Determinando se um disco rígido foi removido e os dados copiados dele?

Existe um método ou uma ferramenta que pode detectar se alguém separou meu disco rígido do meu computador, copiou os dados e os retornou?

Quero ter certeza de que ninguém fez isso sem o meu conhecimento, mas não tenho certeza de como fazer isso.

• Nota: eu uso Deep freeze.

O uso do congelamento profundo é irrelevante nessa situação.

Se eles forem semi-competentes, eles usarão uma interface somente leitura.

O último registro de data e hora do acesso será alterado apenas se eles estiverem usando uma interface de leitura e gravação. Desativar a interface de gravação é trivial. É isso que a perícia faz. Eles nunca colocam uma unidade original em uma interface de leitura / gravação. Sempre em somente leitura. Então eles fazem uma cópia de trabalho. Tudo sem alterar um único bit na unidade original.

Sua melhor aposta é usar uma criptografia de disco como Bitlocker ou TrueCrypt.

editar:

muito obrigado, mas você poderia esclarecer mais o que você quer dizer com ler e escrever interface, por favor?

Dispositivos como esses . . .

Eles bloqueiam fisicamente o acesso de gravação a uma unidade. Frequentemente usado na recuperação forense / HD por motivos legais e práticos, como o caso Amanda Knox.

Todo mundo parece estar optando pela criptografia completa do disco, o que certamente tem seu mérito em proteger seus dados, mas não aborda a questão de saber se alguém esteve em sua máquina e se interessou por seu disco rígido.

Para essa tarefa simples, encontre um pacote de etiquetas simples e irritantemente pegajosas que, uma vez presas, rasgam em vez de sairem bem, assine seu nome e cole-o sobre um dos parafusos que prendem o disco rígido no lugar (não se esqueça de limpe o pó primeiro para obter uma boa ligação). Não é exatamente na mesma escala que os fabricantes violam os selos evidentes, mas deve ser suficiente para impedir que qualquer pessoa remova o disco rígido sem o seu conhecimento. Isso significa que eles precisam quebrar a etiqueta que alerta você para o fato ou puxar os fios para fora do disco rígido e montá-los em um laptop, forçando-os a passar mais tempo com o seu gabinete aberto, parecendo muito suspeito!

Também vale a pena conferir na parte de trás do seu PC um ponto de fixação de cadeado, simples, bastante seguro e eficaz.

Isso não impossibilita a obtenção dos dados, mas adiciona um nível significativo de inconveniência e força o invasor a agir abertamente (rasgando etiquetas e alicates no cadeado) ou gastando muito mais tempo brincando com seu PC e correndo o risco de ser detectado. .

Para descobrir adulterações no nível físico , você pode usar algo como o Torque Seal no hardware de montagem da sua unidade ou na conexão do cabo de dados. É uma laca que seca frágil, para que qualquer adulteração se rompa e quebre a bola que você instalou no hardware. É usado para garantir que coisas como parafusos e porcas em helicópteros não se movam e ainda sejam apertados conforme as especificações.

Os atributos SMART podem ajudar a determinar se o disco foi violado entre dois intervalos. Esses atributos, no Linux, podem ser consultados com "smartctl -a / dev / sda".

O atributo mais simples para isso é provavelmente Power_Cycle_Count. Quando você liga o computador, este será mais um que o valor em que foi desligado pela última vez. Portanto, lembrando-se desse valor antes de desligar e verificando-o quando ligar da próxima vez, é possível determinar se o disco foi ligado no meio.

Apenas um pensamento ... talvez o SMART (se disponível) contenha algumas informações que podem ser usadas.

Sou pessimista em relação à prevenção de ler a unidade e dizer, se alguém o fez, por isso aconselho a usar a criptografia também. Você ainda não sabe se alguém copiou os dados criptografados, mas se o fez, é difícil quebrar (espero que sim).

Agora, o atacante é inteligente, informado, ele tem tempo, equipamento e dinheiro? Um truque simples, que não funcionará, se o bandido estiver lendo aqui, seria prender um cabelo difícil de ver e fácil de quebrar na unidade e no chassi: melhor através do cabo de dados.

Agora, se alguém remover a unidade, ele quebrará o cabelo sem mencioná-lo. Exceto que ele leu este conselho e age com muito cuidado.

Se ele estiver muito bem equipado, mas você também, poderá usar um fio de cabelo no qual realizará um teste de DNA. Você não diz quem é o cabelo. O invasor pode substituir o cabelo por um aleatório, mas não pode substituí-lo por um cabelo com o DNA correto. Mas talvez ele saiba como colar um cabelo quebrado? Ou ele sabe como dissolver a cola? :)

A menos que você se lembre exatamente de como as coisas foram colocadas no seu computador antes da suspeita de invasão (uma memória fotográfica ou uma fotografia são duas dessas ferramentas que vêm imediatamente à mente), será muito difícil saber se o seu disco rígido foi removido Do seu computador.

Nota: Os recursos de invasão do chassi geralmente podem ser contornados, portanto esse pode não ser o método mais confiável, embora possa ser útil.

As chances são de que um invasor que saiba fazer isso também seja esperto o suficiente para não modificar seu disco de forma alguma, e apenas copie apenas os arquivos que deseja / precisa, ou copie o disco na íntegra para poder "bisbilhotar" "em seu lazer em algum momento posterior.

O ponto principal é que, se você está realmente preocupado com alguém acessando seu disco rígido, precisa ser preventivo. Se a remoção física do computador do perigo não for uma opção viável, a criptografia funcionará muito bem; esta é minha ferramenta de criptografia de disco favorita:

  TrueCrypt (de código aberto e gratuito)
  http://www.truecrypt.org/

O que eu particularmente gosto nessa ferramenta é que não há backdoor embutido; portanto, nem uma ordem judicial será decodificada se você tiver tomado as medidas corretas para proteger a chave de criptografia.

Como esta ferramenta é relevante para sua situação:

Se o seu disco rígido estiver criptografado e o invasor o remover do computador para acessar seus dados, eles encontrarão apenas dados criptografados (e, inicialmente, o sistema operacional provavelmente o detectará como um "disco não inicializado") que simplesmente parece informações aleatórias para quase todo mundo.

As duas maneiras pelas quais o invasor pode obter acesso aos seus dados são:

1. Um " palpite de sorte " na sua senha (escolha uma boa que seja difícil de adivinhar, mesmo com uma ferramenta de ataque de força bruta) ou chave (altamente improvável, embora não completamente impossível)

2. Você forneceu uma cópia de sua senha ou chave ao invasor (intencionalmente ou não)

Com o computador doméstico médio (sem segurança física especial), quando a máquina é desligada, não resta mais vestígios das atividades realizadas com o hardware.

Se o disco for removido e montado como somente leitura, seria muito difícil identificar que isso foi feito usando qualquer software.

A única coisa que vem à mente é que, se o disco foi gravável durante essa atividade e o sistema operacional host acabou atualizando os carimbos de data / hora no disco (arquivos, diretórios), você poderá detectar que o disco foi acessado fisicamente fora do sistema . Isso vem com várias outras advertências, como, o outro sistema também teve seu tempo definido corretamente (uma expectativa razoável se o usuário não pensou em uma montagem somente leitura) e você conhece a janela de tempo em que seu sistema deveria ser alimentado - inativo (portanto, os tempos de acesso nessa janela são suspeitos).

Para que esses dados sejam utilizáveis, você deve montar o disco sem acesso de gravação enquanto o 'forense' não estiver concluído . Você poderá ler os tempos de acesso de arquivos e diretórios individuais para identificar o que foi examinado (lido ou copiado).

Agora, se for para uma possibilidade futura de roubo de dados, seria muito mais fácil planejar com antecedência - basta criptografar todos os seus dados críticos.

Não estamos simplesmente contornando a questão real aqui?

Como uma criança recém-nascida, NUNCA devemos deixar nosso PC sozinho em uma área aberta e acessível! Onde está o seu notebook agora? A segurança começa conosco e não depois do fato.

Os dados pessoais vêm com um certo grau de paranóia. Se você o deixar no sistema, tem medo de que seja roubado. Se seus dados forem críticos, então, assim que você os criar / adquirir, remova-os para um dispositivo de armazenamento seguro, também conhecido como dispositivo flash SD criptografado. Este dispositivo pode estar com você o tempo todo.

A tecnologia de computador atual não detectará a violação dos dados em um dispositivo de armazenamento físico. É essa falta de segurança que permite que técnicos de PC como eu recuperem dados do usuário em caso de danos por vírus / malware. Quando, no futuro, os dispositivos de armazenamento forem incorporados a um programa de segurança em execução, o próprio dispositivo saberá quando foi violado.

Basta assumir a responsabilidade pelos seus dados! Se você permitir o acesso de alguém, não poderá reclamar se for explorado!

Como resposta direta à pergunta postada; a partir de hoje, NÃO, não é possível determinar se alguém removeu e simplesmente copiou seus arquivos.

Obrigado a todos pela atenção.

Muitos computadores novos permitem a proteção por senha do próprio disco rígido. Seria uma configuração do BIOS. A proteção é aplicada através dos componentes eletrônicos da unidade, portanto, o acesso seria negado em outra máquina.

Lembre-se de que a criptografia, embora seja uma boa idéia, se você precisar fazer isso, também impediria a recuperação de muitos problemas no computador. E se o disco rígido começar a falhar, você nunca poderá recuperar seus arquivos de um disco criptografado. Portanto, verifique se você possui bons backups. E uma imagem de disco de um disco criptografado ainda é criptografada e pode ser restaurada para uma nova unidade, se necessário.

O EFS (Sistema de arquivos com criptografia) interno do Windows pode ser usado para arquivos e pastas individuais. E a ferramenta de criptografia gratuita do Windows BitLocker pode criptografar uma unidade inteira.