web-dev-qa-db-ja.com

ハードディスクが取り外され、そこからデータがコピーされたかどうかを確認していますか?

誰かが私のハードディスクを私のコンピューターから分離し、そこからデータをコピーし、それを返送したかどうかを検出できる方法またはツールはありますか?

私が知らないうちに誰かがこれを行ったことを確認したいのですが、その方法がわかりません。

  • 注:Deep freezeを使用しています。
30

ディープフリーズの使用は、この状況では関係ありません。

準能力がある場合は、読み取り専用インターフェースを使用します。

最終アクセスのタイムスタンプは、読み取りおよび書き込みインターフェースを使用している場合にのみ変更されます。書き込みインターフェースをオフにするのは簡単です。これがフォレンジックが行うことです。彼らは決して元のドライブを読み取り/書き込みインターフェイスに入れません。常に読み取り専用です。次に、作業コピーを作成します。元のドライブの1ビットを変更せずにすべて。

最善の策は、BitlockerやTrueCryptなどのディスク暗号化を使用することです。

edit:

感謝しますが、読み書きインターフェースの意味をもっと明確にしていただけませんか?

these のようなデバイス。 。 。

ドライブへの書き込みアクセスを物理的にブロックします。アマンダノックスの訴訟のように、法的および実用的な理由で法医学/ HDリカバリでよく使用されます。

50
surfasb

誰もが完全なディスク暗号化を求めているようですが、これは確かにデータを保護するメリットがありますが、誰かがあなたのマシンにいて、ハードドライブを使用しているかどうかを尋ねる問題には対応していません。

その簡単なタスクでは、イライラするほど粘着性のあるプレーンラベルのパックを見つけます。これは、貼り付いたら、きれいに剥がれる代わりに破れ、その上にあなたの名前に署名し、HDDを固定しているネジの1つに貼り付けます(忘れずに良い結合のために最初にほこりをきれいに取り除いてください)。メーカーが明白なシールを改ざんするのと同じ規模ではありませんが、あなたの知識なしに誰かがハードドライブを取り外すのを防ぐのに十分であることを証明する必要があります。つまり、事実を警告するラベルを破るか、ケーブルをハードドライブから引き出してラップトップにマウントし、ケースを開いた状態で非常に疑わしいと思わせる時間を増やす必要があります。

また、PCの裏側に南京錠の取り付けポイントがないか確認する価値があります。シンプルで、かなり安全で効果的です。

どちらもデータを取得することを不可能にしませんが、どちらもかなりのレベルの不便さを追加し、攻撃者に露骨に行動する(ラベルとボルトカッターを南京錠に引き裂く)か、PCでのモンキー操作に多くの時間を費やし、検出のリスクがあります。

36
Robb

物理的なレベルでの改ざんを発見するには、ドライブの取り付けハードウェアまたはデータケーブル接続で Torque Seal のようなものを使用できます。それは、もろく乾燥するラッカーであるため、改ざんを行うと、ハードウェアにインストールしたグロブが割れて壊れます。ヘリコプターのナットやボルトなどが動かず、仕様どおりのトルクが与えられていることを確認するために使用されます。

30
yhw42

スマート。属性は、ディスクが2つの間隔の間に改ざんされているかどうかを判断するのに役立ちます。 Linuxでは、これらの属性は「smartctl -a/dev/sda」で照会できます。

そのための最も単純な属性は、おそらくPower_Cycle_Countです。コンピュータの電源を入れると、前回シャットダウンしたときの値よりも1つ多くなります。したがって、シャットダウンする前にこの値を記憶しておき、次回電源を入れたときにこの値を確認することで、その間にディスクの電源が入っているかどうかを判断できます。

25
Ambroz Bizjak

ただの考えです。多分S.M.A.R.T.(利用可能な場合)には、使用できる情報が含まれています。

12
Iuliu Atudosiei

私はドライブを読み取れないようにすることと、誰かがそうした場合はそれを伝えることについて悲観的です。そのため、暗号化も使用することをお勧めします。暗号化されたデータを誰かがコピーしたかどうかはまだわかりませんが、コピーしたとしても、解読するのは困難です(そう願っています)。

今、攻撃者は賢いです、知らされています、彼は時間、設備とお金を持っていますか?悪意のある人がここで読んでいる場合、機能しない単純なトリックは、ドライブとシャーシに、見づらく、簡単に壊れる髪をデータケーブルに突き刺すことです。

誰かがドライブを削除すると、彼はそれを言及せずに髪を壊します。彼がこのアドバイスを読み、非常に注意深く行動する場合を除いて。

彼が非常によく装備されているが、あなたもそうであるならば、あなたはあなたがDNAテストを実行する髪をとることができます。誰の髪だとは言わない。侵入者は、髪の毛をランダムな毛に置き換える可能性がありますが、正しいDNAの髪に置き換えることはできません。しかし、多分彼は壊れた髪を一緒に接着する方法を知っていますか?または彼は接着剤を溶解する方法を知っていますか? :)

7
user unknown

平均的な家庭用コンピュータ(特別な物理的セキュリティなし)では、マシンがシャットダウンしても、ハードウェアで行われたアクティビティの痕跡は残りません。

ディスクが削除され、読み取り専用でマウントされた場合、これがソフトウェアを使用して行われたことを識別するのは非常に困難です。

頭に浮かぶ唯一のことは、そのようなアクティビティ中にディスクが書き込み可能であり、ホストOSがディスク(ファイル、ディレクトリ)のタイムスタンプを更新してしまった場合、ディスクがシステムの外部で物理的にアクセスされたことを検出できる可能性があります。 。これには、他のさまざまな注意事項が含まれています。他のシステムでも時刻が正しく設定されており(ユーザーが読み取り専用のマウントを考えていない場合は妥当な期待です)、システムに電源が供給されると予想されたときのタイムウィンドウがわかります。ダウンしている(そのため、そのウィンドウのアクセス時間が疑わしい)。

このようなデータを使用するには、フォレンジックが行われていないときに書き込みアクセスなしでディスクをマウントする必要があります。その後、個々のファイルとディレクトリのアクセス時間を読み取って、何が見られたか(読み取られたかコピーされたか)を特定できる場合があります。

これが将来のデータ盗難の可能性のためのものである場合、すべての重要なデータを暗号化するだけで、前もって計画を立てるのは簡単です。

6
nik

侵入が疑われる前にコンピュータ内にどのように配置されたかを正確に思い出せない限り(写真メモリまたは写真は、すぐに思い浮かぶ2つのツールです)、ハードドライブが取り外されたかどうかを知ることは非常に困難です。コンピュータから。

注:シャーシへの侵入機能は通常、回避される可能性があるため、役立つ場合もありますが、これは最も信頼できる方法ではない可能性があります。

これを行う方法を知っている侵入者は、ディスクを変更しないように十分に賢く、必要なファイルのみをコピーするか、ディスク全体をコピーして「スヌーピング」できる可能性があります。 「しばらくしてから彼らの余暇に。

肝心なのは、誰かがハードドライブにアクセスすることを本当に心配しているのであれば、予防策を講じる必要があるということです。コンピューターを危険から物理的に取り除くことが実行可能なオプションではない場合、暗号化は非常にうまく機能します。これは私のお気に入りのディスク暗号化ツールです。

TrueCrypt(フリーでオープンソース)
http://www.truecrypt.org/

このツールについて私が特に気に入っているのは、組み込みのバックドアがないため、暗号化キーを保護するための正しい手順を実行していれば、裁判所命令によっても解読されないことです。

このツールがあなたの状況にどのように関連しているか:

ハードドライブが暗号化されており、侵入者がデータにアクセスする目的でコンピューターからハードドライブを削除した場合、ハードドライブは暗号化されたデータのみを検出します(そして、最初はオペレーティングシステムが「初期化されていないディスク」として検出する可能性が高い)。ほぼすべての人にとって、ランダムな情報のように見えます。

侵入者がデータにアクセスする2つの方法は次のとおりです。

  1. パスワードに「ラッキー推測」(ブルートフォース攻撃ツールを使用しても推測が難しい適切なものを選択してください)またはキー(完全に不可能ではありませんが、ほとんどありません)

  2. パスワードまたはキーのコピーを侵入者に(意図的または意図せずに)提供した

6

ここで本当の問題を簡単に説明しているだけではありませんか

生まれたばかりの子供と同じように、アクセス可能なオープンな場所にPCを置いたままにしないでください。あなたのノートは今どこにありますか?セキュリティは私たちから始まり、事後ではありません。

個人データにはある程度の偏執狂が伴います。システムに残したままにしておくと、盗まれる可能性があります。データが非常に重要な場合は、データを作成/取得したらすぐに、安全なストレージデバイス(別名、暗号化されたSDフラッシュデバイス)に削除します。このデバイスは、いつでもあなたと一緒にいることができます。

現在のコンピューターテクノロジーでは、物理ストレージデバイス上のデータの改ざんは検出されません。このセキュリティの欠如により、私のようなPC技術者は、ウイルス/マルウェアの損傷が発生した場合にユーザーデータを復旧できます。将来、ストレージデバイスに実行中のセキュリティプログラムが組み込まれると、デバイス自体が改ざんされたことがわかります。

責任を持ってデータを取ってください!誰かのアクセスを許可した場合、それが悪用されても文句を言うことはできません!

投稿された質問への直接の回答として;現在のところ、いいえ、誰かがファイルを削除して単純にコピーしたかどうかを判断することはできません。

ご清聴ありがとうございました。

3
user91507

多くの新しいコンピューターでは、ハードドライブ自体をパスワードで保護できます。 BIOS設定になります。保護はドライブの電子機器によって実行されるため、別のマシンでのアクセスは拒否されます。

暗号化は、必要な場合は良い考えですが、多くのコンピューターの問題から回復することもできなくなることに注意してください。また、ハードドライブが故障し始めた場合、暗号化されたディスクからファイルを回復することはできません。したがって、適切なバックアップがあることを確認してください。また、暗号化されたディスクのディスクイメージは引き続き暗号化されており、必要に応じて新しいドライブに復元できます。

Windowsに組み込まれたEFS(暗号化ファイルシステム)は、個々のファイルとフォルダーに使用できます。また、無料のWindows BitLocker暗号化ツールを使用すると、ドライブ全体を暗号化できます。

2
Abraxas