La prova migliore che potresti ottenere è controllare l ' ora dell'ultimo accesso dei file in questione, o forse l'ora dell'ultimo accesso della directory di primo livello sul file system.

Ma prima, un po 'di background. Un'unità flash USB sarebbe trattata dal computer in modo molto simile a un disco. L'unità (o, più precisamente, la partizione principale all'interno dell'unità) verrebbe formattata come file system. La maggior parte dei supporti flash viene formattata immediatamente con un filesystem VFAT, che è una soluzione con il minimo comune denominatore che funziona con quasi tutti i dispositivi, inclusi OS X, Windows, Linux e fotocamere digitali. Le prossime alternative più probabili a VFAT sarebbero HFS + (il file system nativo di OS X, che Windows non supporta affatto) o NTFS (il file system nativo di Windows, supportato da qualsiasi versione di Windows rilasciata in questo secolo, ma che ha solo il supporto di sola lettura in OS X, ed è raramente supportato su fotocamere digitali).

Questo sfondo è rilevante perché diversi filesystem memorizzano l'ora dell'ultimo accesso in modo diverso. Lavorerò partendo dal presupposto che la tua chiavetta USB sia formattata con VFAT. Questo è importante perché i filesystem VFAT memorizzano solo la data dell'ultimo accesso, non l'ora del giorno. Sarebbe la prova migliore che potresti sperare di raccogliere, ammesso che tutto il resto vada per il verso giusto.

Per vedere le date dell'ultimo accesso nel Finder,

1. Passa alla visualizzazione elenco (Visualizza → come elenco (⌘2))
2. Mostra la finestra di dialogo Opzioni di visualizzazione (Visualizza → Mostra opzioni di visualizzazione (⌘J))
3. Seleziona "Data ultima Opened "

In alternativa, invece di usare il Finder, puoi usare il Terminale per eseguire

  stat -x / Volumes / USB-Stick-Name / Path / To / File  

per vedere l'ora di accesso di un particolare file.

Ci sono alcune importanti avvertenze, però!

In primo luogo, l'atto di collegare il supporto al tuo Mac farà sì che venga montato automaticamente, alterando così l'ora dell'ultimo accesso alla directory di primo livello (e forse distruggendo anche più prove di quella). Un'analisi forense dovrebbe richiedere precauzioni come il montaggio del supporto in modalità di sola lettura. Pertanto, dovresti sopprimere il comportamento di montaggio automatico di OS X, il che non è così facile.

In secondo luogo, il tuo sospetto collega / spia avrebbe potuto prendere una contromisura simile di montando il supporto in sola lettura, senza lasciare quindi alcun timestamp come prova. (Non vi è inoltre alcuna garanzia che il computer utilizzato dalla spia avesse il suo orologio impostato in modo accurato, il che metterebbe in dubbio la validità di qualsiasi timestamp.)

La morale della storia è che se hai informazioni da memorizzare su un supporto rimovibile, crittografatele! La soluzione più semplice sarebbe utilizzare FileVault 2. Nota, tuttavia, che tale crittografia renderebbe illeggibile la chiavetta USB su qualsiasi macchina diversa da un Mac.

Monta il tuo dispositivo USB in sola lettura

Per questo il modo più semplice consiste nell'installare Disk Arbitrator e configurarlo in modo da montare solo qualsiasi dispositivo in sola lettura.

L'icona della barra dei menu Disk-Arbitrator dovrebbe diventare rossa.

Collega il tuo dispositivo USB. Ora non c'è il rischio di modificare inavvertitamente il tempo di accesso su di esso.

Cerca tempi di accesso

Supponiamo che il tuo dispositivo USB sia montato come suspicious_USB .

Apri una finestra Terminal o xterm . Diciamo che sei sicuro di non aver montato il tuo dispositivo USB su nessun computer da 20 giorni. Nella finestra della riga di comando, esegui i seguenti comandi:

  cd / Volumes / suspicious_USB / usr / bin / sudo find. -atime -21 -exec ls -dluT {} \;  

Questo comando mostrerà qualsiasi file (anche quelli nascosti) che qualsiasi sistema operativo potrebbe aver aperto in meno di 21 giorni. l'output di questo comando mostrerà l'ora dettagliata dell'ultimo accesso di qualsiasi file o cartella letto o semplicemente toccato. Ad esempio, questo comando ti mostrerà che una cartella è stata semplicemente aperta. Questo comando ti mostrerà che Spotlight è stato eseguito sulla tua chiave USB.

Se trovi qualcosa, saprai quando è stata letta la tua USB.

Limitazione della garanzia

Se il nostro sospetto collega o aggressore è abile nel leggere questo documento e nel capire come usarlo, potrebbe aver montato anche il tuo dispositivo USB in sola lettura, quindi lo avrebbe lasciato libero da qualsiasi modifica dell'orario di accesso.

In questo caso non ho assolutamente nessun metodo per mostrare che alcuni file sono stati letti sul tuo dispositivo USB :(.

• Apri la tua Console
• Seleziona system.log
• Digita la seguente query nel riquadro di ricerca (angolo in alto a destra): USBMSC”
• Vedrai qualcosa come kernel: USBMSC Identifier (quindi una stringa alfanumerica che indica l'indirizzo del bus USB)
• Vengono visualizzate anche la data e l'ora . Questo ti consentirà di sapere l'ultima volta che un dispositivo è stato collegato a un particolare bus USB.

Per "qualsiasi dispositivo USB" questo non è certamente possibile, poiché lo standard è per la comunicazione.
Per le unità flash USB, potresti provare a controllare le date di accesso dei singoli file (non contarci, spesso no usato comunque, e il tuo controllo potrebbe sovrascrivere le date se non stai attento), o la presenza di file che conosci né tu non avresti potuto mettere lì il tuo computer (come thumbs.db o RICICLATO per Windows, .DS_Store o .Trashes per mac).

Non ha molto senso avere questa funzione, in un tipico prodotto di consumo. Anche se fosse memorizzato nel firmware del dispositivo, sarebbe comunque dipendente dall'orologio del computer host.

Usa Belarc Advisor ... eseguilo con i privilegi di amministratore ... quando il rapporto è finito cerca l'USB Storage Use negli ultimi 30 giorni ... lì puoi vedere il tipo di USB e quando è stato usato l'ultima volta ... >