Question:
Existe-t-il un moyen de savoir quand une clé USB a été utilisée pour la dernière fois (sur n'importe quel ordinateur)?
gun
2014-09-22 06:23:58 UTC
view on stackexchange narkive permalink

J'ai une clé USB et je pensais que quelqu'un d'autre l'avait peut-être branchée sur son ordinateur et copié des fichiers.

En utilisant mon Mac, comment savoir quand ma clé USB a été branchée pour la dernière fois?

Salut @gun, Je crois que ce que vous cherchez peut ne pas être possible malheureusement. Puis-je confirmer que ce que vous cherchez à faire est de savoir si quelqu'un d'autre a utilisé votre clé USB et que vous craignez d'avoir accédé à certains des fichiers que vous aviez dans cette clé? Je pense que la réponse ci-dessous montre comment savoir quand quelqu'un a branché une clé USB pour la dernière fois sur votre ordinateur.
Cinq réponses:
#1
+3
200_success
2014-09-22 14:29:28 UTC
view on stackexchange narkive permalink

La meilleure preuve que vous puissiez obtenir est d'inspecter la heure du dernier accès des fichiers en question, ou peut-être l'heure du dernier accès du répertoire de niveau supérieur sur le système de fichiers.

Mais d'abord, un peu de contexte. Un lecteur flash USB serait traité par l'ordinateur comme un disque. Le lecteur (ou, plus précisément, la partition principale dans le lecteur) serait formaté comme un système de fichiers. La plupart des supports flash sont formatés avec un système de fichiers VFAT, qui est une solution au plus petit dénominateur commun qui fonctionne avec presque tous les appareils, y compris OS X, Windows, Linux et les appareils photo numériques. Les alternatives suivantes les plus probables à VFAT seraient HFS + (le système de fichiers natif d'OS X, que Windows ne prend pas du tout en charge) ou NTFS (le système de fichiers natif de Windows, pris en charge par toutes les versions de Windows publiées ce siècle, mais qui a juste un support en lecture seule dans OS X, et est rarement pris en charge sur les appareils photo numériques).

Cet arrière-plan est pertinent car différents systèmes de fichiers stockent le dernier temps d'accès différemment. Je vais travailler avec l'hypothèse que votre clé USB est formatée avec VFAT. Ceci est important car les systèmes de fichiers VFAT ne stockent que la date du dernier accès, pas l'heure de la journée. Ce serait la meilleure preuve que vous pourriez espérer recueillir, en supposant que tout le reste se passe bien.

Pour voir les dates de dernier accès dans le Finder,

  1. Passer à la vue Liste (Afficher → sous forme de liste (⌘2))
  2. Afficher la boîte de dialogue Options d'affichage (Afficher → Afficher les options d'affichage (⌘J))
  3. Sélectionnez "Date du dernier Ouvert "

Sinon, au lieu d'utiliser le Finder, vous pouvez utiliser le Terminal pour exécuter

  stat -x / Volumes / USB-Stick-Name / Chemin / Vers / Fichier  

pour voir le temps d'accès d'un fichier particulier.


Il y a cependant quelques mises en garde importantes!

Premièrement, le fait de brancher le média sur votre Mac entraînera son montage automatique, modifiant ainsi l'heure du dernier accès au répertoire de niveau supérieur (et peut-être détruisant encore plus de preuves que cela). Une analyse médico-légale doit nécessiter des précautions telles que le montage du support en mode lecture seule. Par conséquent, vous devrez supprimer le comportement de montage automatique d'OS X, ce qui n'est pas si simple.

Deuxièmement, votre collègue / espion présumé aurait pu prendre une contre-mesure similaire monter le support en lecture seule, ne laissant ainsi aucun horodatage comme preuve. (Il n'y a pas non plus de garantie que l'ordinateur utilisé par l'espion avait son horloge réglée avec précision, ce qui jetterait le doute sur la validité de tout horodatage.)

La morale de l'histoire est, si vous avez des informations sensibles informations à stocker sur un support amovible, cryptez-les! La solution la plus simple serait d'utiliser FileVault 2. Notez cependant qu'un tel cryptage rendrait la clé USB illisible sur n'importe quelle machine autre qu'un Mac.

#2
+2
dan
2014-09-22 19:48:31 UTC
view on stackexchange narkive permalink

Montez votre périphérique USB en lecture seule

Pour cela, le moyen le plus simple consiste à installer Disk Arbitrator et à le configurer de manière à ne monter aucun périphérique en lecture seule.

Disk-Arbitrator_setting

L'icône de la barre de menu Disk-Arbitrator devrait passer au rouge.

Branchez votre périphérique USB. Il n'y a plus de risque que vous modifiiez par inadvertance une heure d'accès dessus.

Rechercher des heures d'accès

Disons que votre périphérique USB est monté en tant que suspicious_USB .

Ouvrez une fenêtre Terminal ou xterm . Disons que vous êtes sûr de ne pas avoir installé votre périphérique USB sur un ordinateur depuis 20 jours. Dans votre fenêtre de ligne de commande, exécutez les commandes suivantes:

  cd / Volumes / suspicious_USB / usr / bin / sudo find. -atime -21 -exec ls -dluT {} \;  

Cette commande vous affichera tout fichier (même caché) que n'importe quel système d'exploitation aurait pu ouvrir en moins de 21 jours. La sortie de cette commande vous affichera l'heure détaillée du dernier accès de tout fichier ou dossier lu ou simplement touché. Par exemple, cette commande vous montrera qu'un dossier a simplement été ouvert. Cette commande vous montrera que Spotlight a fonctionné sur votre clé USB.

Si vous trouvez quelque chose, vous saurez quand votre clé USB a été lue.

Limitation de la garantie

Si notre collègue ou attaquant soupçonné est aussi habile que de lire ce document et de comprendre comment l'utiliser, il se peut qu'il ait monté votre périphérique USB en lecture seule aussi, il l'aurait donc laissé exempt de toute modification de l'heure d'accès.

Dans ce cas, je n'ai absolument aucune méthode pour montrer que certains fichiers ont été lus sur votre périphérique USB :(.

Je m'excuse d'avoir écrit ici, j'ai trouvé que la réponse @daniel est excellente, mais cela ne résoudrait mon problème que si un petit pas de plus était entrepris: Je chiffre la chaîne / usr / bin / sudo trouver.-atime -21 -exec ls -dluT {} \; mais je ne peux voir que le dernier accès de chaque jour (exemple: 3 mai, 18h30) Comment puis-je également afficher sur écran tous les accès d'un certain jour (par exemple, si je veux voir si l'appareil a également été monté le 3 mai à 12h00)? Si cela aide (ou si cela peut être pertinent), le contenu du disque dur est une sauvegarde effectuée avec TimeMachine.Merci d'avance
MacOS X stocke avec chaque fichier un seul temps d'accès: le dernier.
#3
+1
njboot
2014-09-22 06:42:04 UTC
view on stackexchange narkive permalink
  • Ouvrez votre console
  • Sélectionnez system.log
  • Saisissez la requête suivante dans le volet de recherche (coin supérieur droit): USBMSC[
  • Vous verrez quelque chose comme noyau: USBMSC Identifier (puis une chaîne alphanumérique indiquant l'adresse du bus USB)
  • La date et l'heure sont également affichées. Cela vous permettra de savoir la ou les dernières fois qu'un appareil a été connecté à un bus USB particulier.
Si je lis correctement la question et la réponse, il demande un moyen de découvrir quand un _ périphérique USB particulier_ a été branché sur _ tout bus USB_, alors que cette réponse montre comment découvrir quand _un périphérique USB_ a été branché sur _un bus USB particulier_ . Je ne crois pas vraiment qu'il existe un moyen de voir ce que le demandeur veut, malheureusement (en supposant que je le lis correctement)
→ njboot: cette réponse répond à ** une autre ** question de sécurité pertinente: "Comment puis-je voir si quelqu'un a branché une clé USB suspecte sur ** mon ** Mac?".
#4
  0
kaay
2014-09-22 13:06:48 UTC
view on stackexchange narkive permalink

Pour "tout périphérique USB", ce n'est certainement pas possible, car la norme est pour la communication.
Pour les clés USB, vous pouvez essayer de vérifier les dates d'accès des fichiers individuels (ne comptez pas dessus, souvent pas utilisé de toute façon, et votre propre chèque peut écraser les dates si vous ne faites pas attention), ou la présence de fichiers que vous connaissez ni que votre ordinateur aurait pu y mettre (comme thumbs.db ou RECYCLED pour Windows, .DS_Store ou .Trashes pour mac).

Il est inutile d'avoir cette fonctionnalité, dans un produit grand public typique. Même s'il était stocké dans le micrologiciel de l'appareil, il dépendrait toujours de l'horloge de l'ordinateur hôte.

«dépendant de l'horloge de l'ordinateur hôte» plutôt que de s'appuyer sur des données aussi facilement truquées, il peut à la place avoir un compteur non réinitialisable qui s'incrémente à chaque fois que l'appareil est mis sous tension.
@andré-daniel Pas utile pour les besoins de l'OP à moins qu'il y ait * un autre * mécanisme (pas nécessairement sur l'appareil) stockant la valeur de comptage à laquelle * ils *, et seulement eux, y ont accédé pour la dernière fois. Seule une horloge en temps réel aiderait, mais a besoin d'une batterie plus grande que l'unité de mémoire. Vous feriez mieux de programmer un enregistreur / sécurité USB pass-through. Mais une telle solution nécessite que l'appareil soit spécifiquement préparé pour cela.
Oui, je ne disais pas nécessairement que pour l'OP, je viens de souligner qu'il y avait un moyen de mettre en œuvre un «compteur de sécurité» pour qu'un utilisateur puisse savoir si l'appareil a été utilisé sans son consentement.
@andré-daniel Compris. Il faudrait encore des algorithmes pour réduire le risque de faux positifs, comme lors des redémarrages de l'ordinateur, des déconnexions USB momentanées, des "surtensions USB", des montages échoués, etc., en plus de stocker la valeur attendue ailleurs. Ne vaut pas l'effort. Si on me demandait de le mettre en œuvre, je passerais l'espace de l'algorithme et le temps de programmation à créer un enregistreur d'événements à la place - plus facile à optimiser pour une utilisation appropriée que d'éventuels scénarios inappropriés, et l'espace de stockage est bon marché de nos jours.
Oui, ce que je pensais, c'est avoir comme une carte à puce intégrée dans la clé USB qui peut enregistrer des événements et ne peut pas être (facilement) falsifiée.
#5
  0
BioStat
2014-10-29 04:11:34 UTC
view on stackexchange narkive permalink

Utilisez Belarc Advisor ... exécutez-le avec les privilèges d'administrateur ... lorsque le rapport est terminé, recherchez le stockage USB utilisé au cours des 30 derniers jours ... vous pouvez voir le type de clé USB et la dernière utilisation ...



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...