¿Determinar si se ha eliminado un disco duro y se han copiado los datos?

30

¿Existe algún método o herramienta que pueda detectar si alguien ha separado mi disco duro de mi computadora, copió datos y me los devolvió?

Quiero estar seguro de que nadie haya hecho esto sin mi conocimiento, pero no estoy seguro de cómo hacerlo.

  • Nota: yo uso Deep freeze .
windows-xp hard-drive security encryption Anyname Donotcare
fuente
10
En el caso general, alguien que tiene acceso físico a una máquina posee efectivamente la máquina, Faronics 'Deep Freeze o no. Hay cosas que puede hacer para que esto sea más difícil, pero dudo seriamente que sea posible hacerlas cumplir.
Billy ONeal
3
Muchos comentaristas han mencionado que el acceso físico significa que estás jodido. Un punto relacionado: si determina que alguien ha tocado físicamente su unidad, ¿a quién le importa la prueba de que ha copiado los datos? Supongamos que tienen.
Cascabel
4
Siempre me he preguntado esto cada vez que alguien envía su computadora portátil a Dell o HP. Por eso lo haré Nunca enviar mi laptop a un almacén sin quitar primero mi disco duro.
James Mertz

Respuestas:

51

El uso de congelación es irrelevante en esta situación.

Si son semi competentes, usarán una interfaz de solo lectura.

La última marca de tiempo de acceso solo se cambiará si están utilizando una interfaz de lectura y escritura. Apagar la interfaz de escritura es trivial. Esto es lo que hace el forense. Ellos Nunca poner un disco original en una interfaz de lectura / escritura. Siempre en solo lectura. Luego hacen una copia de trabajo. Todo sin alterar un solo bit en el disco original.

Su mejor apuesta es usar un cifrado de disco como Bitlocker o TrueCrypt.

editar:

muchas gracias, pero ¿podría aclarar más a qué se refiere con la interfaz de lectura y escritura, por favor?

Dispositivos como estas . . .

Bloquean físicamente el acceso de escritura a un disco. A menudo se utiliza en la recuperación forense / HD por razones legales y prácticas, como el caso de Amanda Knox.

surfasb
fuente
10
Hay dispositivos de hardware que puede insertar entre un disco y una computadora para bloquear escrituras, para probar en la corte que el disco realmente no fue manipulado.
MSalters
10
Solo puedo conectar la unidad a mi computadora Linux y ejecutar dd if=/dev/sdx of=out.img. Afaik simplemente conectando el disco a una PC no dejará ningún rastro. Luego obtendré una copia de cada byte del disco que puedo modificar sin que usted lo sepa, ya que ahora tengo mi propia copia.
August Lilleaas
4
Pregunta interesante planteada por otra persona que responde más abajo: ¿Estas acciones desencadenarán el tiempo de encendido, el conteo del ciclo de alimentación, etc. Los valores SMART que cambiarán? (Obviamente, tendrías que conocer los valores de antemano, lo que no es realista en el caso aleatorio, pero sigue siendo un punto interesante)
DMA57361
4
@ DMA57361: Sí, esto será alterar atributos SMART.
surfasb
9
Solo una nota interesante, los SSD han estado dando algunos problemas a las personas forenses. El firmware en el SSD escribirá en todo el flash cada vez que tenga alimentación, independientemente de si se envían o no los comandos de escritura. Forex: si el último comando recibido fue un TRIM de todo, el SSD hará cero bloques para su uso futuro, incluso si se apaga de inmediato.
Zan Lynx
37

Todo el mundo parece estar buscando el cifrado completo del disco, lo que ciertamente tiene sus ventajas para proteger sus datos, pero no aborda la cuestión de saber si alguien ha estado en su máquina y se ha puesto al día con su disco duro.

Para esa simple tarea, encuentre un paquete de etiquetas planas irritantes y pegajosas que, una vez pegadas, rasguen en lugar de desprenderse de forma limpia, firme su nombre y péguelas sobre uno de los tornillos que sostienen su disco duro en su lugar (no olvide limpie el polvo primero para una buena unión). No del todo a la misma escala que los fabricantes de sellos a prueba de manipulaciones, pero debería ser suficiente para evitar que alguien extraiga el disco duro sin su conocimiento. Esto significa que tienen que romper la etiqueta que lo alerta sobre el hecho, o sacar los cables del disco duro y luego montarlo en una computadora portátil, ¡lo que los obliga a pasar más tiempo con el estuche abierto con un aspecto muy sospechoso!

También vale la pena revisar la parte posterior de su PC para un punto de conexión de candado, simple, bastante seguro y efectivo.

Tampoco le es imposible acceder a sus datos, pero ambos agregan un nivel significativo de inconvenientes y obligan al atacante a actuar abiertamente (rompiendo etiquetas y cortadores de pernos al candado) o dedicando mucho más tiempo a jugar con su PC y en riesgo de detección .

Robb
fuente
1
Este es un método genial, y lo haré en el futuro, pero ¿qué hay de ahora? Hay alguna forma de estar seguro de que alguien haya copiado mis datos (huellas).
Anyname Donotcare
12
Como dijo Surfasb, a menos que tu hipotético intruso sea lo suficientemente tonto como para escribir a la unidad no hay una manera confiable para detectar la lectura de ella.
CarlF
6
Además de lo que @CarlF dijo: Si el intruso hizo escríbelo, entonces deberías esperar que no le he escrito desde entonces, o será mucho más difícil encontrar rastros (más difíciles o incluso imposibles en algunos casos).
Joachim Sauer
14
¡La colocación de su pegatina será inútil cuando alguien se acerque con un cable y simplemente conecte la unidad a un lector de discos sin quitar la unidad de la máquina ni tocar los tornillos! También debe asegurar el cable tanto a la unidad como a la placa base.
Caleb
5
@Robb: ¿Y separarlo con un destornillador no es obvio? En aproximadamente una hora podría construir un pequeño duplicador de discos con una tabla incrustada de mi escritorio que podría introducirse en una máquina y conectarse a los cables de alta definición (y alimentación), dejarlos pasar un par de horas y luego recuperarlos. El acceso físico es intrínsecamente inseguro si sus datos no están cifrados .
Caleb
31

Para descubrir la manipulación en un físico nivel, podrías usar algo como Sello de par en el hardware de montaje de la unidad o en la conexión del cable de datos. Es una laca que se seca quebradiza, por lo que cualquier manipulación podría agrietarse y romper el globo que instaló en el hardware. Se utiliza para asegurarse de que las cosas como las tuercas y los pernos de los helicópteros no se hayan movido y aún estén apretados según las especificaciones.

yhw42
fuente
¡Solución fría (+1)! ¡Todo técnico debería tener esto en su caja de herramientas! = P
Randolf Richardson
1
@Randolf Richardson: Agradable, pero como los controles de acceso físico que he visto se encontraban en el nivel de la sala de servidores (las puertas son una tecnología un tanto madura y, por lo tanto, el acceso se convierte en mucho más fácil de manejar (sí, la administración de claves es un problema obvio), esto podría ser una buena defensa en profundidad, pero no un aumento significativo en la seguridad, un poco excesivo, por así decirlo. Para estaciones de trabajo: esto requiere una vigilancia eterna por parte del usuario.
Piskvor
@Piskvor: En realidad pensaba que esta solución sería mucho menos valiosa si todos los técnicos lo tuvieran en su caja de herramientas (y me preguntaba si una persona con mentalidad de seguridad podría darse cuenta de eso, pero quizás era demasiado sutil, culpa, lo siento), de ahí el emoticono de la lengua que sobresale. Sin embargo, +1 para usted por señalar una información importante.
Randolf Richardson
26

INTELIGENTE. los atributos pueden ayudar a determinar si el disco ha sido manipulado entre dos intervalos. Estos atributos, en Linux, pueden consultarse con "smartctl -a / dev / sda".

El atributo más simple para eso es probablemente Power_Cycle_Count. Cuando encienda la computadora, este será uno más que el valor cuando se apagó por última vez. Por lo tanto, recordando este valor antes de apagarlo y revisándolo cuando encienda la próxima vez, puede determinar si el disco se ha encendido mientras tanto.

Ambroz Bizjak
fuente
2
Esto necesita ser anticipado. No se puede pedir la marcha atrás en el tiempo.
Thorbjørn Ravn Andersen
5
Esta es una escritura interna, donde el disco mantiene el estado de operación independientemente de si se ha habilitado una interfaz de escritura real (es decir, incluso en modo de solo lectura). recuento de ciclos de energía para el disco fuera de la caja
Soren
Un intruso que conoce los aspectos de bajo nivel de S.M.A.R.T. La tecnología puede ser capaz de manipular los contadores internos. Supongo que esto es muy poco probable, sin embargo.
Randolf Richardson
3
Es muy muy difícil modificar S.M.A.R.T. contadores La mayoría de las veces esto implicará una nueva carga de código de firmware del disco duro. Incluso entonces, solo se reinician algunos de los contadores (por demanda de ciertos compradores de discos duros grandes). Si tiene el contador relevante que puede interpretar correctamente, esto le dirá cuántas veces se ha encendido / montado la unidad. INTELIGENTE. incrementará el POWER_CYCLE_COUNT incluso en los casos en que alimente la unidad y no conecte nada en la interfaz, al menos en todas las implementaciones sanas.
user11934
12

Solo un pensamiento ... tal vez S.M.A.R.T. (si está disponible) contiene información que puede usarse.

Iuliu Atudosiei
fuente
1
+1, esta era mi línea de pensamiento también.
Sirex
7

Soy pesimista acerca de la prevención de leer el disco, y decir, si alguien lo hizo, por lo tanto, también aconsejaría usar el cifrado. Aún no sabe si alguien copió los datos cifrados, pero si lo hizo, es difícil de romper (espero que sí).

Ahora está el atacante listo, informado, ¿tiene tiempo, equipo y dinero? Un truco simple, que no funcionará, si el malo está leyendo aquí, sería pegarle un pelo, que es difícil de ver y fácil de romper, a su unidad y al chasis, mejor: a través del cable de datos.

Ahora, si alguien quita el disco, se romperá el cabello sin mencionarlo. Excepto que leyó este consejo, y actúa con mucho cuidado.

Si él está muy bien equipado, pero tú también, puedes tomarte un pelo y realizar una prueba de ADN. No dices quién es el pelo. El intruso puede reemplazar el cabello con uno al azar, pero no puede reemplazarlo con un cabello del ADN correcto. Pero tal vez él sabe cómo pegar un cabello roto juntos? ¿O sabe cómo disolver el pegamento? :)

user unknown
fuente
+1 para "dividir los pelos". ;-D Colocar el cabello en su posición original, aunque roto, aún puede ser un punto de confusión para el propietario original, ya que pueden preguntarse si se rompió el cabello inadvertidamente, pero su explicación cubre los problemas muy bien.
Randolf Richardson
6

A menos que pueda recordar exactamente cómo se colocaron las cosas dentro de su computadora antes de la presunta intrusión (una memoria fotográfica o una fotografía, son dos de esas herramientas que vienen inmediatamente a la mente), será muy difícil saber si se extrajo su disco duro. desde tu computadora.

Nota: las características de intrusión en el chasis generalmente se pueden eludir, por lo que este tampoco puede ser el método más confiable, aunque puede ser útil.

Lo más probable es que un intruso que sepa cómo hacer esto también sea lo suficientemente inteligente como para no modificar su disco de ninguna manera, y simplemente copie solo los archivos que desee o necesite, o copie el disco en su totalidad para que puedan "husmear" "en su tiempo libre en algún momento posterior.

La conclusión es que si realmente te preocupa que alguien acceda a tu disco duro, debes ser preventivo. Si eliminar físicamente su computadora del peligro no es una opción viable, entonces el cifrado funciona muy bien; esta es mi herramienta favorita de cifrado de disco:

TrueCrypt (libre y de código abierto)
http://www.truecrypt.org/

Lo que más me gusta de esta herramienta es que no hay una puerta trasera integrada, por lo que incluso una orden judicial no lo descifra si ha tomado los pasos correctos para proteger la clave de cifrado.

Cómo esta herramienta es relevante para su situación:

Si su disco duro está cifrado y el intruso lo elimina de su computadora con el fin de acceder a sus datos, solo encontrarán datos cifrados (y, inicialmente, el Sistema Operativo probablemente lo detectará como un "disco sin inicializar") que Simplemente se ve como información aleatoria para casi todos.

Las dos formas en que el intruso puede obtener acceso a sus datos son:

  1. UNA " conjetura afortunada "en su contraseña (así que elija una buena que sea difícil de adivinar, incluso con una herramienta de ataque de fuerza bruta) o clave (altamente improbable, aunque no completamente imposible)

  2. Usted proporcionó una copia de su contraseña o clave al intruso (intencionalmente o no)

Randolf Richardson
fuente
2
en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
LawrenceC
6

Con su computadora doméstica promedio (sin seguridad física especial), cuando la máquina se apaga, no queda rastro de las actividades realizadas con el hardware.

Si se extrae el disco y se monta solo para lectura, sería muy difícil identificarlo mediante cualquier software.

Lo único que se me ocurre es que si el disco era grabable durante dicha actividad y el sistema operativo del host terminó actualizando las marcas de tiempo en el disco (archivos, directorios), es posible que pueda detectar que se accedió físicamente al disco desde fuera de su sistema. . Esto viene con varias otras advertencias como, el otro sistema también tenía su tiempo configurado correctamente (una expectativa razonable si el usuario no pensaba en un montaje de solo lectura) y usted conoce la ventana de tiempo cuando se esperaba que su sistema tuviera alimentación. abajo (por lo tanto, los tiempos de acceso en esa ventana son sospechosos).

Para que tales datos sean utilizables, debe montar el disco sin acceso de escritura, mientras que su 'forense' no está listo . Es posible que luego pueda leer los tiempos de acceso de los archivos y directorios individuales para identificar lo que se vio (leído o copiado).

Ahora, si esto es para una posibilidad futura de robo de datos, sería mucho más fácil planificar con anticipación, simplemente cifre todos sus datos críticos.

nik
fuente
¿Quiere decir que, si la hora de Windows ha cambiado, esto significa que alguien puede separar mi disco duro?
Anyname Donotcare
2
No, significa que la último accedido La marca de tiempo de un archivo se actualizaría si se accediera. Además, el sistema operativo puede crear, modificar o eliminar otros archivos al instalarlos en otro sistema. Por supuesto, si alguien se toma la molestia de sacar el disco e instalarlo en otro sistema para robar datos, probablemente evitará estos problemas.
Synetech
Uso la aplicación de congelación profunda: ¿son estos factores estos cambios? y, a partir de tres días, descubrí que mi reloj de Windows ha cambiado. ¿Es posible que esto esté relacionado con la copia de mis datos?
Anyname Donotcare
nota: mi disco duro no es un disco duro externo.
Anyname Donotcare
9
La última marca de tiempo a la que se accede no cambiará si están usando un controlador de sistema de archivos personalizado o una interfaz de solo lectura, que es probable. La congelación no cambiará nada. Le enseñan en seguridad de TI que "Si las personas maliciosas tienen físico acceso a su computadora, ya no es su computadora ".
surfasb
3

¿No estamos simplemente esquivando el problema real aquí?

¡Como un niño recién nacido, NUNCA debemos dejar nuestra PC sola en un área abierta y accesible! ¿Dónde está tu cuaderno ahora? La seguridad comienza con nosotros y no después del hecho.

Los datos personales vienen con un grado de paranoia. Si lo deja en su sistema, tiene miedo de que pueda ser robado. Si sus datos son críticos, tan pronto como los cree / adquiera, retírelos a un dispositivo de almacenamiento seguro, también conocido como un dispositivo flash SD cifrado. Este dispositivo puede estar contigo en todo momento.

La tecnología informática actual no detectará la manipulación de los datos en un dispositivo de almacenamiento físico. Es esta falta de seguridad lo que permite a los técnicos de PC, como yo mismo, recuperar los datos de los usuarios en caso de que se produzcan daños de virus / malware. Cuando en el futuro los dispositivos de almacenamiento estén integrados con un programa de seguridad en ejecución, entonces el propio dispositivo sabrá cuándo ha sido manipulado.

Simplemente asuma la responsabilidad de sus datos! Si permite el acceso de alguien, entonces no puede quejarse si se explota.

Como respuesta directa a la pregunta publicada; a partir de hoy, NO, no es posible determinar si alguien ha eliminado y simplemente copiado sus archivos.

Gracias a todos por escuchar.

user91507
fuente
2

Muchas computadoras nuevas permiten proteger con contraseña el propio disco duro. Sería una configuración de BIOS. La protección se aplica a través de la electrónica de la unidad, por lo que el acceso se denegará en otra máquina.

Tenga en cuenta que el cifrado, aunque es una buena idea si necesita hacerlo, también le impediría recuperarse de muchos problemas informáticos. Y si el disco duro comienza a fallar, nunca podrá recuperar sus archivos desde un disco encriptado. Así que asegúrate de que tienes buenas copias de seguridad. Y una imagen de disco de un disco encriptado todavía está encriptada y puede ser restaurada a una nueva unidad si es necesario.

El EFS incorporado (Sistema de archivos de cifrado) de Windows se puede utilizar para archivos y carpetas individuales. Y la herramienta de cifrado gratuita de Windows BitLocker puede cifrar una unidad completa.

Abraxas
fuente
Eso es incorrecto: con TrueCrypt se genera un CD de recuperación en el momento del cifrado, y TrueCrypt puede montar la unidad desde otra computadora (siempre que se use la contraseña / clave correcta). TrueCrypt, de hecho, puede cifrar particiones específicas o un disco duro completo (que abarca todas las particiones).
Randolf Richardson
1
No me siento cómodo usando BitLocker porque no es de código abierto (TrueCrypt es de código abierto), por lo que no tengo una forma confiable de saber con certeza si hay una "característica de puerta trasera". Aquí hay un artículo interesante sobre un conjunto de herramientas de hacking de Microsoft (destinado a las autoridades policiales; me pregunto si ya está en Pirate Bay?) Que también se refiere a BitLocker: betanews.com/article/…
Randolf Richardson
@Randolf: Creo que Abraxas está hablando del cifrado de BIOS. Sin embargo, creo que si el BIOS es compatible con los comandos de cifrado de la unidad, un BIOS en otra computadora descifrará la unidad también siempre que proporcione la contraseña de BIOS idéntica.
Zan Lynx
@Zan Lynx: El primer párrafo trata sobre la protección de contraseña, el segundo párrafo trata sobre el cifrado de datos, y el tercer párrafo sugiere el uso de dos productos patentados de cifrado de datos como posibles soluciones. Respondí a los puntos sobre el cifrado de datos, que son, esencialmente, respuestas a los párrafos segundo y tercero.
Randolf Richardson
1
@Zan Lynx: Eso no era obvio para mí (quizás deberían haberse combinado como un solo párrafo en ese momento, o debería haberse usado la frase "cifrado basado en contraseña" en lugar de "protección de contraseña"). Tenga en cuenta también que estoy de acuerdo con su primer comentario sobre una BIOS en otra computadora que descifre la unidad (obviamente, usar la misma marca / versión o una BIOS compatible será un factor importante).
Randolf Richardson