Ustalanie, czy dysk twardy został usunięty, a dane z niego skopiowane?

Czy istnieje metoda lub narzędzie, które może wykryć, czy ktoś oddzielił mój dysk twardy od komputera, skopiował z niego dane i zwrócił z powrotem?

Chcę mieć pewność, że nikt nie zrobił tego bez mojej wiedzy, ale nie jestem pewien, jak to zrobić.

• Uwaga: używam Deep freeze.

Zastosowanie głębokiego zamrożenia jest w tej sytuacji nieistotne.

Jeśli są częściowo kompetentni, użyją interfejsu tylko do odczytu.

Znacznik czasu ostatniego dostępu zostanie zmieniony tylko wtedy, gdy używają interfejsu odczytu i zapisu. Wyłączenie interfejsu zapisu jest trywialne. To właśnie robi kryminalistyka. Oni nigdy umieścić oryginalny napęd z interfejsem odczytu / zapisu. Zawsze tylko do odczytu. Następnie robią kopię roboczą. Wszystko bez zmiany jednego bitu na oryginalnym dysku.

Najlepszym rozwiązaniem jest użycie szyfrowania dysku, takiego jak Bitlocker lub TrueCrypt.

edytować:

dziękuję bardzo, ale czy mógłbyś wyjaśnić, co rozumiesz przez interfejs odczytu i zapisu?

Urządzenia takie jak te . . .

Fizycznie blokują dostęp do zapisu na dysku. Często stosowany w odzyskiwaniu kryminalistyki / HD z powodów prawnych i praktycznych, takich jak sprawa Amanda Knox.

Wygląda na to, że wszyscy dążą do pełnego szyfrowania dysku, co z pewnością ma swoje zalety w zabezpieczaniu danych, ale nie rozwiązuje kwestii pytania, czy ktoś był na komputerze i małpował dysk twardy.

Aby wykonać to proste zadanie, znajdź paczkę irytująco lepkich zwykłych etykiet, które po przyklejeniu rozrywają zamiast łezki, podpisują się na nim i przyklejają jedną ze śrub mocujących dysk twardy (nie zapomnij o najpierw usuń kurz, aby uzyskać dobre połączenie). Nie do końca na taką samą skalę, jak producenci plomby, ale powinny okazać się wystarczające, aby zapobiec wyjęciu dysku twardego bez Twojej wiedzy. Oznacza to, że albo muszą złamać etykietę ostrzegającą o tym, albo wyciągnąć przewody z dysku twardego, a następnie zamontować je na laptopie, zmuszając ich do spędzenia więcej czasu z otwartą obudową, która wygląda bardzo podejrzanie!

Warto również sprawdzić z tyłu komputera punkt mocowania kłódki, prosty, dość bezpieczny i skuteczny.

Żadne z nich nie uniemożliwia dostępu do twoich danych, ale oba dodają znaczny poziom niedogodności i zmuszają atakującego do jawnego działania (zgrywanie etykiet i obcinania śrub na kłódkę) lub spędzania dużo więcej czasu na majstrowaniu przy komputerze i ryzyku wykrycia .

Aby odkryć manipulację na poziomie fizycznym , możesz użyć czegoś takiego jak Torque Seal na sprzęcie montażowym napędu lub kablu danych. Jest to lakier, który wysycha krucho, więc wszelkie manipulacje spowodują pęknięcie i uszkodzenie globu zainstalowanego na sprzęcie. Służy do upewnienia się, że rzeczy takie jak śruby i nakrętki na śmigłowcach nie poruszyły się i nadal są dokręcone zgodnie ze specyfikacją.

Atrybuty SMART mogą pomóc w określeniu, czy dysk został sfałszowany między dwoma interwałami. Te atrybuty w Linuksie można przeszukiwać za pomocą „smartctl -a / dev / sda”.

Najprostszym atrybutem tego jest prawdopodobnie Power_Cycle_Count. Gdy włączysz komputer, będzie to o jedną wartość więcej niż wartość, kiedy był ostatnio wyłączany. Tak więc, pamiętając tę ​​wartość przed zamknięciem i sprawdzając ją przy następnym uruchomieniu, możesz ustalić, czy dysk został zasilony pomiędzy.

Tylko myśl… może SMART (jeśli jest dostępny) zawiera pewne informacje, które można wykorzystać.

Jestem pesymistą, jeśli chodzi o zapobieganie czytaniu dysku i mówienie, jeśli ktoś to zrobił, więc radziłbym również użyć szyfrowania. Nadal nie wiesz, czy ktoś skopiował zaszyfrowane dane, ale jeśli tak, to trudno je złamać (mam nadzieję).

Czy napastnik jest sprytny, poinformowany, czy ma czas, sprzęt i pieniądze? Prostą sztuczką, która nie zadziała, jeśli złoczyńca tutaj czyta, byłoby przyklejenie trudnego do zobaczenia i łatwego do złamania włosa do napędu i podwozia, najlepiej: przez kabel danych.

Teraz, jeśli ktoś usunie napęd, połamie włosy, nie wspominając o tym. Tyle że przeczytał tę radę i działa bardzo ostrożnie.

Jeśli on jest bardzo dobrze wyposażony, ale ty też, możesz wziąć włosy, na których przeprowadzasz test DNA. Nie mówisz, komu to włosy. Intruz może zastąpić włosy przypadkowym, ale nie może zastąpić włosów odpowiednim DNA. Ale może wie, jak skleić zepsute włosy? Czy wie, jak rozpuścić klej? :)

O ile nie pamiętasz dokładnie, jak rzeczy zostały umieszczone w komputerze przed podejrzeniem włamania (pamięć fotograficzna lub fotografia to dwa takie narzędzia, które od razu przychodzą na myśl), bardzo trudno będzie ustalić, czy dysk twardy został usunięty z Twojego komputera.

Uwaga: Zazwyczaj można obejść funkcje naruszenia obudowy, więc może to nie być najbardziej niezawodna metoda, chociaż może być pomocna.

Są szanse, że intruz, który wie, jak to zrobić, może być na tyle sprytny, aby nie modyfikować dysku w jakikolwiek sposób, albo albo po prostu skopiuj tylko te pliki, których chcą / potrzebują, lub skopiuj dysk w całości, aby mogli „węszyć” „w wolnym czasie w późniejszym czasie.

Najważniejsze jest to, że jeśli naprawdę martwisz się dostępem do dysku twardego, musisz zapobiegać. Jeśli fizyczne usunięcie komputera z niebezpieczeństwa nie jest realną opcją, szyfrowanie działa bardzo dobrze; to moje ulubione narzędzie do szyfrowania dysku:

  TrueCrypt (darmowy i open source)
  http://www.truecrypt.org/

W tym narzędziu szczególnie podoba mi się to, że nie ma wbudowanego backdoora, więc nawet orzeczenie sądowe nie rozszyfruje go, jeśli podejmiesz odpowiednie kroki w celu ochrony klucza szyfrowania.

Jak to narzędzie jest odpowiednie do twojej sytuacji:

Jeśli dysk twardy jest zaszyfrowany, a intruz usunie go z komputera w celu uzyskania dostępu do danych, znajdą tylko zaszyfrowane dane (i początkowo system operacyjny najprawdopodobniej wykryje je jako „niezainicjowany dysk”), który po prostu wygląda jak losowa informacja dla prawie wszystkich.

Dwa sposoby, w jaki intruz może uzyskać dostęp do twoich danych, to:

1. „ Szczęśliwe zgadywanie ” przy twoim haśle (więc wybierz dobre, trudne do odgadnięcia, nawet przy użyciu narzędzia atakującego brutalną siłę) lub klucz (wysoce nieprawdopodobne, choć nie całkowicie niemożliwe)

2. Dostarczyłeś kopię hasła lub klucza do intruza (celowo lub nieumyślnie)

W przypadku przeciętnego komputera domowego (bez specjalnych zabezpieczeń fizycznych), gdy urządzenie jest zamykane, nie ma śladu po czynnościach wykonywanych przy użyciu sprzętu.

Jeśli dysk zostanie usunięty i zamontowany w trybie tylko do odczytu, bardzo trudno byłoby stwierdzić, że dokonano tego przy użyciu dowolnego oprogramowania.

Jedyne, co przychodzi mi na myśl, to to, że jeśli dysk był zapisywalny podczas takiej aktywności, a system operacyjny hosta zakończył aktualizowanie znaczników czasu na dysku (pliki, katalogi), możesz być w stanie wykryć, że dysk był fizycznie dostępny poza twoim systemem . Jest to związane z różnymi innymi zastrzeżeniami, na przykład, że inny system miał również ustawiony czas poprawnie (rozsądne oczekiwanie, jeśli użytkownik nie pomyślał o montażu tylko do odczytu) i znasz okno czasowe, w którym twój system miał być zasilany- w dół (stąd czasy dostępu w tym oknie są podejrzane).

Aby takie dane były użyteczne, musisz zamontować dysk bez dostępu do zapisu, dopóki nie zostanie wykonana twoja „kryminalistyka” . Być może będziesz w stanie odczytać czasy dostępu do poszczególnych plików i katalogów, aby zidentyfikować to, co zostało obejrzane (odczyt lub skopiowane).

Teraz, jeśli dotyczy to przyszłej możliwości kradzieży danych, łatwiej byłoby planować z wyprzedzeniem - po prostu zaszyfruj wszystkie swoje krytyczne dane.

Czy nie omijamy tutaj prawdziwego problemu?

Jak nowo narodzone dziecko, NIGDY nie powinniśmy zostawiać naszego komputera samego w otwartym, dostępnym miejscu! Gdzie jest teraz twój notatnik? Bezpieczeństwo zaczyna się od nas, a nie po fakcie.

Dane osobowe mają pewien stopień paranoi. Jeśli zostawisz go w systemie, boisz się, że może zostać skradziony. Jeśli Twoje dane są tak ważne, to zaraz po ich utworzeniu / zdobyciu usuń je na bezpieczne urządzenie pamięci masowej, czyli zaszyfrowane urządzenie pamięci flash SD. To urządzenie może być zawsze przy Tobie.

Obecna technologia komputerowa nie wykryje sabotażu danych na fizycznym urządzeniu magazynującym. Ten brak bezpieczeństwa pozwala technikom PC, takim jak ja, na ratowanie danych użytkownika w przypadku uszkodzenia wirusów / złośliwego oprogramowania. Gdy w przyszłości urządzenia pamięci masowej zostaną osadzone w działającym programie zabezpieczającym, samo urządzenie będzie wiedziało, kiedy zostało naruszone.

Po prostu weź odpowiedzialnie za swoje dane! Jeśli zezwolisz komuś na dostęp, nie możesz narzekać, jeśli zostanie wykorzystany!

Jako bezpośrednia odpowiedź na zadane pytanie; na dzień dzisiejszy NIE, nie można ustalić, czy ktoś usunął i po prostu skopiował twoje pliki.

Dziękuję wszystkim za wysłuchanie.

Wiele nowych komputerów umożliwia ochronę samego dysku twardego hasłem. To byłoby ustawienie BIOS. Ochrona jest wymuszana przez elektronikę napędu, więc odmowa dostępu byłaby niemożliwa na innym komputerze.

Pamiętaj, że szyfrowanie, choć jest to dobry pomysł, jeśli musisz to zrobić, uniemożliwi również odzyskanie po wielu problemach z komputerem. A jeśli dysk twardy przestanie działać, nigdy nie można odzyskać plików z zaszyfrowanego dysku. Upewnij się więc, że masz dobre kopie zapasowe. Obraz dysku zaszyfrowanego dysku jest nadal szyfrowany i w razie potrzeby można go przywrócić na nowy dysk.

Wbudowany system Windows EFS (Encrypting File System) może być używany do pojedynczych plików i folderów. Bezpłatne narzędzie szyfrujące Windows BitLocker może szyfrować cały dysk.