Menentukan apakah hard disk telah dihapus dan data disalin darinya?

30

Apakah ada metode atau alat yang dapat mendeteksi jika seseorang telah memisahkan hard disk saya dari komputer saya, menyalin data darinya, dan mengembalikannya?

Saya ingin memastikan bahwa tidak ada yang melakukan ini tanpa sepengetahuan saya, tetapi saya tidak yakin bagaimana melakukannya.

  • Catatan: Saya menggunakan Deep freeze.
windows-xp hard-drive security encryption Anyname Donotcare
sumber
10
Dalam kasus umum, seseorang yang memiliki akses fisik ke mesin secara efektif memiliki mesin itu, Deep Freeze Faronics atau tidak. Ada hal-hal yang dapat Anda lakukan untuk membuat ini lebih sulit, tetapi saya sangat ragu mungkin untuk benar-benar menegakkannya.
Billy ONeal
3
Banyak komentator menyebutkan bahwa akses fisik cukup banyak berarti Anda kacau. Poin terkait: jika Anda menentukan bahwa seseorang telah menyentuh drive Anda secara fisik, siapa yang peduli dengan bukti bahwa mereka telah menyalin data? Asumsikan mereka punya.
Cascabel
4
Saya selalu bertanya-tanya ini setiap kali seseorang mengirim laptop mereka ke Dell atau HP. Inilah sebabnya saya tidak akan pernah mengirim laptop saya ke gudang tanpa mengeluarkan hard drive saya terlebih dahulu.
James Mertz

Jawaban:

50

Penggunaan deep freeze tidak relevan dalam situasi ini.

Jika mereka semi kompeten, mereka akan menggunakan antarmuka hanya baca.

Stempel waktu akses terakhir hanya akan diubah jika mereka menggunakan antarmuka baca dan tulis. Mematikan antarmuka tulis itu sepele. Inilah yang dilakukan forensik. Mereka tidak pernah memasukkan drive asli ke antarmuka baca / tulis. Selalu di baca saja. Kemudian mereka membuat salinan yang berfungsi. Semua tanpa mengubah sedikit pun pada drive asli.

Taruhan terbaik Anda menggunakan enkripsi disk seperti Bitlocker atau TrueCrypt.

edit:

terima kasih banyak, tetapi bisakah Anda menjelaskan lebih lanjut apa yang Anda maksud dengan antarmuka baca dan tulis?

Perangkat seperti ini . . .

Mereka secara fisik memblokir akses tulis ke drive. Sering digunakan dalam forensik / pemulihan HD untuk alasan hukum dan praktis, seperti kasus Amanda Knox.

surfasb
sumber
10
Ada perangkat keras yang dapat Anda sisipkan antara disk dan komputer untuk memblokir penulisan, untuk membuktikan di pengadilan bahwa disk tersebut benar-benar tidak rusak.
MSalters
10
Saya hanya bisa menghubungkan drive ke komputer Linux saya dan jalankan dd if=/dev/sdx of=out.img. Afaik hanya menghubungkan disk ke PC tidak akan meninggalkan jejak. Kemudian saya akan mendapatkan salinan setiap byte pada disk yang dapat saya ubah tanpa Anda sadari, karena sekarang saya memiliki salinannya sendiri.
Agustus Lilleaas
4
Pertanyaan menarik yang diajukan oleh penjawab lain lebih jauh: Apakah tindakan ini memicu waktu pengaktifan, jumlah siklus daya, dll. Nilai-nilai SMART untuk berubah - itu ditangani oleh drive secara internal, ya, bukan antarmuka? (Jelas, Anda harus tahu nilai-nilai di muka, yang tidak realistis dalam kasus acak, tetapi masih merupakan hal yang menarik)
DMA57361
4
@ DMA57361: Ya, ini akan mengubah atribut SMART.
surfasb
9
Hanya sebuah catatan yang menarik, SSD telah memberikan beberapa masalah kepada orang-orang forensik. Firmware dalam SSD akan menulis di seluruh flash setiap kali memiliki daya, terlepas dari apakah perintah tulis dikirim atau tidak. Forex: jika perintah terakhir yang diterima adalah TRIM dari segalanya, SSD akan sibuk nol blok untuk digunakan di masa depan bahkan jika itu segera dimatikan.
Zan Lynx
36

Semua orang tampaknya akan melakukan enkripsi cakram penuh, yang tentunya memiliki manfaat untuk mengamankan data Anda tetapi tidak menjawab pertanyaan untuk mengetahui apakah seseorang telah berada di mesin Anda dan sedang mengompol dengan cakram keras Anda.

Untuk tugas sederhana itu, temukan sebungkus label polos yang menjengkelkan yang, setelah macet, robek bukannya lepas dengan rapi, tandatangani nama Anda di atasnya dan tempelkan pada salah satu sekrup yang menahan hdd di tempatnya (jangan lupa untuk bersihkan debu terlebih dahulu untuk ikatan yang baik). Tidak cukup pada skala yang sama dengan produsen merusak segel yang jelas tetapi harus membuktikan cukup untuk mencegah orang melepaskan hard drive tanpa sepengetahuan Anda. Ini berarti mereka harus memecahkan label yang mengingatkan Anda akan fakta, atau menarik kabel dari hard drive kemudian memasangnya pada laptop, memaksa mereka untuk menghabiskan lebih banyak waktu dengan kasing Anda yang terbuka tampak sangat mencurigakan!

Juga ada baiknya memeriksa bagian belakang PC Anda untuk titik lampiran gembok, sederhana, cukup aman dan efektif.

Tidak satu pun yang membuatnya mustahil untuk mendapatkan data Anda, tetapi keduanya menambah tingkat ketidaknyamanan yang signifikan dan memaksa penyerang untuk bertindak secara terang-terangan (merobek label dan pemotong baut ke gembok) atau menghabiskan lebih banyak waktu untuk mengamati komputer Anda dan berisiko terdeteksi .

Robb
sumber
1
Ini adalah metode yang sangat keren, dan saya akan melakukannya di masa depan, tetapi bagaimana dengan sekarang. Apakah ada cara untuk memastikan apakah seseorang telah menyalin data saya. (Footprints).
Anyname Donotcare
12
Seperti kata surfasb, kecuali penyusup hipotetis Anda cukup bodoh untuk menulis ke drive, tidak ada cara yang dapat diandalkan untuk mendeteksi bacaan dari itu.
CarlF
6
Sebagai tambahan dari apa yang dikatakan @CarlF: Jika penyusup itu menulisnya, maka Anda harus berharap bahwa Anda belum menulisnya sejak itu, atau akan menjadi lebih sulit untuk menemukan jejak (lebih sulit atau bahkan tidak mungkin dalam beberapa kasus).
Joachim Sauer
14
Penempatan stiker Anda akan sia-sia ketika seseorang datang dengan kabel dan hanya memasukkan drive ke pembaca disk tanpa melepaskan drive dari mesin atau menyentuh sekrup! Anda harus mengamankan kabel ke drive dan motherboard juga.
Caleb
5
@ Robb: Dan mencabutnya dengan obeng tidak jelas? Dalam waktu sekitar satu jam saya dapat membuat duplikator disk kecil menggunakan papan yang tertanam di meja saya yang dapat dimasukkan ke dalam mesin dan dihubungkan ke kabel HD (dan listrik), dibiarkan selama beberapa jam tanpa disadari, kemudian diambil. Akses fisik pada dasarnya tidak aman jika data Anda tidak dienkripsi .
Caleb
30

Untuk menemukan gangguan pada tingkat fisik , Anda dapat menggunakan sesuatu seperti Torque Seal pada perangkat keras pemasangan drive Anda atau koneksi kabel data. Ini adalah pernis yang mengering rapuh sehingga gangguan apapun akan memecahkan dan menghancurkan bola yang Anda instal pada perangkat keras. Ini digunakan untuk memastikan hal-hal seperti mur dan baut pada helikopter belum bergerak dan masih dibor ke spec.

yhw42
sumber
Solusi keren (+1)! Setiap teknisi harus memiliki ini di toolkit mereka! = P
Randolf Richardson
1
@ Randolf Richardson: Bagus, tetapi karena kontrol akses fisik yang saya lihat berada di tingkat ruang server (pintu adalah teknologi yang agak matang, dan dengan demikian akses menjadi lebih mudah untuk ditangani - ya, manajemen kunci adalah masalah yang jelas), ini mungkin pertahanan yang bagus secara mendalam, tetapi bukan peningkatan yang signifikan dalam keamanan - sedikit berlebihan, jadi untuk berbicara. Untuk workstation - ini membutuhkan kewaspadaan abadi dari pihak pengguna.
Piskvor
@Piskvor: Saya benar-benar berpikir di sepanjang garis solusi ini menjadi jauh lebih tidak bernilai jika setiap teknisi memilikinya di toolkit mereka (dan bertanya-tanya apakah orang yang berpikiran keamanan mungkin mengambil itu, tapi mungkin saya terlalu halus - my kesalahan, maaf), maka emoticon lidah mencuat. +1 untuk Anda karena menunjukkan beberapa informasi penting.
Randolf Richardson
25

Atribut SMART dapat membantu dalam menentukan apakah disk telah dirusak antara dua interval. Atribut ini, di Linux, dapat ditanyakan dengan "smartctl -a / dev / sda".

Atribut paling sederhana untuk itu mungkin adalah Power_Cycle_Count. Saat Anda menyalakan komputer, ini akan menjadi satu lebih dari nilai saat terakhir dimatikan. Jadi, dengan mengingat nilai ini sebelum Anda mematikan, dan memeriksanya saat Anda menyalakan berikutnya, Anda dapat menentukan apakah disk telah dinyalakan di antaranya.

Ambroz Bizjak
sumber
2
Ini perlu diantisipasi. Anda tidak dapat meminta drive kembali pada waktunya.
Thorbjørn Ravn Andersen
5
Ini adalah penulisan internal, di mana disk menjaga keadaan operasi terlepas dari apakah antarmuka tulis yang sebenarnya telah diaktifkan (yaitu bahkan dalam mode read-only) - Saya pikir ini cara yang cukup cerdas, tetapi perlu langkah tambahan penyimpanan siklus daya diperhitungkan untuk disk off-box
Soren
Seorang penyusup yang mengetahui aspek level rendah dari teknologi SMART mungkin dapat merusak penghitung internal. Saya berasumsi ini sangat tidak mungkin.
Randolf Richardson
3
Sangat sulit untuk memodifikasi penghitung SMART. Sebagian besar waktu ini akan melibatkan memuat kode firmware hard drive baru. Bahkan kemudian, hanya sedikit dari counter yang direset (oleh permintaan pembeli hard drive besar tertentu). Jika Anda memiliki penghitung yang relevan yang dapat Anda interpretasikan dengan benar, ini akan memberi tahu Anda berapa kali drive telah dinyalakan / diputar. SMART akan meningkatkan POWER_CYCLE_COUNT bahkan dalam kasus di mana Anda menyalakan drive dan tidak menghubungkan apa pun di antarmuka, setidaknya di semua implementasi waras.
user11934
12

Hanya sebuah pemikiran..mungkin SMART (jika tersedia) berisi beberapa informasi yang dapat digunakan.

Iuliu Atudosiei
sumber
1
+1, ini adalah garis pemikiran saya juga.
Sirex
7

Saya pesimis tentang pencegahan dari membaca drive, dan mengatakan, jika seseorang melakukannya, jadi saya akan menyarankan untuk menggunakan enkripsi juga. Anda masih tidak tahu apakah seseorang memang menyalin data terenkripsi, tetapi jika dia melakukannya, sulit untuk dipatahkan (harap begitu).

Sekarang, apakah penyerang pintar, terinformasi, apakah dia punya waktu, peralatan, dan uang? Trik sederhana, yang tidak akan berhasil, jika orang jahat itu membaca di sini, adalah menempelkan rambut, yang sulit dilihat, dan mudah patah, ke drive dan sasis Anda, terbaik: melintasi kabel data.

Sekarang jika seseorang menghapus drive, dia akan merusak rambut tanpa menyebutkannya. Kecuali dia membaca saran ini, dan bertindak sangat hati-hati.

Jika dia dilengkapi dengan sangat baik, tetapi Anda juga, Anda dapat mengambil rambut yang Anda lakukan tes DNA. Anda tidak mengatakan rambut siapa itu. Penyusup mungkin mengganti rambut dengan yang acak, tetapi tidak bisa menggantinya dengan rambut DNA yang tepat. Tapi mungkin dia tahu cara merekatkan rambut yang patah? Atau dia tahu cara melarutkan lem? :)

Pengguna tidak diketahui
sumber
+1 untuk "rambut membelah." ;-D Menempatkan rambut kembali ke posisi semula, meskipun rusak, masih bisa menjadi titik kebingungan bagi pemilik aslinya karena mereka mungkin bertanya-tanya apakah mereka secara tidak sengaja merusak rambut, tetapi penjelasan Anda mencakup masalah dengan sangat baik.
Randolf Richardson
6

Kecuali jika Anda dapat mengingat dengan tepat bagaimana benda diletakkan di dalam komputer Anda sebelum gangguan yang diduga (memori fotografi, atau foto, adalah dua alat yang langsung muncul di benak Anda), akan sangat sulit untuk mengetahui apakah hard drive Anda dilepas. dari komputer Anda.

Catatan: Fitur intrusi chasis biasanya dapat dielakkan, jadi ini mungkin bukan metode yang paling dapat diandalkan meskipun dapat membantu.

Kemungkinannya adalah seorang penyusup yang tahu bagaimana melakukan ini mungkin juga cukup pintar untuk tidak memodifikasi disk Anda dengan cara apa pun, dan hanya menyalin file yang mereka inginkan / butuhkan, atau menyalin disk secara keseluruhan sehingga mereka dapat "menyelinap di sekitar "Pada waktu luang mereka di beberapa waktu kemudian.

Intinya adalah bahwa jika Anda benar-benar khawatir tentang seseorang yang mengakses hard drive Anda, Anda harus preventif. Jika secara fisik menghapus komputer Anda jauh dari bahaya bukanlah pilihan yang layak, maka enkripsi bekerja dengan sangat baik; ini adalah alat enkripsi disk favorit saya:

  TrueCrypt (sumber gratis dan terbuka)
  http://www.truecrypt.org/

Apa yang saya sukai dari alat ini adalah tidak adanya backdoor bawaan, jadi bahkan perintah pengadilan tidak akan didekripsi jika Anda telah mengambil langkah yang tepat untuk melindungi kunci enkripsi.

Bagaimana alat ini relevan dengan situasi Anda:

Jika hard drive Anda dienkripsi, dan penyusup menghapusnya dari komputer Anda untuk tujuan mengakses data Anda, mereka hanya akan menemukan data terenkripsi (dan, pada awalnya, Sistem Operasi kemungkinan besar akan mendeteksinya sebagai "disk tidak diinisialisasi") yang hanya terlihat seperti informasi acak untuk hampir semua orang.

Dua cara penyusup mendapatkan akses ke data Anda adalah:

  1. " Tebakan beruntung " pada kata sandi Anda (jadi pilihlah yang bagus yang sulit ditebak, bahkan dengan alat penyerang kasar) atau kunci (sangat tidak mungkin, meskipun bukan sepenuhnya mustahil)

  2. Anda memberikan salinan kata sandi atau kunci Anda kepada penyusup (sengaja atau tidak sengaja)

Randolf Richardson
sumber
2
en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
LawrenceC
6

Dengan komputer rumahan rata-rata Anda (tidak ada keamanan fisik khusus), saat mesin dimatikan, tidak ada jejak yang tersisa dari aktivitas yang dilakukan dengan perangkat keras.

Jika disk dihapus dan dipasang hanya-baca, akan sangat sulit untuk mengidentifikasi ini dilakukan menggunakan perangkat lunak apa pun.

Satu-satunya hal yang terlintas dalam pikiran adalah, jika disk dapat ditulisi selama aktivitas seperti itu, dan OS host akhirnya memperbarui cap waktu pada disk (file, direktori) Anda mungkin dapat mendeteksi bahwa disk diakses secara fisik di luar sistem Anda . Ini datang dengan berbagai peringatan lain seperti, sistem lain juga memiliki waktu yang ditetapkan dengan benar (harapan yang masuk akal jika pengguna tidak memikirkan mount read-only) dan Anda tahu jendela waktu ketika sistem Anda diharapkan akan diaktifkan- bawah (karenanya, waktu akses di jendela itu dicurigai).

Agar data tersebut dapat digunakan, Anda harus memasang disk tanpa akses tulis saat 'forensik' Anda tidak selesai . Anda kemudian dapat membaca waktu akses setiap file dan direktori untuk mengidentifikasi apa yang dilihat (dibaca atau disalin).

Sekarang, jika ini untuk kemungkinan pencurian data di masa depan, akan lebih mudah untuk merencanakan ke depan - cukup enkripsi semua data penting Anda.

nik
sumber
Maksud Anda, jika waktu windows telah berubah, ini berarti bahwa seseorang dapat memisahkan hard disk saya ..
Anyname Donotcare
2
Tidak, itu berarti stempel waktu terakhir diakses dari suatu file akan diperbarui jika diakses. Selain itu, file lain berpotensi dibuat, dimodifikasi, atau dihapus oleh sistem operasi ketika mereka menginstalnya di sistem lain. Tentu saja jika seseorang akan kesulitan menyelinap keluar drive dan menginstalnya di sistem lain untuk mencuri data, mereka mungkin akan menghindari masalah ini.
Synetech
saya menggunakan aplikasi pembekuan dalam apakah ini mengubah faktor-faktor itu? dan dari tiga hari saya menemukan jam windows saya telah berubah, apakah ini terkait dengan mengatasi data saya?
Anyname Donotcare
Catatan: hard disk saya bukan hard disk eksternal.
Anyname Donotcare
9
Stempel waktu yang terakhir diakses tidak akan berubah jika mereka menggunakan driver sistem file khusus atau antarmuka hanya baca, keduanya mungkin. Pembekuan yang dalam tidak akan mengubah apa pun. Mereka mengajarkan Anda dalam keamanan TI bahwa "Jika orang jahat memiliki akses fisik ke komputer Anda, itu bukan lagi komputer Anda."
surfasb
3

Bukankah kita hanya mengabaikan masalah sebenarnya di sini?

Seperti anak yang baru lahir, kita harus TIDAK PERNAH meninggalkan PC kita sendirian di area yang dapat diakses! Di mana notebook Anda sekarang? Keamanan dimulai dari kami dan bukan setelah fakta.

Data pribadi dilengkapi dengan tingkat paranoia. Jika Anda meninggalkannya di sistem Anda, maka Anda takut itu bisa dicuri. Jika data Anda sangat penting, maka, segera setelah Anda membuat / memperolehnya, hapus data itu ke perangkat penyimpanan yang aman, alias perangkat flash SD terenkripsi. Perangkat ini dapat bersamamu setiap saat.

Teknologi komputer saat ini tidak akan mendeteksi gangguan data pada perangkat penyimpanan fisik. Kurangnya keamanan inilah yang memungkinkan teknisi PC seperti saya sendiri untuk menyelamatkan data pengguna jika terjadi kerusakan virus / malware. Ketika di masa depan perangkat penyimpanan tertanam dengan program keamanan yang berjalan, maka perangkat itu sendiri akan tahu kapan telah dirusak.

Cukup bertanggung jawab atas data Anda! Jika Anda mengizinkan seseorang mengakses, maka Anda tidak dapat mengeluh jika itu dieksploitasi!

Sebagai jawaban langsung untuk pertanyaan yang diposting; pada hari ini, TIDAK, tidak mungkin untuk menentukan apakah seseorang telah menghapus dan hanya menyalin file Anda.

Terima kasih sudah mendengarkan.

pengguna91507
sumber
2

Banyak komputer baru memungkinkan proteksi kata sandi hard drive itu sendiri. Ini akan menjadi pengaturan BIOS. Perlindungan ditegakkan melalui elektronik drive, sehingga akses akan ditolak pada komputer lain.

Perlu diingat bahwa enkripsi, meskipun ide yang bagus jika Anda perlu melakukannya, juga akan mencegah Anda pulih dari banyak masalah komputer. Dan jika hard drive mulai gagal, Anda tidak pernah dapat memulihkan file Anda dari disk terenkripsi. Jadi, pastikan Anda memiliki cadangan yang bagus. Dan gambar disk dari disk terenkripsi masih dienkripsi dan dapat dikembalikan ke drive baru jika perlu.

Windows built-in EFS (Encrypting File System) dapat digunakan untuk file dan folder individual. Dan alat enkripsi Windows BitLocker gratis dapat mengenkripsi seluruh drive.

Abraxas
sumber
Itu salah - dengan TrueCrypt, CD pemulihan dihasilkan pada saat enkripsi, dan drive dapat dipasang oleh TrueCrypt yang diinstal dari komputer lain (selama kata sandi / kunci yang benar digunakan). TrueCrypt, pada kenyataannya, dapat mengenkripsi partisi tertentu atau seluruh hard drive (mencakup semua partisi).
Randolf Richardson
1
Saya tidak nyaman menggunakan BitLocker karena itu bukan open source (TrueCrypt adalah open source), dan jadi saya tidak memiliki cara yang dapat diandalkan untuk mengetahui dengan pasti jika "fitur backdoor" ada. Berikut ini adalah artikel yang menarik tentang toolkit peretasan dari Microsoft (dimaksudkan untuk penegakan hukum; Saya ingin tahu apakah ini sudah ada di Pirate Bay?) Yang juga menyentuh BitLocker: betanews.com/article/…
Randolf Richardson
@ Randolf: Saya pikir Abraxas berbicara tentang enkripsi BIOS. Namun, saya pikir jika BIOS mendukung perintah enkripsi drive sama sekali, BIOS di komputer lain akan mendekripsi drive juga selama Anda memberikan kata sandi BIOS yang sama.
Zan Lynx
@ Zan Lynx: Paragraf pertama adalah tentang perlindungan kata sandi, paragraf kedua adalah tentang enkripsi data, dan paragraf ketiga menyarankan penggunaan dua produk enkripsi data hak milik sebagai solusi yang memungkinkan. Saya menanggapi poin-poin tentang enkripsi data, yang pada dasarnya adalah tanggapan terhadap paragraf kedua dan ketiga.
Randolf Richardson
1
@ Zan Lynx: Itu tidak jelas bagi saya (mungkin mereka seharusnya digabungkan sebagai satu paragraf saja, atau frasa "enkripsi berbasis kata sandi" seharusnya digunakan alih-alih "melindungi kata sandi?"). Harap perhatikan juga bahwa saya setuju dengan komentar pertama Anda tentang BIOS di komputer lain yang mendekripsi drive (jelas menggunakan merek / versi yang sama atau BIOS yang kompatibel akan menjadi faktor penting).
Randolf Richardson