodnego sposobu na wykrycie z niego odczytu.
CarlF
6
Oprócz tego, co @CarlF powiedział: Jeśli intruz nie pisać do niego, to należy mieć nadzieję, że ty nie napisałem do niej od tamtego czasu, albo będzie się znacznie trudniej znaleźć żadnych śladów (twardsza lub nawet niemożliwe w niektórych przypadkach).
Joachim Sauer
14
Umieszczenie naklejki będzie bezużyteczne, gdy ktoś przyjdzie wraz z przewodem i po prostu włączy napęd do czytnika dysków bez wyjmowania napędu z urządzenia lub dotykania śrub! Musisz zabezpieczyć kabel zarówno do napędu, jak i płyty głównej.
Caleb
5
@Robb: A rozebranie go śrubokrętem nie jest oczywiste? W około godzinę mogłem zbudować mały powielacz płyt za pomocą wbudowanej płyty biurka, którą można wsunąć do maszyny i podłączyć do kabli HD (i zasilania), pozostawić na kilka godzin niezauważoną, a następnie odzyskać. Dostęp fizyczny jest z natury niepewny, jeśli dane nie są szyfrowane .
Caleb
30

Aby odkryć manipulację na poziomie fizycznym , możesz użyć czegoś takiego jak Torque Seal na sprzęcie montażowym napędu lub kablu danych. Jest to lakier, który wysycha krucho, więc wszelkie manipulacje spowodują pęknięcie i uszkodzenie globu zainstalowanego na sprzęcie. Służy do upewnienia się, że rzeczy takie jak śruby i nakrętki na śmigłowcach nie poruszyły się i nadal są dokręcone zgodnie ze specyfikacją.

yhw42
źródło
Fajne rozwiązanie (+1)! Każdy technik powinien mieć to w swoim zestawie narzędzi! = P
Randolf Richardson
1
@Randolf Richardson: Fajnie, ale ponieważ fizyczne kontrole dostępu, które widziałem, były na poziomie serwerowni (drzwi są dość dojrzałą technologią, a zatem dostęp jest znacznie łatwiejszy w obsłudze - tak, zarządzanie kluczami jest oczywistym problemem), to może to być niezła obrona w głębi, ale nie znaczący wzrost bezpieczeństwa - trochę przesada, że ​​tak powiem. W przypadku stacji roboczych - wymaga to wiecznej czujności ze strony użytkownika.
Piskvor,
@Piskvor: Właściwie myślałem, że to rozwiązanie jest o wiele mniej wartościowe, jeśli każdy technik miałby go w swoim zestawie narzędzi (i zastanawiałem się, czy osoba nastawiona na bezpieczeństwo może to zrozumieć, ale być może byłam zbyt subtelna - moja błąd, przepraszam), stąd wystaje emotikon języka. +1 za wskazanie kilku ważnych informacji.
Randolf Richardson,
25

Atrybuty SMART mogą pomóc w określeniu, czy dysk został sfałszowany między dwoma interwałami. Te atrybuty w Linuksie można przeszukiwać za pomocą „smartctl -a / dev / sda”.

Najprostszym atrybutem tego jest prawdopodobnie Power_Cycle_Count. Gdy włączysz komputer, będzie to o jedną wartość więcej niż wartość, kiedy był ostatnio wyłączany. Tak więc, pamiętając tę ​​wartość przed zamknięciem i sprawdzając ją przy następnym uruchomieniu, możesz ustalić, czy dysk został zasilony pomiędzy.

Ambroz Bizjak
źródło
2
To należy przewidzieć. Nie możesz poprosić napędu o cofnięcie się w czasie.
Thorbjørn Ravn Andersen
5
Jest to zapis wewnętrzny, w którym dysk zachowuje stan działania bez względu na to, czy włączony został rzeczywisty interfejs zapisu (tj. Nawet w trybie tylko do odczytu) - myślę, że jest to całkiem sprytny sposób, ale wymaga dodatkowego etapu przechowywania cykl zasilania liczy się dla dysku off-box
Soren
Intruz, który zna niskopoziomowe aspekty technologii SMART, może manipulować przy wewnętrznych licznikach. Zakładam jednak, że jest to bardzo mało prawdopodobne.
Randolf Richardson
3
Bardzo trudno jest modyfikować liczniki SMART. W większości przypadków będzie to wymagało załadowania nowego kodu oprogramowania wewnętrznego dysku twardego. Nawet wtedy tylko kilka liczników resetuje się (na żądanie niektórych dużych nabywców dysków twardych). Jeśli masz odpowiedni licznik, który możesz poprawnie zinterpretować, pokaże ci to, ile razy napęd był zasilany / rozwijany. SMART zwiększy POWER_CYCLE_COUNT nawet w przypadkach, gdy zasilasz dysk i nie podłączasz niczego do interfejsu, przynajmniej we wszystkich rozsądnych implementacjach.
user11934,
12

Tylko myśl… może SMART (jeśli jest dostępny) zawiera pewne informacje, które można wykorzystać.

Iuliu Atudosiei
źródło
1
+1, to też była moja myśl.
Sirex,
7

Jestem pesymistą, jeśli chodzi o zapobieganie czytaniu dysku i mówienie, jeśli ktoś to zrobił, więc radziłbym również użyć szyfrowania. Nadal nie wiesz, czy ktoś skopiował zaszyfrowane dane, ale jeśli tak, to trudno je złamać (mam nadzieję).

Czy napastnik jest sprytny, poinformowany, czy ma czas, sprzęt i pieniądze? Prostą sztuczką, która nie zadziała, jeśli złoczyńca tutaj czyta, byłoby przyklejenie trudnego do zobaczenia i łatwego do złamania włosa do napędu i podwozia, najlepiej: przez kabel danych.

Teraz, jeśli ktoś usunie napęd, połamie włosy, nie wspominając o tym. Tyle że przeczytał tę radę i działa bardzo ostrożnie.

Jeśli on jest bardzo dobrze wyposażony, ale ty też, możesz wziąć włosy, na których przeprowadzasz test DNA. Nie mówisz, komu to włosy. Intruz może zastąpić włosy przypadkowym, ale nie może zastąpić włosów odpowiednim DNA. Ale może wie, jak skleić zepsute włosy? Czy wie, jak rozpuścić klej? :)

nieznany użytkownik
źródło
+1 za „dzielenie włosów”. ;-D Ułożenie włosów z powrotem w pierwotnej pozycji, choć zepsute, może być dla zamieszania oryginalnym właścicielem, ponieważ mogą się wtedy zastanawiać, czy nieumyślnie połamali włosy, ale twoje wyjaśnienie bardzo ładnie to omawia.
Randolf Richardson
6

O ile nie pamiętasz dokładnie, jak rzeczy zostały umieszczone w komputerze przed podejrzeniem włamania (pamięć fotograficzna lub fotografia to dwa takie narzędzia, które od razu przychodzą na myśl), bardzo trudno będzie ustalić, czy dysk twardy został usunięty z Twojego komputera.

Uwaga: Zazwyczaj można obejść funkcje naruszenia obudowy, więc może to nie być najbardziej niezawodna metoda, chociaż może być pomocna.

Są szanse, że intruz, który wie, jak to zrobić, może być na tyle sprytny, aby nie modyfikować dysku w jakikolwiek sposób, albo albo po prostu skopiuj tylko te pliki, których chcą / potrzebują, lub skopiuj dysk w całości, aby mogli „węszyć” „w wolnym czasie w późniejszym czasie.

Najważniejsze jest to, że jeśli naprawdę martwisz się dostępem do dysku twardego, musisz zapobiegać. Jeśli fizyczne usunięcie komputera z niebezpieczeństwa nie jest realną opcją, szyfrowanie działa bardzo dobrze; to moje ulubione narzędzie do szyfrowania dysku:

  TrueCrypt (darmowy i open source)
  http://www.truecrypt.org/

W tym narzędziu szczególnie podoba mi się to, że nie ma wbudowanego backdoora, więc nawet orzeczenie sądowe nie rozszyfruje go, jeśli podejmiesz odpowiednie kroki w celu ochrony klucza szyfrowania.

Jak to narzędzie jest odpowiednie do twojej sytuacji:

Jeśli dysk twardy jest zaszyfrowany, a intruz usunie go z komputera w celu uzyskania dostępu do danych, znajdą tylko zaszyfrowane dane (i początkowo system operacyjny najprawdopodobniej wykryje je jako „niezainicjowany dysk”), który po prostu wygląda jak losowa informacja dla prawie wszystkich.

Dwa sposoby, w jaki intruz może uzyskać dostęp do twoich danych, to:

  1. Szczęśliwe zgadywanie ” przy twoim haśle (więc wybierz dobre, trudne do odgadnięcia, nawet przy użyciu narzędzia atakującego brutalną siłę) lub klucz (wysoce nieprawdopodobne, choć nie całkowicie niemożliwe)

  2. Dostarczyłeś kopię hasła lub klucza do intruza (celowo lub nieumyślnie)

Randolf Richardson
źródło
6

W przypadku przeciętnego komputera domowego (bez specjalnych zabezpieczeń fizycznych), gdy urządzenie jest zamykane, nie ma śladu po czynnościach wykonywanych przy użyciu sprzętu.

Jeśli dysk zostanie usunięty i zamontowany w trybie tylko do odczytu, bardzo trudno byłoby stwierdzić, że dokonano tego przy użyciu dowolnego oprogramowania.

Jedyne, co przychodzi mi na myśl, to to, że jeśli dysk był zapisywalny podczas takiej aktywności, a system operacyjny hosta zakończył aktualizowanie znaczników czasu na dysku (pliki, katalogi), możesz być w stanie wykryć, że dysk był fizycznie dostępny poza twoim systemem . Jest to związane z różnymi innymi zastrzeżeniami, na przykład, że inny system miał również ustawiony czas poprawnie (rozsądne oczekiwanie, jeśli użytkownik nie pomyślał o montażu tylko do odczytu) i znasz okno czasowe, w którym twój system miał być zasilany- w dół (stąd czasy dostępu w tym oknie są podejrzane).

Aby takie dane były użyteczne, musisz zamontować dysk bez dostępu do zapisu, dopóki nie zostanie wykonana twoja „kryminalistyka” . Być może będziesz w stanie odczytać czasy dostępu do poszczególnych plików i katalogów, aby zidentyfikować to, co zostało obejrzane (odczyt lub skopiowane).

Teraz, jeśli dotyczy to przyszłej możliwości kradzieży danych, łatwiej byłoby planować z wyprzedzeniem - po prostu zaszyfruj wszystkie swoje krytyczne dane.

nik
źródło
Czy masz na myśli to, że jeśli czas systemu Windows się zmienił, oznacza to, że ktoś może oddzielić mój dysk twardy ...
Anyname Donotcare
2
Nie, oznacza to, że znacznik czasu ostatniego dostępu do pliku zostałby zaktualizowany, gdyby był dostępny. Ponadto inne pliki mogą być potencjalnie tworzone, modyfikowane lub usuwane przez system operacyjny podczas instalacji w innym systemie. Oczywiście, jeśli ktoś będzie miał problem z wymknięciem się napędu i zainstalowaniem go w innym systemie w celu kradzieży danych, prawdopodobnie uniknie tych problemów.
Synetech
korzystam z aplikacji głębokiego zamrożenia, czy ta zmiana to te czynniki? i od trzech dni zauważyłem, że mój zegar w systemie Windows zmienił się, czy może to być związane z kopiowaniem moich danych?
Anyname Donotcare
Uwaga: mój dysk twardy nie jest zewnętrznym dyskiem twardym.
Anyname Donotcare
9
Znacznik czasu ostatniego dostępu nie zmieni się, jeśli używają niestandardowego sterownika systemu plików lub interfejsu tylko do odczytu, które są prawdopodobne. Głębokie zamrożenie niczego nie zmieni. Uczą cię w zakresie bezpieczeństwa IT, że „Jeśli złośliwi ludzie mają fizyczny dostęp do twojego komputera, nie jest to już twój komputer”.
surfasb
3

Czy nie omijamy tutaj prawdziwego problemu?

Jak nowo narodzone dziecko, NIGDY nie powinniśmy zostawiać naszego komputera samego w otwartym, dostępnym miejscu! Gdzie jest teraz twój notatnik? Bezpieczeństwo zaczyna się od nas, a nie po fakcie.

Dane osobowe mają pewien stopień paranoi. Jeśli zostawisz go w systemie, boisz się, że może zostać skradziony. Jeśli Twoje dane są tak ważne, to zaraz po ich utworzeniu / zdobyciu usuń je na bezpieczne urządzenie pamięci masowej, czyli zaszyfrowane urządzenie pamięci flash SD. To urządzenie może być zawsze przy Tobie.

Obecna technologia komputerowa nie wykryje sabotażu danych na fizycznym urządzeniu magazynującym. Ten brak bezpieczeństwa pozwala technikom PC, takim jak ja, na ratowanie danych użytkownika w przypadku uszkodzenia wirusów / złośliwego oprogramowania. Gdy w przyszłości urządzenia pamięci masowej zostaną osadzone w działającym programie zabezpieczającym, samo urządzenie będzie wiedziało, kiedy zostało naruszone.

Po prostu weź odpowiedzialnie za swoje dane! Jeśli zezwolisz komuś na dostęp, nie możesz narzekać, jeśli zostanie wykorzystany!

Jako bezpośrednia odpowiedź na zadane pytanie; na dzień dzisiejszy NIE, nie można ustalić, czy ktoś usunął i po prostu skopiował twoje pliki.

Dziękuję wszystkim za wysłuchanie.

użytkownik91507
źródło
2

Wiele nowych komputerów umożliwia ochronę samego dysku twardego hasłem. To byłoby ustawienie BIOS. Ochrona jest wymuszana przez elektronikę napędu, więc odmowa dostępu byłaby niemożliwa na innym komputerze.

Pamiętaj, że szyfrowanie, choć jest to dobry pomysł, jeśli musisz to zrobić, uniemożliwi również odzyskanie po wielu problemach z komputerem. A jeśli dysk twardy przestanie działać, nigdy nie można odzyskać plików z zaszyfrowanego dysku. Upewnij się więc, że masz dobre kopie zapasowe. Obraz dysku zaszyfrowanego dysku jest nadal szyfrowany i w razie potrzeby można go przywrócić na nowy dysk.

Wbudowany system Windows EFS (Encrypting File System) może być używany do pojedynczych plików i folderów. Bezpłatne narzędzie szyfrujące Windows BitLocker może szyfrować cały dysk.

Abraxas
źródło
To nieprawda - z TrueCrypt w czasie szyfrowania generowana jest płyta CD odzyskiwania, a dysk może zostać podłączony przez TrueCrypt zainstalowany z innego komputera (o ile używane jest prawidłowe hasło / klucz). W rzeczywistości TrueCrypt może szyfrować określone partycje lub cały dysk twardy (obejmujący wszystkie partycje).
Randolf Richardson
1
Nie czuję się komfortowo przy użyciu funkcji BitLocker, ponieważ nie jest to oprogramowanie typu open source (TrueCrypt jest oprogramowaniem typu open source), więc nie mam pewności, czy na pewno będę wiedzieć, czy istnieje „funkcja backdoora”. Oto interesujący artykuł na temat zestawu narzędzi hakerskich firmy Microsoft (przeznaczony dla organów ścigania; zastanawiam się, czy jest już w Pirate Bay?), Który
Randolf Richardson
@Randolf: Myślę, że Abraxas mówi o szyfrowaniu BIOS-u. Myślę jednak, że jeśli BIOS w ogóle obsługuje polecenia szyfrowania dysku, system BIOS na innym komputerze odszyfruje dysk również pod warunkiem podania identycznego hasła BIOS.
Zan Lynx,
@Zan Lynx: Pierwszy akapit dotyczy ochrony hasłem, drugi akapit dotyczy szyfrowania danych, a trzeci akapit sugeruje użycie dwóch zastrzeżonych produktów do szyfrowania danych jako możliwych rozwiązań. Odpowiedziałem na punkty dotyczące szyfrowania danych, które są zasadniczo odpowiedziami na akapit drugi i trzeci.
Randolf Richardson
1
@Zan Lynx: Nie było to dla mnie oczywiste (być może powinny one zostać połączone w jednym akapicie, lub należy użyć wyrażenia „szyfrowanie oparte na haśle” zamiast „ochrona hasłem?”). Pamiętaj również, że zgadzam się z twoim pierwszym komentarzem na temat systemu BIOS na innym komputerze odszyfrowującym dysk (oczywiście użycie tej samej marki / wersji lub zgodnego systemu BIOS będzie ważnym czynnikiem).
Randolf Richardson