¿Determinar si se ha eliminado un disco duro y se han copiado los datos?

¿Existe algún método o herramienta que pueda detectar si alguien ha separado mi disco duro de mi computadora, copió datos y me los devolvió?

Quiero estar seguro de que nadie haya hecho esto sin mi conocimiento, pero no estoy seguro de cómo hacerlo.

• Nota: yo uso Deep freeze .

El uso de congelación es irrelevante en esta situación.

Si son semi competentes, usarán una interfaz de solo lectura.

La última marca de tiempo de acceso solo se cambiará si están utilizando una interfaz de lectura y escritura. Apagar la interfaz de escritura es trivial. Esto es lo que hace el forense. Ellos Nunca poner un disco original en una interfaz de lectura / escritura. Siempre en solo lectura. Luego hacen una copia de trabajo. Todo sin alterar un solo bit en el disco original.

Su mejor apuesta es usar un cifrado de disco como Bitlocker o TrueCrypt.

editar:

muchas gracias, pero ¿podría aclarar más a qué se refiere con la interfaz de lectura y escritura, por favor?

Dispositivos como estas . . .

Bloquean físicamente el acceso de escritura a un disco. A menudo se utiliza en la recuperación forense / HD por razones legales y prácticas, como el caso de Amanda Knox.

Todo el mundo parece estar buscando el cifrado completo del disco, lo que ciertamente tiene sus ventajas para proteger sus datos, pero no aborda la cuestión de saber si alguien ha estado en su máquina y se ha puesto al día con su disco duro.

Para esa simple tarea, encuentre un paquete de etiquetas planas irritantes y pegajosas que, una vez pegadas, rasguen en lugar de desprenderse de forma limpia, firme su nombre y péguelas sobre uno de los tornillos que sostienen su disco duro en su lugar (no olvide limpie el polvo primero para una buena unión). No del todo a la misma escala que los fabricantes de sellos a prueba de manipulaciones, pero debería ser suficiente para evitar que alguien extraiga el disco duro sin su conocimiento. Esto significa que tienen que romper la etiqueta que lo alerta sobre el hecho, o sacar los cables del disco duro y luego montarlo en una computadora portátil, ¡lo que los obliga a pasar más tiempo con el estuche abierto con un aspecto muy sospechoso!

También vale la pena revisar la parte posterior de su PC para un punto de conexión de candado, simple, bastante seguro y efectivo.

Tampoco le es imposible acceder a sus datos, pero ambos agregan un nivel significativo de inconvenientes y obligan al atacante a actuar abiertamente (rompiendo etiquetas y cortadores de pernos al candado) o dedicando mucho más tiempo a jugar con su PC y en riesgo de detección .

Para descubrir la manipulación en un físico nivel, podrías usar algo como Sello de par en el hardware de montaje de la unidad o en la conexión del cable de datos. Es una laca que se seca quebradiza, por lo que cualquier manipulación podría agrietarse y romper el globo que instaló en el hardware. Se utiliza para asegurarse de que las cosas como las tuercas y los pernos de los helicópteros no se hayan movido y aún estén apretados según las especificaciones.

INTELIGENTE. los atributos pueden ayudar a determinar si el disco ha sido manipulado entre dos intervalos. Estos atributos, en Linux, pueden consultarse con "smartctl -a / dev / sda".

El atributo más simple para eso es probablemente Power_Cycle_Count. Cuando encienda la computadora, este será uno más que el valor cuando se apagó por última vez. Por lo tanto, recordando este valor antes de apagarlo y revisándolo cuando encienda la próxima vez, puede determinar si el disco se ha encendido mientras tanto.

Solo un pensamiento ... tal vez S.M.A.R.T. (si está disponible) contiene información que puede usarse.

Soy pesimista acerca de la prevención de leer el disco, y decir, si alguien lo hizo, por lo tanto, también aconsejaría usar el cifrado. Aún no sabe si alguien copió los datos cifrados, pero si lo hizo, es difícil de romper (espero que sí).

Ahora está el atacante listo, informado, ¿tiene tiempo, equipo y dinero? Un truco simple, que no funcionará, si el malo está leyendo aquí, sería pegarle un pelo, que es difícil de ver y fácil de romper, a su unidad y al chasis, mejor: a través del cable de datos.

Ahora, si alguien quita el disco, se romperá el cabello sin mencionarlo. Excepto que leyó este consejo, y actúa con mucho cuidado.

Si él está muy bien equipado, pero tú también, puedes tomarte un pelo y realizar una prueba de ADN. No dices quién es el pelo. El intruso puede reemplazar el cabello con uno al azar, pero no puede reemplazarlo con un cabello del ADN correcto. Pero tal vez él sabe cómo pegar un cabello roto juntos? ¿O sabe cómo disolver el pegamento? :)

A menos que pueda recordar exactamente cómo se colocaron las cosas dentro de su computadora antes de la presunta intrusión (una memoria fotográfica o una fotografía, son dos de esas herramientas que vienen inmediatamente a la mente), será muy difícil saber si se extrajo su disco duro. desde tu computadora.

Nota: las características de intrusión en el chasis generalmente se pueden eludir, por lo que este tampoco puede ser el método más confiable, aunque puede ser útil.

Lo más probable es que un intruso que sepa cómo hacer esto también sea lo suficientemente inteligente como para no modificar su disco de ninguna manera, y simplemente copie solo los archivos que desee o necesite, o copie el disco en su totalidad para que puedan "husmear" "en su tiempo libre en algún momento posterior.

La conclusión es que si realmente te preocupa que alguien acceda a tu disco duro, debes ser preventivo. Si eliminar físicamente su computadora del peligro no es una opción viable, entonces el cifrado funciona muy bien; esta es mi herramienta favorita de cifrado de disco:

TrueCrypt (libre y de código abierto)
http://www.truecrypt.org/

Lo que más me gusta de esta herramienta es que no hay una puerta trasera integrada, por lo que incluso una orden judicial no lo descifra si ha tomado los pasos correctos para proteger la clave de cifrado.

Cómo esta herramienta es relevante para su situación:

Si su disco duro está cifrado y el intruso lo elimina de su computadora con el fin de acceder a sus datos, solo encontrarán datos cifrados (y, inicialmente, el Sistema Operativo probablemente lo detectará como un "disco sin inicializar") que Simplemente se ve como información aleatoria para casi todos.

Las dos formas en que el intruso puede obtener acceso a sus datos son:

1. UNA " conjetura afortunada "en su contraseña (así que elija una buena que sea difícil de adivinar, incluso con una herramienta de ataque de fuerza bruta) o clave (altamente improbable, aunque no completamente imposible)

2. Usted proporcionó una copia de su contraseña o clave al intruso (intencionalmente o no)

Con su computadora doméstica promedio (sin seguridad física especial), cuando la máquina se apaga, no queda rastro de las actividades realizadas con el hardware.

Si se extrae el disco y se monta solo para lectura, sería muy difícil identificarlo mediante cualquier software.

Lo único que se me ocurre es que si el disco era grabable durante dicha actividad y el sistema operativo del host terminó actualizando las marcas de tiempo en el disco (archivos, directorios), es posible que pueda detectar que se accedió físicamente al disco desde fuera de su sistema. . Esto viene con varias otras advertencias como, el otro sistema también tenía su tiempo configurado correctamente (una expectativa razonable si el usuario no pensaba en un montaje de solo lectura) y usted conoce la ventana de tiempo cuando se esperaba que su sistema tuviera alimentación. abajo (por lo tanto, los tiempos de acceso en esa ventana son sospechosos).

Para que tales datos sean utilizables, debe montar el disco sin acceso de escritura, mientras que su 'forense' no está listo . Es posible que luego pueda leer los tiempos de acceso de los archivos y directorios individuales para identificar lo que se vio (leído o copiado).

Ahora, si esto es para una posibilidad futura de robo de datos, sería mucho más fácil planificar con anticipación, simplemente cifre todos sus datos críticos.

¿No estamos simplemente esquivando el problema real aquí?

¡Como un niño recién nacido, NUNCA debemos dejar nuestra PC sola en un área abierta y accesible! ¿Dónde está tu cuaderno ahora? La seguridad comienza con nosotros y no después del hecho.

Los datos personales vienen con un grado de paranoia. Si lo deja en su sistema, tiene miedo de que pueda ser robado. Si sus datos son críticos, tan pronto como los cree / adquiera, retírelos a un dispositivo de almacenamiento seguro, también conocido como un dispositivo flash SD cifrado. Este dispositivo puede estar contigo en todo momento.

La tecnología informática actual no detectará la manipulación de los datos en un dispositivo de almacenamiento físico. Es esta falta de seguridad lo que permite a los técnicos de PC, como yo mismo, recuperar los datos de los usuarios en caso de que se produzcan daños de virus / malware. Cuando en el futuro los dispositivos de almacenamiento estén integrados con un programa de seguridad en ejecución, entonces el propio dispositivo sabrá cuándo ha sido manipulado.

Simplemente asuma la responsabilidad de sus datos! Si permite el acceso de alguien, entonces no puede quejarse si se explota.

Como respuesta directa a la pregunta publicada; a partir de hoy, NO, no es posible determinar si alguien ha eliminado y simplemente copiado sus archivos.

Gracias a todos por escuchar.

Muchas computadoras nuevas permiten proteger con contraseña el propio disco duro. Sería una configuración de BIOS. La protección se aplica a través de la electrónica de la unidad, por lo que el acceso se denegará en otra máquina.

Tenga en cuenta que el cifrado, aunque es una buena idea si necesita hacerlo, también le impediría recuperarse de muchos problemas informáticos. Y si el disco duro comienza a fallar, nunca podrá recuperar sus archivos desde un disco encriptado. Así que asegúrate de que tienes buenas copias de seguridad. Y una imagen de disco de un disco encriptado todavía está encriptada y puede ser restaurada a una nueva unidad si es necesario.

El EFS incorporado (Sistema de archivos de cifrado) de Windows se puede utilizar para archivos y carpetas individuales. Y la herramienta de cifrado gratuita de Windows BitLocker puede cifrar una unidad completa.