Bestimmen, ob eine Festplatte entfernt und Daten von ihr kopiert wurden?

Gibt es eine Methode oder ein Tool, mit dem festgestellt werden kann, ob meine Festplatte von meinem Computer getrennt, Daten kopiert und zurückgesendet wurden?

Ich möchte sicher sein, dass niemand dies ohne mein Wissen getan hat, aber ich bin mir nicht sicher, wie ich das anstellen soll.

• Anmerkung: Ich benutze Deep freeze.

Die Verwendung von Tiefkühlung ist in dieser Situation unerheblich.

Wenn sie halb kompetent sind, verwenden sie eine Nur-Lese-Schnittstelle.

Der Zeitstempel des letzten Zugriffs wird nur geändert, wenn eine Lese- und Schreibschnittstelle verwendet wird. Das Ausschalten der Schreibschnittstelle ist trivial. Das macht die Forensik. Sie stellen niemals ein Originallaufwerk in eine Lese- / Schreibschnittstelle. Immer schreibgeschützt. Dann machen sie eine Arbeitskopie. Alles ohne ein einziges Bit auf dem ursprünglichen Laufwerk zu verändern.

Am besten verwenden Sie eine Festplattenverschlüsselung wie Bitlocker oder TrueCrypt.

bearbeiten:

vielen dank, aber könntest du bitte näher erläutern, was du mit schreib- und leseschnittstelle meinst ??

Geräte wie diese . . .

Sie blockieren physisch den Schreibzugriff auf ein Laufwerk. Wird häufig in der Forensik / HD-Wiederherstellung aus rechtlichen und praktischen Gründen verwendet, z. B. im Fall Amanda Knox.

Anscheinend streben alle nach einer vollständigen Datenträgerverschlüsselung, was sicherlich Vorteile für die Sicherung Ihrer Daten hat, sich jedoch nicht mit der Frage befasst, ob sich jemand auf Ihrem Computer befunden hat und mit Ihrer Festplatte herumalbern möchte.

Suchen Sie sich für diese einfache Aufgabe eine Packung der irritierend klebrigen, einfachen Etiketten, die, sobald sie aufgeklebt sind, reißen, anstatt sich sauber zu lösen, Ihren Namen darauf schreiben und über eine der Schrauben stecken, mit denen Ihre Festplatte befestigt ist (vergessen Sie nicht, dies zu tun) Reinigen Sie den Staub zuerst, um eine gute Haftung zu erzielen. Nicht ganz so groß wie die Originalitätssiegel des Herstellers, sollte aber ausreichen, um zu verhindern, dass jemand die Festplatte ohne Ihr Wissen entfernt. Dies bedeutet, dass sie entweder das Etikett aufbrechen müssen, um Sie darauf aufmerksam zu machen, oder die Kabel von der Festplatte abziehen und dann auf einem Laptop anbringen müssen, um mehr Zeit mit dem Öffnen Ihres Gehäuses zu verbringen und dabei sehr verdächtig auszusehen!

Es lohnt sich auch, auf der Rückseite Ihres PCs nach einem Befestigungspunkt für ein Vorhängeschloss zu suchen, der einfach, ziemlich sicher und effektiv ist.

Beides macht es nicht unmöglich, auf Ihre Daten zuzugreifen, aber beide verursachen erhebliche Unannehmlichkeiten und zwingen den Angreifer, entweder unauffällig zu handeln (Etiketten und Bolzenschneider an das Vorhängeschloss zu reißen) oder viel mehr Zeit mit dem Affen mit Ihrem PC zu verbringen und das Risiko der Entdeckung .

Um herauszufinden , bei einer Manipulation physikalischen Ebene, könnten Sie so etwas wie verwenden Drehmoment Seal auf dem Laufwerk der Montage - Hardware oder Datenkabelverbindung. Es ist ein Lack, der spröde trocknet, so dass jede Manipulation den Globus, den Sie auf der Hardware installiert haben, knacken und zerbrechen kann. Es wird verwendet, um sicherzustellen, dass sich Dinge wie Schrauben und Muttern an Hubschraubern nicht bewegt haben und immer noch nach Spezifikation angezogen sind.

SMART-Attribute können dazu beitragen, festzustellen, ob die Festplatte zwischen zwei Intervallen manipuliert wurde. Diese Attribute können unter Linux mit "smartctl -a / dev / sda" abgefragt werden.

Das einfachste Attribut dafür ist wahrscheinlich Power_Cycle_Count. Wenn Sie den Computer einschalten, ist dies einer mehr als der Wert, als er zuletzt heruntergefahren wurde. Wenn Sie sich diesen Wert merken, bevor Sie das System herunterfahren, und ihn beim nächsten Einschalten überprüfen, können Sie feststellen, ob die Festplatte zwischenzeitlich eingeschaltet wurde.

Nur ein Gedanke. Vielleicht enthält SMART (falls verfügbar) einige Informationen, die verwendet werden können.

Ich bin pessimistisch, wenn es darum geht, zu verhindern, dass das Laufwerk gelesen wird, und zu sagen, wenn jemand dies tut, würde ich empfehlen, auch Verschlüsselung zu verwenden. Sie wissen immer noch nicht, ob jemand die verschlüsselten Daten kopiert hat, aber wenn ja, ist es schwer zu brechen (ich hoffe es).

Ist der Angreifer nun schlau, informiert, hat er Zeit, Ausrüstung und Geld? Ein einfacher Trick, der nicht funktioniert, wenn der Bösewicht hier liest, besteht darin, ein Haar, das schwer zu erkennen und leicht zu brechen ist, über das Datenkabel an Laufwerk und Gehäuse zu kleben.

Wenn jemand das Laufwerk entfernt, bricht er das Haar, ohne es zu erwähnen. Außer er hat diesen Rat gelesen und handelt sehr vorsichtig.

Wenn er gut ausgerüstet ist, aber Sie auch, können Sie ein Haar nehmen, an dem Sie einen DNA-Test durchführen. Du sagst nicht, wem die Haare gehören. Der Eindringling ersetzt das Haar möglicherweise durch ein zufälliges, kann es jedoch nicht durch ein Haar mit der richtigen DNA ersetzen. Aber vielleicht weiß er, wie man gebrochene Haare zusammenklebt? Oder weiß er, wie man den Kleber auflöst? :)

Wenn Sie sich nicht genau daran erinnern können, wie sich die Dinge vor dem mutmaßlichen Eindringen in Ihren Computer befunden haben (ein fotografisches Gedächtnis oder ein Foto sind zwei solche Tools, die sofort in den Sinn kommen), ist es sehr schwierig zu erkennen, ob Ihre Festplatte entfernt wurde von deinem Computer.

Hinweis: Gehäuseeingriffsfunktionen können normalerweise umgangen werden. Dies ist möglicherweise auch nicht die zuverlässigste Methode, obwohl dies hilfreich sein kann.

Es besteht die Möglichkeit, dass ein Angreifer, der dies weiß, auch schlau genug ist, um Ihre Festplatte in keiner Weise zu ändern und entweder nur die gewünschten / benötigten Dateien zu kopieren oder die Festplatte vollständig zu kopieren, damit er "herumschnüffeln" kann "in ihrer Freizeit zu einem späteren Zeitpunkt.

Unter dem Strich müssen Sie vorbeugend vorgehen, wenn Sie wirklich Bedenken haben, dass jemand auf Ihre Festplatte zugreift. Wenn es nicht sinnvoll ist, Ihren Computer physisch von der Gefahr zu entfernen, funktioniert die Verschlüsselung sehr gut. Dies ist mein Lieblingswerkzeug für die Festplattenverschlüsselung:

  TrueCrypt (kostenlos und Open Source)
  http://www.truecrypt.org/

Was mir an diesem Tool besonders gefällt, ist, dass es keine eingebaute Hintertür gibt, sodass selbst bei einem Gerichtsbeschluss keine Entschlüsselung erfolgt, wenn Sie die richtigen Schritte zum Schutz des Verschlüsselungsschlüssels unternommen haben.

Wie dieses Tool für Ihre Situation relevant ist:

Wenn Ihre Festplatte verschlüsselt ist und der Angreifer sie zum Zugriff auf Ihre Daten von Ihrem Computer entfernt, werden nur verschlüsselte Daten gefunden (und das Betriebssystem erkennt sie höchstwahrscheinlich als "nicht initialisierte Festplatte") sieht einfach aus wie zufällige Informationen für fast jeden.

Der Eindringling hat zwei Möglichkeiten, auf Ihre Daten zuzugreifen:

1. Eine " glückliche Vermutung " Ihres Passworts (wählen Sie also ein gutes Passwort aus, das selbst mit einem Brute-Force-Angriffstool schwer zu erraten ist) oder einen Schlüssel (höchst unwahrscheinlich, wenn auch nicht völlig unmöglich)

2. Sie haben dem Eindringling (absichtlich oder unbeabsichtigt) eine Kopie Ihres Passworts oder Schlüssels zur Verfügung gestellt.

Bei einem durchschnittlichen Heimcomputer (keine besondere physische Sicherheit) ist beim Herunterfahren des Computers keine Spur von Aktivitäten mit der Hardware mehr vorhanden.

Wenn die Festplatte entfernt und schreibgeschützt bereitgestellt wird, ist es sehr schwierig, dies mit einer Software festzustellen.

Das Einzige, was Ihnen in den Sinn kommt, ist, dass Sie möglicherweise feststellen können, dass auf die Festplatte außerhalb Ihres Systems physisch zugegriffen wurde, wenn die Festplatte während einer solchen Aktivität beschreibbar war und das Host-Betriebssystem Zeitstempel auf der Festplatte (Dateien, Verzeichnisse) aktualisiert hat . Dies ist mit verschiedenen anderen Vorbehalten verbunden, z. B. dass die Zeit des anderen Systems korrekt eingestellt wurde (eine angemessene Erwartung, wenn der Benutzer nicht an ein schreibgeschütztes Mount dachte) und Sie das Zeitfenster kennen, in dem erwartet wurde, dass Ihr System mit Strom versorgt wird. down (daher sind die Zugriffszeiten in diesem Fenster verdächtig).

Damit solche Daten verwendet werden können, müssen Sie den Datenträger ohne Schreibzugriff bereitstellen, während Ihre "Forensik" nicht abgeschlossen ist . Sie können dann möglicherweise die Zugriffszeiten einzelner Dateien und Verzeichnisse lesen, um festzustellen, was angezeigt (gelesen oder kopiert) wurde.

Wenn dies für eine zukünftige Möglichkeit des Datendiebstahls vorgesehen ist, ist die Vorausplanung erheblich einfacher - verschlüsseln Sie einfach alle Ihre kritischen Daten.

Umgehen wir hier nicht einfach das eigentliche Problem?

Wie ein neugeborenes Kind sollten wir unseren PC NIEMALS in einem frei zugänglichen Bereich alleine lassen! Wo ist dein Notebook jetzt? Sicherheit beginnt bei uns und nicht hinterher.

Personenbezogene Daten sind mit einer gewissen Paranoia verbunden. Wenn Sie es auf Ihrem System belassen, haben Sie Angst, dass es gestohlen wird. Wenn Ihre Daten so wichtig sind, entfernen Sie sie, sobald Sie sie erstellt / erfasst haben, auf einem sicheren Speichergerät, einem verschlüsselten SD-Flash-Gerät. Dieses Gerät kann dann jederzeit bei Ihnen sein.

Aktuelle Computertechnologie erkennt keine Manipulation der Daten auf einem physischen Speichergerät. Dieser Mangel an Sicherheit ermöglicht es PC-Technikern wie mir, Benutzerdaten im Falle eines Virus- / Malware-Schadens zu retten. Wenn in Zukunft Speichergeräte in ein laufendes Sicherheitsprogramm eingebettet werden, weiß das Gerät selbst, wann es manipuliert wurde.

Übernehmen Sie einfach die Verantwortung für Ihre Daten! Wenn Sie jemandem den Zugriff erlauben, können Sie sich nicht beschweren, wenn es ausgenutzt wird!

Als direkte Antwort auf die gestellte Frage; Ab heute ist es nicht möglich festzustellen, ob jemand Ihre Dateien entfernt und einfach kopiert hat.

Vielen Dank fürs Zuhören.

Viele neue Computer ermöglichen es, die Festplatte selbst durch ein Kennwort zu schützen. Es wäre eine BIOS-Einstellung. Der Schutz wird durch die Elektronik des Laufwerks erzwungen, sodass der Zugriff auf einen anderen Computer verweigert wird.

Denken Sie daran, dass die Verschlüsselung, obwohl eine gute Idee, wenn Sie dies tun müssen, auch verhindern würde, dass Sie in der Lage sind, viele Computerprobleme zu beheben. Und wenn die Festplatte ausfällt, können Sie Ihre Dateien niemals von einer verschlüsselten Festplatte wiederherstellen. Stellen Sie also sicher, dass Sie gute Backups haben. Ein Festplatten-Image einer verschlüsselten Festplatte ist weiterhin verschlüsselt und kann bei Bedarf auf einem neuen Laufwerk wiederhergestellt werden.

Das in Windows integrierte EFS (Encrypting File System) kann für einzelne Dateien und Ordner verwendet werden. Mit dem kostenlosen Windows BitLocker-Verschlüsselungstool kann ein ganzes Laufwerk verschlüsselt werden.