Déterminer si un disque dur a été retiré et des données copiées à partir de celui-ci?

Existe-t-il une méthode ou un outil qui peut détecter si quelqu'un a séparé mon disque dur de mon ordinateur, copié des données et retourné?

Je veux être sûr que personne n'a fait cela à mon insu, mais je ne sais pas comment faire.

• Remarque: j'utilise Deep freeze.

L'utilisation de la surgélation n'est pas pertinente dans cette situation.

S'ils sont semi-compétents, ils utiliseront une interface en lecture seule.

Le dernier horodatage d'accès ne sera modifié que s'ils utilisent une interface de lecture et d'écriture. Désactiver l'interface d'écriture est trivial. C'est ce que fait la médecine légale. Ils n'ont jamais mis un lecteur d'origine dans une interface de lecture / écriture. Toujours en lecture seule. Ensuite, ils font une copie de travail. Le tout sans altérer un seul bit sur le lecteur d'origine.

Votre meilleur pari est d'utiliser un chiffrement de disque comme Bitlocker ou TrueCrypt.

modifier:

merci beaucoup, mais pourriez-vous clarifier davantage ce que vous entendez par interface de lecture et d'écriture s'il vous plaît ??

Des appareils comme ceux-ci . . .

Ils bloquent physiquement l'accès en écriture à un lecteur. Souvent utilisé en médecine légale / récupération HD pour des raisons juridiques et pratiques, comme le cas d'Amanda Knox.

Tout le monde semble opter pour le cryptage complet du disque, ce qui a certainement ses mérites pour sécuriser vos données, mais ne résout pas la question de savoir si quelqu'un a été dans votre machine et de faire des singes avec votre disque dur.

Pour cette tâche simple, trouvez un paquet d'étiquettes unies collantes et irritantes qui, une fois collées, se déchirent au lieu de se détacher proprement, signez votre nom dessus et collez-le sur l'une des vis qui maintiennent votre disque dur en place (n'oubliez pas de nettoyer d'abord la poussière pour une bonne adhérence). Pas tout à fait à la même échelle que les scellés inviolables du fabricant, mais devrait s'avérer suffisant pour empêcher quiconque de retirer le disque dur à votre insu. Cela signifie qu'ils doivent soit casser l'étiquette qui vous avertit, soit retirer les fils du disque dur puis le monter sur un ordinateur portable, les forçant à passer plus de temps avec votre boîtier ouvert à l'air très suspect!

Il vaut également la peine de vérifier l'arrière de votre PC pour un point de fixation de cadenas, simple, assez sûr et efficace.

Aucun des deux ne rend impossible l'accès à vos données, mais les deux ajoutent un niveau de gêne important et forcent l'attaquant à agir ouvertement (déchirure des étiquettes et coupe-boulons dans le cadenas) ou à passer beaucoup plus de temps à manipuler votre ordinateur et à risque de détection .

Pour découvrir la falsification au niveau physique , vous pouvez utiliser quelque chose comme Torque Seal sur le matériel de montage de votre lecteur ou la connexion du câble de données. C'est une laque qui sèche fragile, de sorte que toute altération se fissurera et cassera le glob que vous avez installé sur le matériel. Il est utilisé pour s'assurer que des choses comme les écrous et les boulons des hélicoptères n'ont pas bougé et sont toujours serrées conformément aux spécifications.

Les attributs SMART peuvent aider à déterminer si le disque a été falsifié entre deux intervalles. Ces attributs, sous Linux, peuvent être interrogés avec "smartctl -a / dev / sda".

L'attribut le plus simple pour cela est probablement Power_Cycle_Count. Lorsque vous mettez l'ordinateur sous tension, ce sera un de plus que la valeur lors de son dernier arrêt. Ainsi, en vous souvenant de cette valeur avant de vous arrêter et en la vérifiant lors de la prochaine mise sous tension, vous pouvez déterminer si le disque a été mis sous tension entre les deux.

Juste une pensée ... peut-être SMART (si disponible) contient des informations qui peuvent être utilisées.

Je suis pessimiste quant à la prévention de la lecture du lecteur et du fait de dire, si quelqu'un l'a fait, que je conseillerais d'utiliser également le cryptage. Vous ne savez toujours pas si quelqu'un a copié les données cryptées, mais s'il l'a fait, c'est difficile à casser (espérons-le).

L'attaquant est-il intelligent, informé, a-t-il du temps, de l'équipement et de l'argent? Une astuce simple, qui ne fonctionnera pas, si le méchant lit ici, serait de coller un cheveu, qui est difficile à voir et facile à casser, à votre lecteur et au châssis, le mieux: à travers le câble de données.

Maintenant, si quelqu'un enlève le disque, il cassera les cheveux sans le mentionner. Sauf qu'il a lu ces conseils et agit très attentivement.

S'il est très bien équipé, mais vous l'êtes aussi, vous pouvez prendre un cheveu sur lequel vous effectuez un test ADN. Vous ne dites pas de qui il s'agit. L'intrus peut remplacer les cheveux par des cheveux aléatoires, mais ne peut pas les remplacer par des cheveux du bon ADN. Mais peut-être qu'il sait comment coller un cheveu cassé ensemble? Ou il sait dissoudre la colle? :)

À moins que vous ne vous souveniez exactement comment les choses ont été placées dans votre ordinateur avant l'intrusion suspectée (une mémoire photographique ou une photographie, deux de ces outils qui me viennent immédiatement à l'esprit), il sera très difficile de savoir si votre disque dur a été retiré De votre ordinateur.

Remarque: Les fonctionnalités d'intrusion dans le châssis peuvent généralement être contournées, ce n'est donc peut-être pas la méthode la plus fiable, bien qu'elle puisse être utile.

Il y a de fortes chances qu'un intrus qui sait faire cela peut également être assez intelligent pour ne pas modifier votre disque de quelque manière que ce soit, et soit copier uniquement les fichiers dont il a besoin / besoin, soit copier le disque dans son intégralité afin qu'il puisse "fouiner" "à leur guise plus tard.

L'essentiel est que si vous êtes vraiment préoccupé par l'accès à votre disque dur, vous devez être préventif. Si retirer physiquement votre ordinateur du danger n'est pas une option viable, le cryptage fonctionne très bien; c'est mon outil de chiffrement de disque préféré:

  TrueCrypt (gratuit et open source)
  http://www.truecrypt.org/

Ce que j'aime particulièrement dans cet outil, c'est qu'il n'y a pas de porte dérobée intégrée, donc même une décision de justice ne le décryptera pas si vous avez pris les bonnes mesures pour protéger la clé de cryptage.

La pertinence de cet outil dans votre situation:

Si votre disque dur est crypté et que l'intrus le supprime de votre ordinateur dans le but d'accéder à vos données, il ne trouvera que les données cryptées (et, initialement, le système d'exploitation les détectera très probablement comme un "disque non initialisé") qui ressemble simplement à des informations aléatoires pour à peu près tout le monde.

L'intrus peut accéder à vos données de deux manières:

1. Une " chance " à votre mot de passe (alors choisissez-en une bonne qui est difficile à deviner, même avec un outil d'attaque par force brute) ou une clé (très improbable, mais pas complètement impossible)

2. Vous avez fourni une copie de votre mot de passe ou de votre clé à l'intrus (intentionnellement ou non)

Avec votre ordinateur domestique moyen (pas de sécurité physique spéciale), lorsque la machine est arrêtée, il ne reste aucune trace des activités effectuées avec le matériel.

Si le disque est retiré et monté en lecture seule, il serait très difficile d'identifier que cela a été fait à l'aide d'un logiciel.

La seule chose qui me vient à l'esprit est que si le disque était inscriptible pendant une telle activité et que le système d'exploitation hôte a fini par mettre à jour les horodatages sur le disque (fichiers, répertoires), vous pourriez être en mesure de détecter que le disque a été physiquement accessible en dehors de votre système . Cela vient avec diverses autres mises en garde comme, l'autre système avait également son heure réglée correctement (une attente raisonnable si l'utilisateur ne pensait pas à un montage en lecture seule) et vous connaissez la fenêtre de temps lorsque votre système devait être alimenté - vers le bas (par conséquent, les temps d'accès dans cette fenêtre sont suspects).

Pour que ces données soient utilisables, vous devez monter le disque sans accès en écriture pendant que votre «analyse légale» n'est pas terminée . Vous pourrez alors être en mesure de lire les temps d'accès des fichiers et répertoires individuels pour identifier ce qui a été regardé (lu ou copié).

Maintenant, s'il s'agit d'une possibilité future de vol de données, il serait beaucoup plus facile de planifier à l'avance - cryptez toutes vos données critiques.

Ne sommes-nous pas en train de contourner le vrai problème ici?

Comme un nouveau-né, nous ne devons JAMAIS laisser notre PC seul dans une zone ouverte et accessible! Où est ton carnet maintenant? La sécurité commence avec nous et non après coup.

Les données personnelles s'accompagnent d'une certaine paranoïa. Si vous le laissez sur votre système, vous avez peur qu'il soit volé. Si vos données sont essentielles, alors, dès que vous les créez / les acquérez, supprimez-les sur un périphérique de stockage sécurisé, alias un périphérique flash SD chiffré. Cet appareil peut alors être avec vous à tout moment.

La technologie informatique actuelle ne détectera pas la falsification des données sur un périphérique de stockage physique. C'est ce manque de sécurité qui permet aux techniciens de PC comme moi de récupérer les données des utilisateurs en cas de virus / malware. Lorsque, à l'avenir, les périphériques de stockage sont intégrés à un programme de sécurité en cours d'exécution, le périphérique lui-même saura quand il a été falsifié.

Prenez simplement vos données de manière responsable! Si vous autorisez l'accès à quelqu'un, vous ne pouvez pas vous plaindre s'il est exploité!

Comme réponse directe à la question affichée; à ce jour, NON, il n'est pas possible de déterminer si quelqu'un a supprimé et simplement copié vos fichiers.

Merci à tous d'avoir écouté.

De nombreux nouveaux ordinateurs permettent de protéger par mot de passe le disque dur lui-même. Ce serait un paramètre du BIOS. La protection est appliquée via l'électronique du lecteur, de sorte que l'accès serait refusé sur une autre machine.

Gardez à l'esprit que le chiffrement, bien qu'une bonne idée si vous devez le faire, vous empêcherait également de récupérer de nombreux problèmes informatiques. Et si le disque dur venait à tomber en panne, vous ne pourriez jamais récupérer vos fichiers à partir d'un disque crypté. Assurez-vous donc que vous disposez de bonnes sauvegardes. Et une image disque d'un disque chiffré est toujours chiffrée et peut être restaurée sur un nouveau lecteur si nécessaire.

Le système de fichiers EFS (Encrypting File System) intégré à Windows peut être utilisé pour des fichiers et des dossiers individuels. Et l'outil de cryptage gratuit Windows BitLocker peut crypter un lecteur entier.