La prova migliore che puoi ottenere è controllare l' ultimo tempo di accesso dei file in questione, o forse l'ultimo orario di accesso della directory di primo livello sul file system.

Ma prima, un po 'di background. Un'unità flash USB sarebbe trattata dal computer molto simile a un disco. L'unità (o, più precisamente, la partizione principale all'interno dell'unità) sarebbe stata formattata come un file system. La maggior parte dei supporti flash viene formattata immediatamente con un file system VFAT, che è una soluzione a minimo comune denominatore che funziona con quasi tutti i dispositivi, inclusi OS X, Windows, Linux e fotocamere digitali. Le prossime alternative più probabili a VFAT sarebbero HFS + (il file system nativo di OS X, che Windows non supporta affatto) o NTFS (il file system nativo di Windows, supportato da qualsiasi versione di Windows rilasciata in questo secolo, ma che ha solo il supporto di sola lettura in OS X, ed è raramente supportato su fotocamere digitali).

Lo sfondo è rilevante perché diversi filesystem memorizzano l'ultimo tempo di accesso in modo diverso. Vado a lavorare partendo dal presupposto che la tua chiavetta USB sia formattata con VFAT. Questo è importante perché i filesystem VFAT memorizzano solo l'ultimo accesso data , non l'ora del giorno. Questa sarebbe la prova migliore che potresti sperare di raccogliere, supponendo che tutto il resto vada bene.

Per vedere ultime date di accesso nel Finder ,

1. Passa alla visualizzazione Elenco (Visualizza → come Elenco (⌘2))
2. Mostra la finestra di dialogo delle opzioni di visualizzazione (Visualizza → Mostra le opzioni di visualizzazione (⌘J))
3. Seleziona "Data ultima apertura"

In alternativa, invece di usare il Finder, potresti usare il Terminale per eseguire

stat -x /Volumes/USB-Stick-Name/Path/To/File

per vedere il tempo di accesso di un determinato file.

Tuttavia ci sono alcune avvertenze importanti!

In primo luogo, l'atto di collegare il media sul tuo Mac farà sì che venga montato automaticamente, alterando così l'ultimo tempo di accesso della directory di primo livello (e forse distruggendo anche più prove di quella). Un'analisi forense dovrebbe richiedere precauzioni come il montaggio del supporto in modalità di sola lettura. Pertanto, dovresti sopprimere il comportamento di montaggio automatico di OS X , che non è così facile.

In secondo luogo, il tuo sospetto collaboratore / spia avrebbe potuto prendere una contromisura simile a quella di montare i supporti di sola lettura, senza lasciare alcun riferimento temporale come prova. (Non è inoltre garantito che il computer utilizzato dalla spia avesse il suo orologio impostato in modo accurato, il che metterebbe in dubbio la validità di qualsiasi timestamp.)

La morale della storia è che, se si dispone di informazioni sensibili da memorizzare su supporti rimovibili, crittografarli! La soluzione più semplice sarebbe utilizzare FileVault 2 . Si noti, tuttavia, che tale crittografia renderebbe la chiavetta USB illeggibile su qualsiasi macchina diversa da un Mac.

Monta il dispositivo USB ReadOnly

Per questo il modo più semplice consiste nell'installare Disk Arbitrator e configurandolo in modo tale da montare qualsiasi dispositivo solo in sola lettura.

L'icona della barra dei menu Disk-Arbitrator dovrebbe diventare rossa.

Collega il tuo dispositivo USB. Non vi è alcun rischio di modificare inavvertitamente qualsiasi tempo di accesso su di esso.

Cerca i tempi di accesso

Supponiamo che il tuo dispositivo USB sia montato come suspicious_USB .

Apri una finestra Terminal o xterm . Diciamo che sei sicuro di non aver montato il tuo dispositivo USB su qualsiasi computer da 20 giorni. All'interno della finestra della riga di comando, esegui i seguenti comandi:

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Questo comando ti mostrerà qualsiasi file (anche nascosto) che qualsiasi sistema operativo potrebbe aver aperto in meno di 21 giorni. L'output di questo comando ti mostrerà l'ultimo orario di accesso dettagliato di qualsiasi file di lettura o semplicemente toccato o cartella. Ad esempio questo comando ti mostrerà che una cartella è stata semplicemente aperta. Questo comando ti mostrerà Spotlight ha funzionato con la tua chiave USB.

Se trovi qualcosa, saprai quando la tua USB è stata letta.

Limitazione di waranty

Se il nostro sospetto collega o aggressore ha le stesse capacità di leggere questo documentare e capire come usarlo, potrebbe aver montato il tuo Dispositivo USB di sola lettura. Quindi l'avrebbe lasciato pulito da qualsiasi modifica del tempo di accesso.

In questo caso ho assolutamente no metodo per mostrare che alcuni file è stato letto sul dispositivo USB: (.

• Apri il tuo Console
• Seleziona system.log
• Digitare la seguente query nel riquadro di ricerca (angolo in alto a destra): USBMSC
• Vedrai qualcosa come kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
• Viene visualizzata anche la data e ora . Questo ti farà sapere l'ultima volta (s) un dispositivo è stato collegato a un particolare bus USB.

Per "qualsiasi dispositivo USB" questo non è certamente possibile, in quanto lo standard è per la comunicazione.
Per le unità flash USB, potresti provare a verificare le date di accesso dei singoli file (non contare su di essi, spesso non utilizzati in ogni caso, e il tuo controllo potrebbe sovrascrivere le date se non stai attento) o la presenza di file sapere né il tuo computer potrebbe averlo inserito (come thumbs.db o RECYCLED per Windows, .DS_Store o .Trashes per mac).

Non ha molto senso avere questa caratteristica, in un tipico prodotto di consumo. Anche se fosse stato memorizzato nel firmware del dispositivo, sarebbe comunque dipendente dall'orologio del computer host.

Usa Belarc Advisor ... eseguilo con i privilegi di amministratore ... quando il rapporto è finito cerca la memoria USB Usa negli ultimi 30 giorni ... lì puoi vedere il tipo di USB e quando è usato per l'ultima volta ...