Menentukan apakah hard disk telah dihapus dan data disalin darinya?

Apakah ada metode atau alat yang dapat mendeteksi jika seseorang telah memisahkan hard disk saya dari komputer saya, menyalin data darinya, dan mengembalikannya?

Saya ingin memastikan bahwa tidak ada yang melakukan ini tanpa sepengetahuan saya, tetapi saya tidak yakin bagaimana melakukannya.

• Catatan: Saya menggunakan Deep freeze.

Penggunaan deep freeze tidak relevan dalam situasi ini.

Jika mereka semi kompeten, mereka akan menggunakan antarmuka hanya baca.

Stempel waktu akses terakhir hanya akan diubah jika mereka menggunakan antarmuka baca dan tulis. Mematikan antarmuka tulis itu sepele. Inilah yang dilakukan forensik. Mereka tidak pernah memasukkan drive asli ke antarmuka baca / tulis. Selalu di baca saja. Kemudian mereka membuat salinan yang berfungsi. Semua tanpa mengubah sedikit pun pada drive asli.

Taruhan terbaik Anda menggunakan enkripsi disk seperti Bitlocker atau TrueCrypt.

edit:

terima kasih banyak, tetapi bisakah Anda menjelaskan lebih lanjut apa yang Anda maksud dengan antarmuka baca dan tulis?

Perangkat seperti ini . . .

Mereka secara fisik memblokir akses tulis ke drive. Sering digunakan dalam forensik / pemulihan HD untuk alasan hukum dan praktis, seperti kasus Amanda Knox.

Semua orang tampaknya akan melakukan enkripsi cakram penuh, yang tentunya memiliki manfaat untuk mengamankan data Anda tetapi tidak menjawab pertanyaan untuk mengetahui apakah seseorang telah berada di mesin Anda dan sedang mengompol dengan cakram keras Anda.

Untuk tugas sederhana itu, temukan sebungkus label polos yang menjengkelkan yang, setelah macet, robek bukannya lepas dengan rapi, tandatangani nama Anda di atasnya dan tempelkan pada salah satu sekrup yang menahan hdd di tempatnya (jangan lupa untuk bersihkan debu terlebih dahulu untuk ikatan yang baik). Tidak cukup pada skala yang sama dengan produsen merusak segel yang jelas tetapi harus membuktikan cukup untuk mencegah orang melepaskan hard drive tanpa sepengetahuan Anda. Ini berarti mereka harus memecahkan label yang mengingatkan Anda akan fakta, atau menarik kabel dari hard drive kemudian memasangnya pada laptop, memaksa mereka untuk menghabiskan lebih banyak waktu dengan kasing Anda yang terbuka tampak sangat mencurigakan!

Juga ada baiknya memeriksa bagian belakang PC Anda untuk titik lampiran gembok, sederhana, cukup aman dan efektif.

Tidak satu pun yang membuatnya mustahil untuk mendapatkan data Anda, tetapi keduanya menambah tingkat ketidaknyamanan yang signifikan dan memaksa penyerang untuk bertindak secara terang-terangan (merobek label dan pemotong baut ke gembok) atau menghabiskan lebih banyak waktu untuk mengamati komputer Anda dan berisiko terdeteksi .

Untuk menemukan gangguan pada tingkat fisik , Anda dapat menggunakan sesuatu seperti Torque Seal pada perangkat keras pemasangan drive Anda atau koneksi kabel data. Ini adalah pernis yang mengering rapuh sehingga gangguan apapun akan memecahkan dan menghancurkan bola yang Anda instal pada perangkat keras. Ini digunakan untuk memastikan hal-hal seperti mur dan baut pada helikopter belum bergerak dan masih dibor ke spec.

Atribut SMART dapat membantu dalam menentukan apakah disk telah dirusak antara dua interval. Atribut ini, di Linux, dapat ditanyakan dengan "smartctl -a / dev / sda".

Atribut paling sederhana untuk itu mungkin adalah Power_Cycle_Count. Saat Anda menyalakan komputer, ini akan menjadi satu lebih dari nilai saat terakhir dimatikan. Jadi, dengan mengingat nilai ini sebelum Anda mematikan, dan memeriksanya saat Anda menyalakan berikutnya, Anda dapat menentukan apakah disk telah dinyalakan di antaranya.

Hanya sebuah pemikiran..mungkin SMART (jika tersedia) berisi beberapa informasi yang dapat digunakan.

Saya pesimis tentang pencegahan dari membaca drive, dan mengatakan, jika seseorang melakukannya, jadi saya akan menyarankan untuk menggunakan enkripsi juga. Anda masih tidak tahu apakah seseorang memang menyalin data terenkripsi, tetapi jika dia melakukannya, sulit untuk dipatahkan (harap begitu).

Sekarang, apakah penyerang pintar, terinformasi, apakah dia punya waktu, peralatan, dan uang? Trik sederhana, yang tidak akan berhasil, jika orang jahat itu membaca di sini, adalah menempelkan rambut, yang sulit dilihat, dan mudah patah, ke drive dan sasis Anda, terbaik: melintasi kabel data.

Sekarang jika seseorang menghapus drive, dia akan merusak rambut tanpa menyebutkannya. Kecuali dia membaca saran ini, dan bertindak sangat hati-hati.

Jika dia dilengkapi dengan sangat baik, tetapi Anda juga, Anda dapat mengambil rambut yang Anda lakukan tes DNA. Anda tidak mengatakan rambut siapa itu. Penyusup mungkin mengganti rambut dengan yang acak, tetapi tidak bisa menggantinya dengan rambut DNA yang tepat. Tapi mungkin dia tahu cara merekatkan rambut yang patah? Atau dia tahu cara melarutkan lem? :)

Kecuali jika Anda dapat mengingat dengan tepat bagaimana benda diletakkan di dalam komputer Anda sebelum gangguan yang diduga (memori fotografi, atau foto, adalah dua alat yang langsung muncul di benak Anda), akan sangat sulit untuk mengetahui apakah hard drive Anda dilepas. dari komputer Anda.

Catatan: Fitur intrusi chasis biasanya dapat dielakkan, jadi ini mungkin bukan metode yang paling dapat diandalkan meskipun dapat membantu.

Kemungkinannya adalah seorang penyusup yang tahu bagaimana melakukan ini mungkin juga cukup pintar untuk tidak memodifikasi disk Anda dengan cara apa pun, dan hanya menyalin file yang mereka inginkan / butuhkan, atau menyalin disk secara keseluruhan sehingga mereka dapat "menyelinap di sekitar "Pada waktu luang mereka di beberapa waktu kemudian.

Intinya adalah bahwa jika Anda benar-benar khawatir tentang seseorang yang mengakses hard drive Anda, Anda harus preventif. Jika secara fisik menghapus komputer Anda jauh dari bahaya bukanlah pilihan yang layak, maka enkripsi bekerja dengan sangat baik; ini adalah alat enkripsi disk favorit saya:

  TrueCrypt (sumber gratis dan terbuka)
  http://www.truecrypt.org/

Apa yang saya sukai dari alat ini adalah tidak adanya backdoor bawaan, jadi bahkan perintah pengadilan tidak akan didekripsi jika Anda telah mengambil langkah yang tepat untuk melindungi kunci enkripsi.

Bagaimana alat ini relevan dengan situasi Anda:

Jika hard drive Anda dienkripsi, dan penyusup menghapusnya dari komputer Anda untuk tujuan mengakses data Anda, mereka hanya akan menemukan data terenkripsi (dan, pada awalnya, Sistem Operasi kemungkinan besar akan mendeteksinya sebagai "disk tidak diinisialisasi") yang hanya terlihat seperti informasi acak untuk hampir semua orang.

Dua cara penyusup mendapatkan akses ke data Anda adalah:

1. " Tebakan beruntung " pada kata sandi Anda (jadi pilihlah yang bagus yang sulit ditebak, bahkan dengan alat penyerang kasar) atau kunci (sangat tidak mungkin, meskipun bukan sepenuhnya mustahil)

2. Anda memberikan salinan kata sandi atau kunci Anda kepada penyusup (sengaja atau tidak sengaja)

Dengan komputer rumahan rata-rata Anda (tidak ada keamanan fisik khusus), saat mesin dimatikan, tidak ada jejak yang tersisa dari aktivitas yang dilakukan dengan perangkat keras.

Jika disk dihapus dan dipasang hanya-baca, akan sangat sulit untuk mengidentifikasi ini dilakukan menggunakan perangkat lunak apa pun.

Satu-satunya hal yang terlintas dalam pikiran adalah, jika disk dapat ditulisi selama aktivitas seperti itu, dan OS host akhirnya memperbarui cap waktu pada disk (file, direktori) Anda mungkin dapat mendeteksi bahwa disk diakses secara fisik di luar sistem Anda . Ini datang dengan berbagai peringatan lain seperti, sistem lain juga memiliki waktu yang ditetapkan dengan benar (harapan yang masuk akal jika pengguna tidak memikirkan mount read-only) dan Anda tahu jendela waktu ketika sistem Anda diharapkan akan diaktifkan- bawah (karenanya, waktu akses di jendela itu dicurigai).

Agar data tersebut dapat digunakan, Anda harus memasang disk tanpa akses tulis saat 'forensik' Anda tidak selesai . Anda kemudian dapat membaca waktu akses setiap file dan direktori untuk mengidentifikasi apa yang dilihat (dibaca atau disalin).

Sekarang, jika ini untuk kemungkinan pencurian data di masa depan, akan lebih mudah untuk merencanakan ke depan - cukup enkripsi semua data penting Anda.

Bukankah kita hanya mengabaikan masalah sebenarnya di sini?

Seperti anak yang baru lahir, kita harus TIDAK PERNAH meninggalkan PC kita sendirian di area yang dapat diakses! Di mana notebook Anda sekarang? Keamanan dimulai dari kami dan bukan setelah fakta.

Data pribadi dilengkapi dengan tingkat paranoia. Jika Anda meninggalkannya di sistem Anda, maka Anda takut itu bisa dicuri. Jika data Anda sangat penting, maka, segera setelah Anda membuat / memperolehnya, hapus data itu ke perangkat penyimpanan yang aman, alias perangkat flash SD terenkripsi. Perangkat ini dapat bersamamu setiap saat.

Teknologi komputer saat ini tidak akan mendeteksi gangguan data pada perangkat penyimpanan fisik. Kurangnya keamanan inilah yang memungkinkan teknisi PC seperti saya sendiri untuk menyelamatkan data pengguna jika terjadi kerusakan virus / malware. Ketika di masa depan perangkat penyimpanan tertanam dengan program keamanan yang berjalan, maka perangkat itu sendiri akan tahu kapan telah dirusak.

Cukup bertanggung jawab atas data Anda! Jika Anda mengizinkan seseorang mengakses, maka Anda tidak dapat mengeluh jika itu dieksploitasi!

Sebagai jawaban langsung untuk pertanyaan yang diposting; pada hari ini, TIDAK, tidak mungkin untuk menentukan apakah seseorang telah menghapus dan hanya menyalin file Anda.

Terima kasih sudah mendengarkan.

Banyak komputer baru memungkinkan proteksi kata sandi hard drive itu sendiri. Ini akan menjadi pengaturan BIOS. Perlindungan ditegakkan melalui elektronik drive, sehingga akses akan ditolak pada komputer lain.

Perlu diingat bahwa enkripsi, meskipun ide yang bagus jika Anda perlu melakukannya, juga akan mencegah Anda pulih dari banyak masalah komputer. Dan jika hard drive mulai gagal, Anda tidak pernah dapat memulihkan file Anda dari disk terenkripsi. Jadi, pastikan Anda memiliki cadangan yang bagus. Dan gambar disk dari disk terenkripsi masih dienkripsi dan dapat dikembalikan ke drive baru jika perlu.

Windows built-in EFS (Encrypting File System) dapat digunakan untuk file dan folder individual. Dan alat enkripsi Windows BitLocker gratis dapat mengenkripsi seluruh drive.