Déterminer si un disque dur a été retiré et des données copiées à partir de celui-ci?

30

Existe-t-il une méthode ou un outil qui peut détecter si quelqu'un a séparé mon disque dur de mon ordinateur, copié des données et retourné?

Je veux être sûr que personne n'a fait cela à mon insu, mais je ne sais pas comment faire.

  • Remarque: j'utilise Deep freeze.
windows-xp hard-drive security encryption Anyname Donotcare
la source
10
Dans le cas général, quelqu'un qui a un accès physique à une machine possède effectivement la machine, Deep Freeze de Faronics ou non. Il y a des choses que vous pouvez faire pour rendre cela plus difficile, mais je doute sérieusement qu'il soit possible de vraiment appliquer.
Billy ONeal
3
De nombreux commentateurs ont mentionné que l'accès physique signifie à peu près que vous êtes foutu. Un point connexe: si vous déterminez que quelqu'un a physiquement touché votre lecteur, qui se soucie de la preuve qu'il a copié des données? Supposons qu'ils l'ont fait.
Cascabel
4
Je me suis toujours demandé cela chaque fois que quelqu'un envoie son ordinateur portable à Dell ou à HP. C'est pourquoi je n'enverrai jamais mon ordinateur portable dans un entrepôt sans avoir d'abord retiré mon disque dur.
James Mertz

Réponses:

50

L'utilisation de la surgélation n'est pas pertinente dans cette situation.

S'ils sont semi-compétents, ils utiliseront une interface en lecture seule.

Le dernier horodatage d'accès ne sera modifié que s'ils utilisent une interface de lecture et d'écriture. Désactiver l'interface d'écriture est trivial. C'est ce que fait la médecine légale. Ils n'ont jamais mis un lecteur d'origine dans une interface de lecture / écriture. Toujours en lecture seule. Ensuite, ils font une copie de travail. Le tout sans altérer un seul bit sur le lecteur d'origine.

Votre meilleur pari est d'utiliser un chiffrement de disque comme Bitlocker ou TrueCrypt.

modifier:

merci beaucoup, mais pourriez-vous clarifier davantage ce que vous entendez par interface de lecture et d'écriture s'il vous plaît ??

Des appareils comme ceux-ci . . .

Ils bloquent physiquement l'accès en écriture à un lecteur. Souvent utilisé en médecine légale / récupération HD pour des raisons juridiques et pratiques, comme le cas d'Amanda Knox.

surfasb
la source
10
Il existe des périphériques matériels que vous pouvez insérer entre un disque et un ordinateur pour bloquer les écritures, afin de prouver au tribunal que le disque n'a vraiment pas été altéré.
MSalters
10
Je peux simplement connecter le lecteur à mon ordinateur Linux et exécuter dd if=/dev/sdx of=out.img. Afaik se contentant de connecter le disque à un PC ne laissera aucune trace. Ensuite, je vais obtenir une copie de chaque octet sur le disque que je peux modifier sans que vous le sachiez, car j'ai maintenant ma propre copie.
August Lilleaas
4
Question intéressante soulevée par un autre répondeur plus bas: ces actions déclencheraient-elles le temps de mise sous tension, le nombre de cycles d'alimentation, etc. Les valeurs SMART changent-elles sont gérées par le variateur en interne, oui, pas l'interface? (Évidemment, il faudrait connaître les valeurs à l'avance, ce qui n'est pas réaliste dans le cas aléatoire, mais reste un point intéressant)
DMA57361
4
@ DMA57361: Oui, cela va modifier les attributs SMART.
surfasb
9
Juste une note intéressante, les SSD posent des problèmes aux médecins légistes. Le micrologiciel du SSD écrit sur le flash dès qu'il est sous tension, que les commandes d'écriture soient envoyées ou non. Forex: si la dernière commande reçue était un TRIM de tout, le SSD mettra à zéro les blocs pour une utilisation future même s'il a été immédiatement mis hors tension.
Zan Lynx
36

Tout le monde semble opter pour le cryptage complet du disque, ce qui a certainement ses mérites pour sécuriser vos données, mais ne résout pas la question de savoir si quelqu'un a été dans votre machine et de faire des singes avec votre disque dur.

Pour cette tâche simple, trouvez un paquet d'étiquettes unies collantes et irritantes qui, une fois collées, se déchirent au lieu de se détacher proprement, signez votre nom dessus et collez-le sur l'une des vis qui maintiennent votre disque dur en place (n'oubliez pas de nettoyer d'abord la poussière pour une bonne adhérence). Pas tout à fait à la même échelle que les scellés inviolables du fabricant, mais devrait s'avérer suffisant pour empêcher quiconque de retirer le disque dur à votre insu. Cela signifie qu'ils doivent soit casser l'étiquette qui vous avertit, soit retirer les fils du disque dur puis le monter sur un ordinateur portable, les forçant à passer plus de temps avec votre boîtier ouvert à l'air très suspect!

Il vaut également la peine de vérifier l'arrière de votre PC pour un point de fixation de cadenas, simple, assez sûr et efficace.

Aucun des deux ne rend impossible l'accès à vos données, mais les deux ajoutent un niveau de gêne important et forcent l'attaquant à agir ouvertement (déchirure des étiquettes et coupe-boulons dans le cadenas) ou à passer beaucoup plus de temps à manipuler votre ordinateur et à risque de détection .

Robb
la source
1
C'est une méthode tellement cool, et je le ferai à l'avenir, mais qu'en est-il maintenant.y a-t-il un moyen d'être sûr si quelqu'un a copié mes données. (Empreintes).
Anyname Donotcare
12
Comme l'a dit surfasb, à moins que votre intrus hypothétique ne soit assez stupide pour écrire sur le lecteur, il n'y a aucun moyen fiable de détecter la lecture de celui-ci.
CarlF
6
En plus de ce que @CarlF a dit: Si l'intrus a écrit dessus, alors vous devriez espérer que vous n'y avez pas écrit depuis, sinon il deviendra beaucoup plus difficile de trouver des traces (plus difficile ou même impossible dans certains cas).
Joachim Sauer
14
Votre placement d'autocollant sera inutile lorsque quelqu'un vient avec un cordon et branche simplement le lecteur sur un lecteur de disque sans retirer le lecteur de la machine ou toucher les vis! Vous devez également fixer le câble au lecteur et à la carte mère.
Caleb
5
@Robb: Et le démonter avec un tournevis n'est pas évident? En environ une heure, j'ai pu construire un petit duplicateur de disques en utilisant une carte intégrée de mon bureau qui pourrait être glissée dans une machine et attachée aux câbles HD (et d'alimentation), laissée pendant quelques heures inaperçue, puis récupérée. L'accès physique est intrinsèquement peu sûr si vos données ne sont pas cryptées .
Caleb
30

Pour découvrir la falsification au niveau physique , vous pouvez utiliser quelque chose comme Torque Seal sur le matériel de montage de votre lecteur ou la connexion du câble de données. C'est une laque qui sèche fragile, de sorte que toute altération se fissurera et cassera le glob que vous avez installé sur le matériel. Il est utilisé pour s'assurer que des choses comme les écrous et les boulons des hélicoptères n'ont pas bougé et sont toujours serrées conformément aux spécifications.

yhw42
la source
Solution cool (+1)! Chaque technicien devrait avoir ceci dans sa boîte à outils! = P
Randolf Richardson
1
@Randolf Richardson: Bien, mais comme les contrôles d'accès physiques que j'ai vus se situaient au niveau de la salle des serveurs (les portes sont une technologie quelque peu mature, et donc l'accès devient beaucoup plus facile à gérer - oui, la gestion des clés est un problème évident), cette pourrait être une belle défense en profondeur, mais pas une augmentation significative de la sécurité - un peu exagéré, pour ainsi dire. Pour les postes de travail - cela nécessite une vigilance éternelle de la part de l'utilisateur.
Piskvor
@Piskvor: Je pensais en fait que cette solution serait beaucoup moins utile si chaque technicien l'avait dans sa boîte à outils (et je me demandais si une personne soucieuse de la sécurité pourrait s'en rendre compte, mais j'étais peut-être beaucoup trop subtile - mon faute, désolé), d'où l'émoticône de la langue qui sort. +1 pour vous pour avoir souligné certaines informations importantes.
Randolf Richardson
25

Les attributs SMART peuvent aider à déterminer si le disque a été falsifié entre deux intervalles. Ces attributs, sous Linux, peuvent être interrogés avec "smartctl -a / dev / sda".

L'attribut le plus simple pour cela est probablement Power_Cycle_Count. Lorsque vous mettez l'ordinateur sous tension, ce sera un de plus que la valeur lors de son dernier arrêt. Ainsi, en vous souvenant de cette valeur avant de vous arrêter et en la vérifiant lors de la prochaine mise sous tension, vous pouvez déterminer si le disque a été mis sous tension entre les deux.

Ambroz Bizjak
la source
2
Cela doit être anticipé. Vous ne pouvez pas demander le retour du lecteur dans le temps.
Thorbjørn Ravn Andersen
5
Il s'agit d'une écriture interne, où le disque conserve son état de fonctionnement, même si une interface d'écriture réelle a été activée (c.-à-d. Même en mode lecture seule) - Je pense que c'est une méthode assez intelligente, mais elle nécessite une étape supplémentaire de stockage cycle d'alimentation compte pour le disque hors boîte
Soren
Un intrus qui connaît les aspects de bas niveau de la technologie SMART peut être en mesure d'altérer les compteurs internes. Je suppose cependant que c'est très peu probable.
Randolf Richardson
3
Il est très très difficile de modifier les compteurs SMART. La plupart du temps, cela impliquera une nouvelle charge de code du firmware du disque dur. Même alors, seuls quelques-uns des compteurs sont réinitialisés (à la demande de certains gros acheteurs de disques durs). Si vous avez le compteur approprié que vous pouvez interpréter correctement, cela vous indiquera combien de fois le disque a été alimenté / tourné. SMART augmentera le POWER_CYCLE_COUNT même dans les cas où vous alimentez le lecteur et ne connectez rien sur l'interface, au moins dans toutes les implémentations sensées.
user11934
12

Juste une pensée ... peut-être SMART (si disponible) contient des informations qui peuvent être utilisées.

Iuliu Atudosiei
la source
1
+1, c'était aussi ma ligne de pensée.
Sirex
7

Je suis pessimiste quant à la prévention de la lecture du lecteur et du fait de dire, si quelqu'un l'a fait, que je conseillerais d'utiliser également le cryptage. Vous ne savez toujours pas si quelqu'un a copié les données cryptées, mais s'il l'a fait, c'est difficile à casser (espérons-le).

L'attaquant est-il intelligent, informé, a-t-il du temps, de l'équipement et de l'argent? Une astuce simple, qui ne fonctionnera pas, si le méchant lit ici, serait de coller un cheveu, qui est difficile à voir et facile à casser, à votre lecteur et au châssis, le mieux: à travers le câble de données.

Maintenant, si quelqu'un enlève le disque, il cassera les cheveux sans le mentionner. Sauf qu'il a lu ces conseils et agit très attentivement.

S'il est très bien équipé, mais vous l'êtes aussi, vous pouvez prendre un cheveu sur lequel vous effectuez un test ADN. Vous ne dites pas de qui il s'agit. L'intrus peut remplacer les cheveux par des cheveux aléatoires, mais ne peut pas les remplacer par des cheveux du bon ADN. Mais peut-être qu'il sait comment coller un cheveu cassé ensemble? Ou il sait dissoudre la colle? :)

Utilisateur inconnu
la source
+1 pour "fendre les cheveux". ;-D Remettre les cheveux dans leur position d'origine, bien que cassés, peut encore être un point de confusion pour le propriétaire d'origine car ils peuvent alors se demander s'ils ont cassé les cheveux par inadvertance, mais votre explication couvre très bien les problèmes.
Randolf Richardson
6

À moins que vous ne vous souveniez exactement comment les choses ont été placées dans votre ordinateur avant l'intrusion suspectée (une mémoire photographique ou une photographie, deux de ces outils qui me viennent immédiatement à l'esprit), il sera très difficile de savoir si votre disque dur a été retiré De votre ordinateur.

Remarque: Les fonctionnalités d'intrusion dans le châssis peuvent généralement être contournées, ce n'est donc peut-être pas la méthode la plus fiable, bien qu'elle puisse être utile.

Il y a de fortes chances qu'un intrus qui sait faire cela peut également être assez intelligent pour ne pas modifier votre disque de quelque manière que ce soit, et soit copier uniquement les fichiers dont il a besoin / besoin, soit copier le disque dans son intégralité afin qu'il puisse "fouiner" "à leur guise plus tard.

L'essentiel est que si vous êtes vraiment préoccupé par l'accès à votre disque dur, vous devez être préventif. Si retirer physiquement votre ordinateur du danger n'est pas une option viable, le cryptage fonctionne très bien; c'est mon outil de chiffrement de disque préféré:

  TrueCrypt (gratuit et open source)
  http://www.truecrypt.org/

Ce que j'aime particulièrement dans cet outil, c'est qu'il n'y a pas de porte dérobée intégrée, donc même une décision de justice ne le décryptera pas si vous avez pris les bonnes mesures pour protéger la clé de cryptage.

La pertinence de cet outil dans votre situation:

Si votre disque dur est crypté et que l'intrus le supprime de votre ordinateur dans le but d'accéder à vos données, il ne trouvera que les données cryptées (et, initialement, le système d'exploitation les détectera très probablement comme un "disque non initialisé") qui ressemble simplement à des informations aléatoires pour à peu près tout le monde.

L'intrus peut accéder à vos données de deux manières:

  1. Une " chance " à votre mot de passe (alors choisissez-en une bonne qui est difficile à deviner, même avec un outil d'attaque par force brute) ou une clé (très improbable, mais pas complètement impossible)

  2. Vous avez fourni une copie de votre mot de passe ou de votre clé à l'intrus (intentionnellement ou non)

Randolf Richardson
la source
2
en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
LawrenceC
6

Avec votre ordinateur domestique moyen (pas de sécurité physique spéciale), lorsque la machine est arrêtée, il ne reste aucune trace des activités effectuées avec le matériel.

Si le disque est retiré et monté en lecture seule, il serait très difficile d'identifier que cela a été fait à l'aide d'un logiciel.

La seule chose qui me vient à l'esprit est que si le disque était inscriptible pendant une telle activité et que le système d'exploitation hôte a fini par mettre à jour les horodatages sur le disque (fichiers, répertoires), vous pourriez être en mesure de détecter que le disque a été physiquement accessible en dehors de votre système . Cela vient avec diverses autres mises en garde comme, l'autre système avait également son heure réglée correctement (une attente raisonnable si l'utilisateur ne pensait pas à un montage en lecture seule) et vous connaissez la fenêtre de temps lorsque votre système devait être alimenté - vers le bas (par conséquent, les temps d'accès dans cette fenêtre sont suspects).

Pour que ces données soient utilisables, vous devez monter le disque sans accès en écriture pendant que votre «analyse légale» n'est pas terminée . Vous pourrez alors être en mesure de lire les temps d'accès des fichiers et répertoires individuels pour identifier ce qui a été regardé (lu ou copié).

Maintenant, s'il s'agit d'une possibilité future de vol de données, il serait beaucoup plus facile de planifier à l'avance - cryptez toutes vos données critiques.

nik
la source
Voulez-vous dire que, si l'heure de la fenêtre a changé, cela signifie que quelqu'un peut séparer mon disque dur ..
Anyname Donotcare
2
Non, cela signifie que le dernier horodatage consulté d'un fichier serait mis à jour s'il y était accédé. En outre, d'autres fichiers peuvent potentiellement être créés, modifiés ou supprimés par le système d'exploitation lorsqu'ils l'installent dans un autre système. Bien sûr, si quelqu'un se donne la peine de faufiler le lecteur et de l'installer dans un autre système pour voler des données, il évitera probablement ces problèmes.
Synetech
J'utilise une application Deep Freeze, cela change-t-il ces facteurs? Et à partir de trois jours, j'ai trouvé que mon horloge Windows a changé, cela peut-il être lié à la copie de mes données?
Anyname Donotcare
remarque: mon disque dur n'est pas un disque dur externe.
Anyname Donotcare
9
Le dernier horodatage consulté ne changera pas s'ils utilisent un pilote de système de fichiers personnalisé ou une interface en lecture seule, les deux étant susceptibles. Le gel profond ne changera rien. Ils vous apprennent en sécurité informatique que "Si des personnes malveillantes ont un accès physique à votre ordinateur, ce n'est plus votre ordinateur."
surfasb
3

Ne sommes-nous pas en train de contourner le vrai problème ici?

Comme un nouveau-né, nous ne devons JAMAIS laisser notre PC seul dans une zone ouverte et accessible! Où est ton carnet maintenant? La sécurité commence avec nous et non après coup.

Les données personnelles s'accompagnent d'une certaine paranoïa. Si vous le laissez sur votre système, vous avez peur qu'il soit volé. Si vos données sont essentielles, alors, dès que vous les créez / les acquérez, supprimez-les sur un périphérique de stockage sécurisé, alias un périphérique flash SD chiffré. Cet appareil peut alors être avec vous à tout moment.

La technologie informatique actuelle ne détectera pas la falsification des données sur un périphérique de stockage physique. C'est ce manque de sécurité qui permet aux techniciens de PC comme moi de récupérer les données des utilisateurs en cas de virus / malware. Lorsque, à l'avenir, les périphériques de stockage sont intégrés à un programme de sécurité en cours d'exécution, le périphérique lui-même saura quand il a été falsifié.

Prenez simplement vos données de manière responsable! Si vous autorisez l'accès à quelqu'un, vous ne pouvez pas vous plaindre s'il est exploité!

Comme réponse directe à la question affichée; à ce jour, NON, il n'est pas possible de déterminer si quelqu'un a supprimé et simplement copié vos fichiers.

Merci à tous d'avoir écouté.

user91507
la source
2

De nombreux nouveaux ordinateurs permettent de protéger par mot de passe le disque dur lui-même. Ce serait un paramètre du BIOS. La protection est appliquée via l'électronique du lecteur, de sorte que l'accès serait refusé sur une autre machine.

Gardez à l'esprit que le chiffrement, bien qu'une bonne idée si vous devez le faire, vous empêcherait également de récupérer de nombreux problèmes informatiques. Et si le disque dur venait à tomber en panne, vous ne pourriez jamais récupérer vos fichiers à partir d'un disque crypté. Assurez-vous donc que vous disposez de bonnes sauvegardes. Et une image disque d'un disque chiffré est toujours chiffrée et peut être restaurée sur un nouveau lecteur si nécessaire.

Le système de fichiers EFS (Encrypting File System) intégré à Windows peut être utilisé pour des fichiers et des dossiers individuels. Et l'outil de cryptage gratuit Windows BitLocker peut crypter un lecteur entier.

Abraxas
la source
C'est faux - avec TrueCrypt, un CD de récupération est généré au moment du cryptage, et le lecteur peut être monté par TrueCrypt installé à partir d'un autre ordinateur (tant que le mot de passe / la clé corrects sont utilisés). TrueCrypt, en fait, peut chiffrer des partitions spécifiques ou un disque dur entier (englobant toutes les partitions).
Randolf Richardson
1
Je ne suis pas à l'aise avec BitLocker car ce n'est pas open source (TrueCrypt est open source), et donc je n'ai aucun moyen fiable de savoir avec certitude si une "fonctionnalité de porte dérobée" est présente. Voici un article intéressant sur une boîte à outils de piratage de Microsoft (destinée aux forces de l'ordre; je me demande si elle est déjà sur Pirate Bay?) Qui
Randolf Richardson
@Randolf: Je pense qu'Abraxas parle du cryptage du BIOS. Cependant, je pense que si le BIOS prend en charge les commandes de chiffrement du lecteur, un BIOS sur un autre ordinateur déchiffrera également le lecteur tant que vous fournissez le mot de passe du BIOS identique.
Zan Lynx
@Zan Lynx: Le premier paragraphe concerne la protection par mot de passe, le deuxième paragraphe concerne le cryptage des données et le troisième paragraphe suggère l'utilisation de deux produits de cryptage de données propriétaires comme solutions possibles. J'ai répondu aux points concernant le chiffrement des données, qui sont essentiellement des réponses aux deuxième et troisième paragraphes.
Randolf Richardson
1
@Zan Lynx: Ce n'était pas évident pour moi (peut-être qu'ils auraient dû être combinés en un seul paragraphe à ce moment-là, ou l'expression "cryptage par mot de passe" aurait dû être utilisée à la place de "protection par mot de passe?"). Veuillez également noter que je suis d'accord avec votre premier commentaire concernant un BIOS sur un autre ordinateur décryptant le lecteur (évidemment, utiliser la même marque / version ou un BIOS compatible sera un facteur important).
Randolf Richardson