Определить, был ли удален жесткий диск и скопированы ли с него данные?


30

Есть ли метод или инструмент, который может обнаружить, если кто-то отделил мой жесткий диск от моего компьютера, скопировал с него данные и вернул его обратно?

Я хочу быть уверен, что никто не сделал этого без моего ведома, но я не уверен, как это сделать.

  • Примечание: я использую Deep freeze.

10
В общем случае, тот, кто имеет физический доступ к машине, фактически владеет машиной, Deeponze от Faronics или нет. Есть вещи, которые вы можете сделать, чтобы сделать это сложнее, но я серьезно сомневаюсь, что это действительно возможно.
Билли ONEAL

3
Многие комментаторы упоминали, что физический доступ в значительной степени означает, что вы облажались. Связанный момент: если вы решите, что кто-то физически коснулся вашего диска, кому нужны доказательства того, что он скопировал данные? Предположим, у них есть.
Каскабель

4
Мне всегда было интересно, когда кто-то отправляет свой ноутбук в Dell или HP. Вот почему я никогда не отправлю свой ноутбук на склад без предварительного извлечения жесткого диска.
Джеймс Мерц

Ответы:


50

Использование глубокой заморозки не имеет значения в этой ситуации.

Если они полукомпетентны, они будут использовать интерфейс только для чтения.

Отметка времени последнего доступа будет изменена только в том случае, если они используют интерфейс чтения и записи. Отключить интерфейс записи тривиально. Это то, что делает криминалистика. Они никогда не помещают оригинальный диск в интерфейс чтения / записи. Всегда только для чтения. Затем они делают рабочую копию. Все без единого изменения оригинального диска.

Лучше всего использовать шифрование диска, такое как Bitlocker или TrueCrypt.

редактировать:

Большое спасибо, но не могли бы вы уточнить, что вы подразумеваете под интерфейсом чтения и записи, пожалуйста?

Устройства, подобные этим . , ,

Они физически блокируют доступ на запись к диску. Часто используется в судебно-медицинской экспертизе / восстановлении HD по юридическим и практическим причинам, как, например, дело Аманды Нокс.


10
Есть аппаратные устройства, которые вы можете вставить между диском и компьютером, чтобы заблокировать запись, чтобы доказать в суде, что диск действительно не был подделан.
MSalters

10
Я могу просто подключить диск к моему компьютеру Linux и запустить dd if=/dev/sdx of=out.img. Afaik, просто подключив диск к ПК, не оставит никаких следов. Затем я получу копию каждого байта на диске, которую я могу изменить, даже если вы не знаете, так как теперь у меня есть собственная копия.
Август Лиллеас

4
Еще один интересный вопрос, поднятый другим ответчиком ниже: будут ли эти действия вызывать изменение времени включения, количества циклов питания и т. Д. Значения SMART изменяются - они обрабатываются накопителем внутри, да, а не интерфейсом? (Очевидно, вы должны знать значения заранее, что нереально в случайном случае, но все же интересный момент)
DMA57361

4
@ DMA57361: Да, это будет изменять атрибуты SMART.
Surfasb

9
Просто интересное замечание, SSD-устройства создают проблемы для специалистов-криминалистов. Микропрограмма в SSD будет записывать всю флэш-память всякий раз, когда у него есть питание, независимо от того, отправлены команды записи или нет. Форекс: если последняя полученная команда была TRIM всего, SSD будет обнулять блоки для будущего использования, даже если он был немедленно выключен.
Zan Lynx

36

Кажется, что все стремятся к полному шифрованию диска, что, безусловно, имеет свои преимущества для защиты ваших данных, но не решает вопрос о том, был ли кто-то на вашей машине и копался с вашим жестким диском.

Для этой простой задачи найдите пачку раздражающе липких простых ярлыков, которые, когда они застряли, рвутся, а не отрываются, подписывают на нем свое имя и наклеивают его на один из винтов, удерживающих жесткий диск на месте (не забудьте очистите пыль сначала для хорошей связи). Не совсем в том же масштабе, что и изготовители, которые вскрывают очевидные уплотнения, но должны оказаться достаточными для предотвращения извлечения жесткого диска без вашего ведома. Это означает, что им нужно либо сломать ярлык, предупреждающий вас об этом, либо вытащить провода из жесткого диска, а затем установить его на ноутбук, вынуждая их проводить больше времени с открытым корпусом, выглядя очень подозрительно!

Также стоит проверить заднюю часть вашего компьютера на наличие точки крепления замка, простой, довольно безопасный и эффективный.

Ни один из них не делает невозможным получение ваших данных, но одновременно добавляет значительный уровень неудобств и вынуждает злоумышленника либо действовать открыто (отрывая этикетки и болторезы к замку), либо тратить гораздо больше времени на манипулирование с компьютером и риск обнаружения ,


1
Это очень крутой метод, и я сделаю это в будущем, но как насчет сейчас? Есть ли способ убедиться, что кто-то скопировал мои данные (следы).
Anyname Donotcare

12
Как сказал surfasb, если ваш гипотетический злоумышленник не настолько глуп, чтобы записывать на диск, нет надежного способа обнаружить чтение с него.
КарлФ

6
В дополнение к тому, что сказал @CarlF: если злоумышленник действительно написал в него, то вам следует надеяться, что вы не писали в него с тех пор, иначе будет трудно найти какие-либо следы (в некоторых случаях даже труднее или даже невозможнее).
Иоахим Зауэр

14
Размещение наклеек будет бесполезным, когда кто-нибудь придет с шнуром и просто подключит диск к устройству чтения дисков, не вынимая диск из машины и не касаясь винтов! Вы должны закрепить кабель как на диске, так и на материнской плате.
Калеб

5
@Robb: А отрывать его с помощью отвертки не очевидно? Примерно через час я смог создать небольшой дубликатор дисков, используя встроенную плату моего стола, которую можно было вставить в машину и подключить к кабелям HD (и питания), оставить на пару часов незамеченным, а затем извлечь. Физический доступ небезопасен, если ваши данные не зашифрованы .
Калеб

30

Чтобы обнаружить подделку на физическом уровне, вы можете использовать что-то вроде Torque Seal на монтажном оборудовании вашего диска или кабеле для передачи данных. Это лак, который высыхает хрупким, так что любое вмешательство взломает и сломает шар, установленный на оборудовании. Он используется для того, чтобы убедиться, что такие вещи, как гайки и болты на вертолетах, не сдвинулись и все еще работают в соответствии со спецификацией.


Классное решение (+1)! Каждый техник должен иметь это в своем наборе! = P
Рэндольф Ричардсон

1
@Randolf Richardson: Хорошо, но поскольку физические средства контроля доступа, которые я видел, были на уровне серверной комнаты (двери - довольно зрелая технология, и, следовательно, доступ к ним становится намного проще - да, управление ключами - очевидная проблема), это может быть хорошей защитой в глубине, но не значительным повышением безопасности - так сказать, немного излишним. Для рабочих станций - это требует вечной бдительности со стороны пользователя.
Писквор

@Piskvor: На самом деле я думал о том, что это решение будет гораздо менее ценным, если бы каждый техник имел его в своем наборе инструментов (и мне было интересно, может ли это сделать специалист по безопасности, но, возможно, я был слишком хитрым - мой виноват, извините) отсюда и смайлик из языка торчащий. +1 для вас за указание на важную информацию, хотя.
Рэндольф Ричардсон

25

Атрибуты SMART могут помочь определить, был ли диск подделан между двумя интервалами. Эти атрибуты в Linux могут быть запрошены с помощью «smartctl -a / dev / sda».

Самым простым атрибутом для этого является, вероятно, Power_Cycle_Count. Когда вы включаете компьютер, это будет на единицу больше, чем значение, когда он последний раз выключался. Таким образом, запомнив это значение перед выключением и проверив его при следующем включении, вы сможете определить, был ли диск включен между ними.


2
Этого нужно ожидать. Вы не можете попросить двигатель вернуться во времени.
Турбьерн Равн Андерсен

5
Это внутренняя запись, при которой диск сохраняет рабочее состояние независимо от того, был ли включен фактический интерфейс записи (т.е. даже в режиме только для чтения) - я думаю, что это довольно умный способ, но он требует дополнительного этапа сохранения цикл питания имеет значение для диска вне коробки
Сорен

Злоумышленник, знакомый с низкоуровневыми аспектами технологии SMART, может вмешаться во внутренние счетчики. Я предполагаю, что это очень маловероятно.
Рэндольф Ричардсон

3
Очень сложно изменить SMART-счетчики. В большинстве случаев это будет связано с новой загрузкой кода прошивки жесткого диска. Даже в этом случае сбрасываются только несколько счетчиков (по требованию некоторых крупных покупателей жестких дисков). Если у вас есть соответствующий счетчик, который вы можете правильно интерпретировать, он сообщит вам, сколько раз привод был включен / раскручен. SMART будет увеличивать POWER_CYCLE_COUNT даже в тех случаях, когда вы приводите питание диска в действие и ничего не подключаете к интерфейсу, по крайней мере, во всех разумных реализациях.
user11934

12

Просто мысль ... может SMART (если есть) содержит некоторую информацию, которую можно использовать.


1
+1, это тоже была моя точка зрения.
Sirex

7

Я пессимистично отношусь к тому, что не могу прочитать диск и сказать, если кто-то это сделал, поэтому я бы посоветовал также использовать шифрование. Вы до сих пор не знаете, копировал ли кто-нибудь зашифрованные данные, но если он это сделал, это трудно сломать (надеюсь, что так).

Теперь злоумышленник умен, информирован, у него есть время, оборудование и деньги? Простой трюк, который не сработает, если злоумышленник читает здесь, - это приклеить волосок, который плохо видно и легко ломается, к вашему диску и шасси, лучше всего: через кабель передачи данных.

Теперь, если кто-то удалит диск, он сломает волосы, не упоминая об этом. За исключением того, что он прочитал этот совет и действует очень осторожно.

Если он очень хорошо экипирован, но вы тоже, можете взять волосы, на которых вы проводите ДНК-тест. Вы не говорите, чьи это волосы. Нарушитель может заменить волосы случайными, но не может заменить их волосами правильной ДНК. Но может он знает, как склеить сломанные волосы? Или он умеет растворять клей? :)


+1 за "раскалывание волос". ;-D Размещение волос обратно в исходное положение, хотя они и были сломаны, может все еще привести в замешательство первоначального владельца, поскольку они могут задаться вопросом, не случайно ли они сломали волосы, но ваше объяснение очень хорошо освещает проблемы.
Рэндольф Ричардсон

6

Если вы точно не помните, как вещи были размещены на вашем компьютере до предполагаемого вторжения (фотографическая память или фотография, два таких инструмента, которые сразу приходят на ум), будет очень трудно узнать, был ли удален ваш жесткий диск. с вашего компьютера.

Примечание. Функции проникновения в корпус обычно можно обойти, поэтому это может быть не самый надежный метод, хотя и может быть полезным.

Скорее всего, злоумышленник, который знает, как это сделать, также может быть достаточно умен, чтобы не изменять ваш диск каким-либо образом, и либо просто копировать только те файлы, которые ему нужны / нужны, либо копировать диск целиком, чтобы они могли «шпионить» на досуге в более позднее время.

Суть в том, что если вы действительно обеспокоены тем, что кто-то получает доступ к вашему жесткому диску, вы должны быть осторожны. Если физическое удаление компьютера от опасности не является жизнеспособным вариантом, то шифрование работает очень хорошо; это мой любимый инструмент шифрования диска:

  TrueCrypt (бесплатный и открытый исходный код)
  http://www.truecrypt.org/

Что мне особенно нравится в этом инструменте, так это то, что в нем нет встроенного бэкдора, поэтому даже решение суда не сможет его расшифровать, если вы предпримете правильные шаги для защиты ключа шифрования.

Насколько этот инструмент имеет отношение к вашей ситуации:

Если ваш жесткий диск зашифрован, а злоумышленник удаляет его с вашего компьютера для доступа к вашим данным, он найдет только зашифрованные данные (и первоначально операционная система, скорее всего, обнаружит его как «неинициализированный диск»), который просто выглядит как случайная информация практически для всех.

Злоумышленник может получить доступ к вашим данным двумя способами:

  1. « Удачное предположение » на вашем пароле (так что выберите хороший, который трудно угадать, даже с помощью инструмента грубой силы атаки) или ключ (крайне маловероятно, хотя и не совсем невозможный)

  2. Вы предоставили копию своего пароля или ключа злоумышленнику (намеренно или непреднамеренно)



6

На обычном домашнем компьютере (без особой физической защиты), когда компьютер выключен, не остается никаких следов действий, выполненных с оборудованием.

Если диск извлекается и монтируется только для чтения, было бы очень сложно определить, что это было сделано с помощью любого программного обеспечения.

Единственное, что приходит на ум, это то, что если диск был доступен для записи во время такого действия, а операционная система хоста закончила обновлять временные метки на диске (файлы, каталоги), вы могли бы обнаружить, что к диску физически осуществлялся доступ за пределами вашей системы. , Это связано с различными другими оговорками, такими как, у другой системы также было правильно установлено время (разумное ожидание, если пользователь не думал о монтировании только для чтения), и вы знаете временной интервал, когда ваша система должна была получить питание. вниз (следовательно, время доступа в этом окне подозрительно).

Чтобы такие данные могли быть использованы, вы должны смонтировать диск без доступа для записи, пока ваша «криминалистическая экспертиза» еще не завершена . После этого вы сможете прочитать время доступа к отдельным файлам и каталогам, чтобы определить, что было просмотрено (прочитано или скопировано).

Теперь, если в будущем существует вероятность кражи данных, было бы намного проще планировать заранее - просто зашифровать все ваши важные данные.


Вы имеете в виду, что, если время окон изменилось, это означает, что кто-то может отделить мой жесткий диск ..
Anyname Donotcare

2
Нет, это означает, что последняя доступная временная метка файла будет обновлена, если к ней обращались. Кроме того, другие файлы могут быть потенциально созданы, изменены или удалены операционной системой при их установке в другой системе. Конечно, если кто-то попытается украсть диск и установить его в другой системе для кражи данных, он, вероятно, избежит этих проблем.
Synetech

я использую приложение для глубокой заморозки, это изменение этих факторов? и через три дня я обнаружил, что мои часы Windows изменились, это может быть связано с копированием моих данных?
Anyname Donotcare

примечание: мой жесткий диск не является внешним жестким диском.
Anyname Donotcare

9
Последняя доступная временная метка не изменится, если они используют пользовательский драйвер файловой системы или интерфейс только для чтения, что вполне вероятно. Глубокая заморозка ничего не изменит. Они учат вас в области информационной безопасности: «Если злоумышленники имеют физический доступ к вашему компьютеру, это больше не ваш компьютер».
Surfasb

3

Разве мы не просто обходим реальную проблему здесь?

Как новорожденный ребенок, мы НИКОГДА не должны оставлять наш компьютер в открытом доступе! Где сейчас твоя тетрадь? Безопасность начинается с нас, а не после факта.

Личные данные приходят с определенной степенью паранойи. Если вы оставите его в своей системе, то вы боитесь, что он может быть украден. Если ваши данные так важны, то, как только вы их создадите / получите, удалите их на безопасное устройство хранения, то есть зашифрованное флэш-устройство SD. Это устройство всегда может быть с вами.

Современные компьютерные технологии не обнаруживают подделку данных на физическом устройстве хранения. Именно эта нехватка безопасности позволяет таким специалистам ПК, как я, спасать пользовательские данные в случае повреждения вирусами или вредоносными программами. Когда в будущем устройства хранения будут встроены в работающую программу безопасности, тогда само устройство будет знать, когда оно было взломано.

Просто ответственно относитесь к своим данным! Если вы разрешаете кому-либо доступ, то вы не можете жаловаться, если он используется!

Как прямой ответ на опубликованный вопрос; на сегодняшний день НЕТ, невозможно определить, кто-то удалил и просто скопировал ваши файлы.

Спасибо всем за внимание.


2

Многие новые компьютеры позволяют защищать паролем сам жесткий диск. Это будет настройка BIOS. Защита обеспечивается с помощью электроники привода, поэтому доступ будет запрещен на другой машине.

Имейте в виду, что шифрование, хотя и хорошая идея, если вам это нужно, также не позволит вам справиться со многими компьютерными проблемами. И если жесткий диск начал выходить из строя, вы никогда не сможете восстановить свои файлы с зашифрованного диска. Поэтому убедитесь, что у вас есть хорошие резервные копии. И образ зашифрованного диска все еще зашифрован и при необходимости может быть восстановлен на новый диск.

Встроенная EFS Windows (Encrypting File System) может использоваться для отдельных файлов и папок. А бесплатный инструмент шифрования Windows BitLocker может зашифровать весь диск.


Это неправильно - с TrueCrypt CD восстановления создается во время шифрования, и привод может быть подключен с помощью TrueCrypt, установленного с другого компьютера (при условии, что используется правильный пароль / ключ). На самом деле TrueCrypt может шифровать определенные разделы или весь жесткий диск (охватывающий все разделы).
Рэндольф Ричардсон

1
Мне неудобно использовать BitLocker, потому что он не с открытым исходным кодом (TrueCrypt - с открытым исходным кодом), и поэтому у меня нет надежного способа узнать наверняка, присутствует ли «бэкдор». Вот интересная статья о хакерском инструментарии от Microsoft (предназначенном для правоохранительных органов; интересно, он уже есть в Пиратской бухте?), Который
Рэндольф Ричардсон,

@Randolf: Я думаю, что Абраксас говорит о шифровании BIOS. Тем не менее, я думаю, что, если BIOS вообще поддерживает команды шифрования диска, BIOS на другом компьютере будет дешифровать диск также до тех пор, пока вы предоставите идентичный пароль BIOS.
Зан Рысь

@Zan Lynx: первый абзац посвящен защите паролем, второй абзац - шифрованию данных, а третий абзац предлагает использовать два проприетарных продукта шифрования данных в качестве возможных решений. Я ответил на вопросы о шифровании данных, которые, по сути, являются ответами на второй и третий абзацы.
Рэндольф Ричардсон

1
@Zan Lynx: Для меня это было неочевидно (возможно, тогда их следовало объединить в один абзац, или вместо слова «защита паролем» следовало бы использовать фразу «шифрование на основе пароля»). Также обратите внимание, что я согласен с вашим первым комментарием о BIOS на другом компьютере, расшифровывающем диск (очевидно, что использование того же бренда / версии или совместимого BIOS будет важным фактором).
Рэндольф Ричардсон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.