Determinare se un disco rigido è stato rimosso e i dati copiati da esso?

Esiste un metodo o uno strumento in grado di rilevare se qualcuno ha separato il mio disco rigido dal mio computer, copiato i dati da esso e restituito?

Voglio essere sicuro che nessuno lo abbia fatto a mia insaputa, ma non sono sicuro di come.

• Nota: io uso Deep freeze.

L'uso del congelamento è irrilevante in questa situazione.

Se sono semi competenti, useranno un'interfaccia di sola lettura.

L'ultimo timestamp di accesso verrà modificato solo se utilizzano un'interfaccia di lettura e scrittura. Disattivare l'interfaccia di scrittura è banale. Questo è ciò che fa la medicina legale. Non inseriscono mai un'unità originale in un'interfaccia di lettura / scrittura. Sempre in sola lettura. Quindi fanno una copia funzionante. Tutto senza alterare un solo bit sull'unità originale.

La soluzione migliore è utilizzare una crittografia del disco come Bitlocker o TrueCrypt.

modificare:

grazie mille, ma potresti chiarire di più cosa intendi per interfaccia di lettura e scrittura per favore ??

Dispositivi come questi . . .

Bloccano fisicamente l'accesso in scrittura a un'unità. Spesso utilizzato nel recupero forense / HD per motivi legali e pratici, come il caso Amanda Knox.

Sembra che tutti stiano cercando la crittografia completa del disco, che ha certamente i suoi meriti per proteggere i tuoi dati, ma non affronta la questione di dire se qualcuno è stato nella tua macchina e di fare il monkeking con il tuo disco rigido.

Per questo semplice compito, trova un pacchetto di etichette piane appiccicosamente irritanti che, una volta incollate, strappano invece di staccarsi in modo pulito, appoggia il tuo nome su di esso e incollalo su una delle viti che tengono il tuo hdd in posizione (non dimenticare di pulire prima la polvere per un buon legame). Non esattamente sulla stessa scala dei produttori che manomettono le guarnizioni evidenti, ma dovrebbero dimostrarsi sufficienti per impedire a chiunque di rimuovere il disco rigido a tua insaputa. Ciò significa che devono rompere l'etichetta che ti avverte del fatto, oppure estrarre i fili dal disco rigido, quindi montarlo su un laptop, costringendoli a trascorrere più tempo con la custodia aperta dall'aspetto molto sospetto!

Vale anche la pena controllare sul retro del PC un punto di attacco per lucchetto, semplice, abbastanza sicuro ed efficace.

Né rende impossibile ottenere i tuoi dati, ma entrambi aggiungono un significativo livello di disagio e costringono l'attaccante ad agire apertamente (strappando etichette e tronchesi al lucchetto) o trascorrendo molto più tempo a fare il monkeking con il tuo PC ea rischio di essere rilevato .

Per scoprire manomissioni a livello fisico , è possibile utilizzare qualcosa come Torque Seal sull'hardware di montaggio dell'unità o sulla connessione del cavo dati. È una lacca che si asciuga fragile, quindi qualsiasi manomissione crepa e rompe il globo che hai installato sull'hardware. È usato per assicurarsi che cose come dadi e bulloni sugli elicotteri non si siano mossi e siano ancora sottoposti a serraggio secondo le specifiche.

Gli attributi SMART possono aiutare a determinare se il disco è stato manomesso tra due intervalli. Questi attributi, su Linux, possono essere interrogati con "smartctl -a / dev / sda".

L'attributo più semplice per questo è probabilmente Power_Cycle_Count. Quando si accende il computer, questo sarà uno in più rispetto al valore dell'ultimo arresto. Quindi, ricordando questo valore prima di spegnerlo e verificandolo alla successiva accensione, è possibile determinare se il disco è stato acceso in mezzo.

Solo un pensiero ... forse SMART (se disponibile) contiene alcune informazioni che possono essere utilizzate.

Sono pessimista riguardo alla prevenzione dalla lettura del disco e dal dire, se qualcuno lo ha fatto, quindi consiglierei di usare anche la crittografia. Ancora non sai se qualcuno ha copiato i dati crittografati, ma se lo ha fatto, è difficile da rompere (lo spero).

Ora l'attaccante è intelligente, informato, ha tempo, equipaggiamento e denaro? Un semplice trucco, che non funzionerà, se il cattivo sta leggendo qui, sarebbe quello di attaccare un pelo, che è difficile da vedere e facile da rompere, sull'unità e sul telaio, meglio: attraverso il cavo dati.

Ora se qualcuno rimuove l'unità, si romperà i capelli senza menzionarlo. Tranne che ha letto questo consiglio e agisce con molta attenzione.

Se è molto ben equipaggiato, ma lo sei anche tu, puoi prenderti un pelo sul quale esegui un test del DNA. Non dici chi sono i capelli. L'intruso potrebbe sostituire i capelli con uno casuale, ma non può sostituirlo con un capello del DNA giusto. Ma forse sa come incollare i capelli rotti insieme? O sa come sciogliere la colla? :)

A meno che non ricordi esattamente come sono state posizionate le cose nel tuo computer prima della sospetta intrusione (una memoria fotografica o una fotografia sono due di questi strumenti che mi vengono subito in mente), sarà molto difficile sapere se il tuo disco rigido è stato rimosso dal tuo computer.

Nota: le funzionalità di intrusione del telaio possono in genere essere eluse, quindi questo potrebbe non essere il metodo più affidabile, sebbene possa essere utile.

È probabile che un intruso che sappia fare ciò possa anche essere abbastanza intelligente da non modificare il disco in alcun modo e copiare semplicemente solo i file che desiderano / di cui hanno bisogno, oppure copiare il disco nella sua interezza in modo da poter "curiosare "a loro piacimento in un secondo momento.

La linea di fondo è che se sei veramente preoccupato per qualcuno che accede al tuo disco rigido, devi essere preventivo. Se rimuovere fisicamente il computer lontano dal pericolo non è un'opzione praticabile, la crittografia funziona molto bene; questo è il mio strumento di crittografia del disco preferito:

  TrueCrypt (gratuito e open source)
  http://www.truecrypt.org/

Quello che mi piace particolarmente di questo strumento è che non esiste una backdoor integrata, quindi anche un ordine del tribunale non lo decifrerà se hai preso le misure giuste per proteggere la chiave di crittografia.

In che modo questo strumento è rilevante per la tua situazione:

Se il tuo disco rigido è crittografato e l'intruso lo rimuove dal tuo computer allo scopo di accedere ai tuoi dati, troveranno solo dati crittografati (e, inizialmente, molto probabilmente il sistema operativo lo rileverà come un "disco non inizializzato") che sembra semplicemente un'informazione casuale per quasi tutti.

I due modi in cui l'intruso può accedere ai tuoi dati è:

1. Una " ipotesi fortunata " sulla tua password (quindi scegline una buona che sia difficile da indovinare, anche con uno strumento di attacco di forza bruta) o chiave (altamente improbabile, sebbene non del tutto impossibile)

2. Hai fornito una copia della tua password o chiave all'intruso (intenzionalmente o non intenzionalmente)

Con il tuo computer di casa medio (nessuna speciale sicurezza fisica), quando la macchina viene spenta, non rimane traccia delle attività svolte con l'hardware.

Se il disco viene rimosso e montato in sola lettura, sarebbe molto difficile identificarlo tramite qualsiasi software.

L'unica cosa che viene in mente è che, se il disco fosse scrivibile durante tale attività, e il sistema operativo host finisse per aggiornare i timestamp sul disco (file, directory), potresti essere in grado di rilevare che il disco era fisicamente accessibile al di fuori del tuo sistema . Questo viene fornito con vari altri avvertimenti come, l'altro sistema aveva anche il suo tempo impostato correttamente (una ragionevole aspettativa se l'utente non pensava a un montaggio di sola lettura) e conosci la finestra temporale in cui il tuo sistema doveva essere alimentato- giù (quindi, i tempi di accesso in quella finestra sono sospetti).

Affinché tali dati siano utilizzabili, è necessario montare il disco senza accesso in scrittura mentre la "scientifica" non è stata eseguita . Potresti quindi essere in grado di leggere i tempi di accesso dei singoli file e directory per identificare ciò che è stato visto (letto o copiato).

Ora, se questo è per una futura possibilità di furto di dati, sarebbe molto più facile pianificare in anticipo - crittografa tutti i tuoi dati critici.

Non stiamo semplicemente evitando il vero problema qui?

Come un bambino appena nato, non dovremmo MAI lasciare il nostro PC da solo in un'area aperta e accessibile! Dov'è il tuo notebook adesso? La sicurezza inizia da noi e non dopo il fatto.

I dati personali arrivano con un certo grado di paranoia. Se lo lasci sul tuo sistema, hai paura che possa essere rubato. Se i tuoi dati sono così importanti, non appena li crei / acquisisci, rimuovili su un dispositivo di archiviazione sicuro, noto anche come dispositivo flash SD crittografato. Questo dispositivo può quindi essere sempre con te.

L'attuale tecnologia informatica non rileverà la manomissione dei dati su un dispositivo di archiviazione fisico. È questa mancanza di sicurezza che consente ai tecnici di PC come me di salvare i dati degli utenti in caso di danni a virus / malware. Quando in futuro i dispositivi di archiviazione saranno integrati con un programma di sicurezza in esecuzione, il dispositivo stesso saprà quando è stato manomesso.

Prendi semplicemente responsabilmente i tuoi dati! Se autorizzi l'accesso a qualcuno, non puoi lamentarti se viene sfruttato!

Come risposta diretta alla domanda pubblicata; a partire da oggi, NO, non è possibile determinare se qualcuno ha rimosso e semplicemente copiato i tuoi file.

Grazie a tutti per l'ascolto.

Molti nuovi computer consentono di proteggere con password il disco rigido stesso. Sarebbe un'impostazione del BIOS. La protezione viene applicata attraverso l'elettronica dell'unità, pertanto l'accesso verrebbe negato su un'altra macchina.

Tieni presente che la crittografia, sebbene sia una buona idea se devi farlo, ti impedirebbe anche di poter recuperare da molti problemi del computer. E se il disco rigido ha iniziato a fallire, non potresti mai recuperare i tuoi file da un disco crittografato. Quindi assicurati di avere buoni backup. E l'immagine del disco di un disco crittografato è ancora crittografata e, se necessario, può essere ripristinata su una nuova unità.

È possibile utilizzare EFS (Encrypting File System) di Windows per singoli file e cartelle. E lo strumento di crittografia BitLocker di Windows gratuito può crittografare un'intera unità.