Dlaczego potrzebne są blokery zapisu, gdy jest montowane tylko do odczytu?

10

Załóżmy, że korzystamy z Linuksa i montujemy partycję za pomocą następującego polecenia:

sudo mount -o ro /dev/sdc1 /mnt

Partycja ma być tylko do odczytu, aby system operacyjny i użytkownik nie mogli zapisywać na dysku bez zmiany mountuprawnień.

Z ForensicsWiki :

Blokery zapisu to urządzenia, które umożliwiają gromadzenie informacji na dysku bez stwarzania możliwości przypadkowego uszkodzenia zawartości dysku. Robią to, pozwalając na przekazywanie poleceń odczytu, ale blokując polecenia zapisu, stąd ich nazwa.

Wydaje mi się, że jest to po prostu zapobieganie przypadkowym flagom. Strona mówi także, że niektóre funkcje blokujące zapis mają dodatkowe funkcje, takie jak spowolnienie dysku, aby zapobiec uszkodzeniu. Ale dla tego załóżmy, że jest to prosty, który może tylko blokować pisanie.

Jeśli możesz po prostu zamontować dysk w trybie tylko do odczytu, po co kupować coś takiego, jak bloker zapisu? Czy to tylko po to, aby zapobiec takim przypadkom, jak przypadkowe zamontowanie polecenia z uprawnieniami do zapisu (błąd użytkownika, który nie jest dozwolony w niektórych przypadkach, np. W sprawach karnych), czy też brakuje mi bardziej szczegółowych funkcji działania systemów plików?

Uwaga: Zdaję sobie sprawę, że niektóre dyski SSD ciągle tasują dane, nie jestem pewien, czy uwzględnić je w pytaniu, czy nie. Wygląda na to, że skomplikowałoby to sprawę.

cutrightjm
źródło
eh. Jestem prawie pewien, że jest pytanie dotyczące odzyskiwania danych z dysków SSD - i odpowiedziałem na to. Obecna literatura na ten temat jest sprzeczna i chaos.
Journeyman Geek
1
Czytanie jest w rzeczywistości całkiem dobrym sposobem na ominięcie bloku pisarza.
Radu,
1
To słowo nie znaczy, co myślisz (w kontekście)
Journeyman Geek

Odpowiedzi:

9

Journal Digital Forensics, bezpieczeństwa i prawa ma doskonały artykuł badaniu kryminalistycznych obrazowych w przypadku braku zapisu blokery , który analizuje przechwytywanie forensics zarówno z jak i bez blokery zapisu. Z czasopisma:

Najlepsze praktyki w kryminalistyce cyfrowej wymagają użycia blokad zapisu podczas tworzenia obrazów kryminalistycznych mediów cyfrowych, a od dziesięcioleci jest to podstawowa zasada szkolenia kryminalistyki komputerowej. Praktyka jest tak zakorzeniona, że ​​integralność obrazów utworzonych bez blokady zapisu jest natychmiast podejrzana.

Samo zamontowanie systemu plików może powodować odczyt / zapis. Wiele współczesnych systemów plików, od ext3 / 4 i xfs po NTFS , ma dziennik, który przechowuje metadane dotyczące samego systemu plików. W przypadku utraty zasilania, niepełnego zamknięcia lub z wielu powodów, dziennik jest automatycznie odczytywany i zapisywany do struktur plików na dysku, aby zachować spójność samego systemu plików. Może się to zdarzyć podczas procesu montowania, niezależnie od tego, czy system plików jest do odczytu i zapisu.

Na przykład z dokumentacją ext4ro zamontować opcja ...

Zamontuj system plików tylko do odczytu. Zauważ, że ext4 odtworzy dziennik (a tym samym zapisze na partycji) nawet po zamontowaniu „tylko do odczytu”. Opcji montowania „ro, noload” można użyć, aby zapobiec zapisywaniu do systemu plików.

Chociaż te zmiany na poziomie sterownika nie wpływają na zawartość plików, standardem kryminalistycznym jest gromadzenie kryptograficznych zestawów dowodów po ich zebraniu w celu utrzymania łańcucha kontroli. Jeśli można wykazać, że skrót, tj. Sha256, obecnie przechowywanych dowodów pasuje do tego, co zostało zebrane, można ponad wszelką wątpliwość udowodnić, że dane napędu nie zostały zmodyfikowane podczas procesu analizy.

Dowody cyfrowe można wymienić jako dowody w prawie każdej kategorii przestępczości. Śledczy muszą mieć absolutną pewność, że dane, które uzyskają jako dowód, nie zostały w żaden sposób zmienione podczas przechwytywania, analizy i kontroli. Adwokaci, sędziowie i przysięgli muszą mieć pewność, że informacje przedstawione w sprawie o przestępstwo komputerowe są zgodne z prawem. W jaki sposób śledczy może upewnić się, że jego dowody są akceptowane w sądzie?

Według National Institute of Standards and Technology (NIST), śledczy postępuje zgodnie z zestawem procedur zaprojektowanych w celu uniemożliwienia wykonania jakiegokolwiek programu, który mógłby zmodyfikować zawartość dysku. http://www.cru-inc.com/data-protection-topics/writeblockers/

Write blocker jest konieczne, ponieważ jeśli jakieś zmiany bitowe dla każdej powodem-OS, kierowca poziomie, poziomie systemu plików lub poniżej następnie hashe zebranych vs analizowanym system nie będzie już meczu, dopuszczalność przemiennika jako dowód może być przesłuchany

Blokowanie zapisu jest zatem zarówno techniczną kontrolą przed możliwością wprowadzenia zmian na niskim poziomie, jak i kontrolą proceduralną, aby zapewnić, że nie zostaną wprowadzone żadne zmiany, niezależnie od użytkownika lub oprogramowania. Usuwając możliwość zmian, obsługuje skróty używane do wykazania, że ​​analizowane dowody pasują do zebranych dowodów i zapobiega wielu potencjalnym problemom z przetwarzaniem dowodów i pytaniom.

Analiza artykułu w JDFSL pokazuje, że bez blokady zapisu dokonano zmian w testowanych dyskach. Jednak przeciwnie - skróty poszczególnych plików danych pozostałyby nienaruszone, więc istnieją argumenty za rzetelnością dowodów zebranych bez blokady zapisu, ale nie są uważane za najlepszą praktykę branżową.

glallen
źródło
4

Nie możesz być pewny . @jakegould obejmuje mnóstwo powodów prawnych i technicznych, dlatego skupiam się na przyczynach operacyjnych.

Po pierwsze, nigdy nie montujesz takiego dysku, obrazujesz całe urządzenie. Twoje podstawowe założenie, że możesz używać uprawnień do systemu plików, jest błędne. Będziesz używał jakiegoś smaku DD lub specjalistycznego narzędzia akwizycyjnego, które powinno domyślnie obejmować działanie tylko do odczytu.

W kryminalistyce chodzi o absolutną pewność, że nie zmieniono dowodów na żadnym etapie, i że można dostarczyć zweryfikowaną kopię dysku bez żadnych zmian. (W rzeczywistości, chyba że musisz przeprowadzić śledztwo na żywo, wystarczy dotknąć podejrzanego dysku twardego tylko raz, aby go sfotografować). Więc oprócz tego, że twoje narzędzie akwizycji jest tylko do odczytu, działa ono jako druga linia obrony przed zepsuciem.

Bloker zapisu robi pewne rzeczy.

  1. Przesuwa ciężar dowodu, że dysk był w rzeczywistości tylko do odczytu
  2. W bardziej idiotyczny sposób - staje się częścią platformy / procesu „akwizycji”
  3. z urządzeniem gwarantowanej to zrobić przez producenta - czyli coś, co chcesz w swoim dzienniku dowody / incydentu.

W pewnym sensie angażuje się w proces gromadzenia dowodów, a kruche ludzkie ja ma mniej rzeczy do zrobienia. Oprócz weryfikacji, że dysk źródłowy nie jest zapisany, może cię uratować, jeśli pomieszasz źródło i miejsce docelowe .

Krótko mówiąc, usuwa jeden możliwy poważny słaby punkt. Nie musisz myśleć o „czy zamontowałem dysk tylko do odczytu” czy „czy zamieniłem źródło i miejsce docelowe w dd?”

Podłączasz się do niego i nie musisz się martwić, jeśli nadpisujesz swoje dowody.

Journeyman Geek
źródło
Dobre punkty operacyjne, proces i zdolność do reprodukcji wyników mają kluczowe znaczenie w kryminalistyce - blokada zapisu usuwa wpływ na nie zarówno błędów ludzkich, jak i maszynowych.
glallen
+1 Ponieważ jest to skomplikowany temat, a ty dotknąłeś szczegółów na poziomie, którego nie znałem,
JakeGould
2

Stwierdzasz to:

Jeśli możesz po prostu zamontować dysk w trybie tylko do odczytu, po co kupować coś takiego, jak bloker zapisu?

Spójrzmy - na wysokim, nietechnicznym poziomie - logicznie przyjrzyjmy się, w jaki sposób gromadzone byłyby dane dowodowe. Kluczem do tego wszystkiego jest neutralność.

Masz podejrzanego o… Coś w sprawie prawnej lub potencjalnie prawnej. Ich dowody muszą być przedstawione tak neutralnie, jak to możliwe. W przypadku dokumentów fizycznych wystarczy wziąć wydrukowane materiały i fizycznie przechowywać je w bezpiecznym miejscu. Dla danych? Natura systemów komputerowych z natury wiąże się z problemem manipulacji danymi w grze.

Podczas gdy twierdzisz, że możesz logicznie zamontować wolumin jako „tylko do odczytu”, kim jesteś? Jak ktoś, kto nie jest tobą - jak sąd lub śledczy - może zaufać twoim umiejętnościom, systemom i wiedzy specjalistycznej? Czy to oznacza, że ​​Twój system jest tak wyjątkowy, że jakiś proces w tle nie może nagle wyskoczyć w systemie i rozpocząć indeksowania od razu po podłączeniu? A jak to monitorujesz? I do cholery, a co z metadanymi plików? MD5 na plikach są przydatne… Ale jeśli jeden znak metadanych zmienia się w pliku, zgadnij co? MD5 się zmienia.

Sprowadza się to do świetnego schematu rzeczy, w których twoje osobiste umiejętności techniczne nie mają wpływu na możliwość przedstawiania danych w sposób możliwie najbardziej neutralny dla śledczych, sądów i innych osób.

Wprowadź bloker zapisu. To nie jest magiczne urządzenie. Wyraźnie blokuje zapis danych na poziomie podstawowym i co jeszcze? Cóż, to wszystko, co robi i to wszystko, co powinno robić (lub nie robić).

Bloker zapisu to neutralny element sprzętowy wykonany przez inną firmę zgodnie z przyjętym w branży standardem, który dobrze wykonuje jedno zadanie i jedno zadanie: Zapobiega zapisywaniu danych.

Badaczowi, sądowi lub innym osobom korzystanie z funkcji blokowania zapisu w zasadzie mówi: „Jestem specjalistą komputerowym, który rozumie dane kryminalistyczne i rozumie potrzebę integralności danych, gdy przekazuję innym informacje, których gromadzenie jest mi powierzone. Używam urządzenia fizycznego, które wszyscy zgadzamy się, uniemożliwia zapisom dostęp do tych danych, aby pokazać wszystkim, że tak, to dowód na to, że musisz zrobić to, co musisz zrobić. ”

Tak więc celem „zakupu czegoś takiego jak bloker zapisu” jest zakup narzędzia, które jest powszechnie uznawane przez ludzi na całym świecie za prawidłowe narzędzie do neutralnego dostępu do danych i ich gromadzenia. I że jeśli ktoś inny - który nie jest tobą - miałby uzyskać dostęp do danych za pomocą podobnego programu blokującego zapis, również one otrzymałyby te same dane w zamian.

Innym przykładem w świecie rzeczywistym są dowody z kamer wideo. Teraz tak, istnieje ryzyko sfałszowania dowodów wideo. Ale powiedzmy, że byłeś świadkiem przestępstwa, widziałeś podejrzanego i wiedziałeś, że to zrobili. W sądzie twoja uczciwość jako świadka zostanie wyparta przez obronę, gdy starają się bronić swojego klienta. Ale powiedzmy, że oprócz twojego zeznania naocznych świadków, policja otrzymała materiał wideo z przestępstwa. To bezstronne, bez mrugnięcia okiem neutralne urządzenie do przechwytywania obrazów budzi większość wątpliwości. Oznacza to, że „robot”, który nie jest człowiekiem, ale może rejestrować dane, utworzy kopię zapasową oskarżenia przeciwko obronie, a nie tylko słowu / zaufaniu.

Rzeczywistość to świat prawa, a legalność naprawdę sprowadza się do solidnych, namacalnych i - właściwie - niezaprzeczalnych dowodów fizycznych. I narzędzie do blokowania zapisu, które zapewnia, że ​​fizyczne dowody danych są tak czyste, jak to możliwe.

JakeGould
źródło
1
+1 narzekanie narzekanie Omówiłeś wiele rzeczy, które bym miał; p
Journeyman Geek
-2

Powodem zastosowania blokowania zapisu jest to, że przestępcy mogli umieścić procesy pułapki, które niszczą dowody zdarzenia (może to być niepoprawna próba hasła, brak dostępu do określonego serwera, próba dostępu do fałszywego pliku lub cokolwiek innego).

Wszelkie procesy przechwytywania mogą w zasadzie również próbować ponownie zamontować urządzenie w trybie odczytu i zapisu.

Jedynym sposobem, aby się upewnić, jest użycie urządzenia sprzętowego. Niektóre sprzętowe blokery zapisu mają przełącznik, który umożliwia wyłączenie funkcji blokowania zapisu, ale najważniejsze jest to, że oprogramowanie nigdy nie wpływa na sprzęt, jeśli sprzęt nie jest zaprogramowany do reagowania na sygnały oprogramowania.

Tę samą myśl można zastosować do pamięci USB, dlaczego niektóre pamięci USB mają fizyczny przełącznik ochrony przed zapisem.

Czasami śledczy musi być w stanie uruchomić system operacyjny podejrzanego, dlatego śledczy musi wystrzegać się wszelkich procesów pułapki.

Proces dochodzenia różni się w zależności od kraju z powodu różnych przepisów dotyczących odpowiedzialności. W niektórych krajach samo posiadanie niektórych plików jest nielegalne, Twoim obowiązkiem jest zabezpieczenie komputera i nie możesz winić nielegalnych plików za wirusa.

W innym kraju być może posiadanie pliku jest nielegalne, ale należy przedstawić dowody, że to podejrzany umieścił pliki, a nie wirus.

W drugim przypadku śledczy może potrzebować uruchomić komputer, aby zobaczyć, co uruchamia się podczas uruchamiania w trybie autostart / run / runonce.

Innymi słowy, przestępcy są z natury złośliwi, dlatego wszystko, co mogłoby podważyć ważność dowodów w sądzie, należy chronić za wszelką cenę. Ponadto, jeśli przestępca zastawił pułapkę, która automatycznie niszczy dowody, w wielu przypadkach NIE będzie to „niszczenie dowodów”, w przeciwieństwie do ręcznego usuwania czegoś. Jeśli zapisy są dozwolone, może to być katastrofa.

Izolowany proces sprzętowy jest znacznie bezpieczniejszy niż proces programowy, dlatego śledczy używają blokad zapisu, aby zabezpieczyć swój materiał przed zniszczeniem, w ten sam sposób, w jaki specjaliści ds. Bezpieczeństwa używają kart inteligentnych i tokenów, aby zapobiec naruszeniu ich tajemnic.

Sebastian Nielsen
źródło
1
Wydaje się, że logika tutaj zależy od dowodów zebranych od „przestępcy” bez perspektyw, które pozwoliłyby na gromadzenie dowodów tylko dlatego, że jest to część sprawy. W 100% każdy na świecie może zostać aresztowany i zajęty. To samo w sobie nie oznacza winy ani współdziałania. Oznacza to po prostu, że ich systemy zostały wykorzystane jako potencjalny dowód. Wartość blokady zapisu polega na tym, że dane zebrane z urządzenia są zasadniczo „zamrożone w czasie” oraz w stanie, który może być wykorzystany jako dowód przez neutralną stronę trzecią. Nic więcej. Nic mniej.
JakeGould
1
Ogólnie rzecz biorąc, specjaliści medycyny sądowej są nauczani, że spoczywa na nich ciężar dowodu, a specjaliści medycyny sądowej ostrzegali, że prawnicy zje cię żywcem, z ketchupem, jeśli zepsujesz dowody. Tak naprawdę nigdy nie wspomniano o „procesach pułapkowych”, zwłaszcza że kryminalistyka offline preferuje kryminalistykę na żywo, aby uniknąć takiej możliwości. Jeśli używasz blokady zapisu - system został już zamknięty, często przez szarpnięcie przewodu, a oryginalny napęd został już zabezpieczony.
Journeyman Geek
Jeśli uruchomisz system, aby utworzyć jego obraz, nie można zaufać temu obrazowi, bez względu na to, czy obecny jest jakikolwiek bloker zapisu. Jeśli wykonujesz obrazowanie ze znanego dobrego systemu, wszelkie pułapki programowe na obrazie, z którego kopiujesz, byłyby nieistotne. Blokada zapisu nie istnieje, aby zapobiec zapisowi wyzwalanemu przez dane na obrazowanych danych, ma zapobiegać zapisowi przez system wykonujący obrazowanie.
kasperd
Zwykle oboje używacie blokady zapisu, aby zrobić jej obraz. Następnie w razie potrzeby uruchamiasz system, aby zebrać dowody, które są dostępne tylko „online” (podczas uruchamiania podejrzanego systemu operacyjnego). W większości przypadków wystarcza to z prostą analizą offline, ale czasem analiza online jest DODATKOWA do analizy offline. Zwykle pracujesz z obrazem, ale czasami oprogramowanie pułapki może wykorzystywać identyfikatory dysków, aby zapobiec dalszemu dostępowi, jeśli kopia jest uruchamiana, wtedy w zasadzie musisz uruchomić online z blokadą zapisu. Wszystko zależy od tego, dlaczego prowadzisz dochodzenie w sprawie danych dysków.
Sebastian Nielsen
1
@sebastiannielsen „Tak, ale musisz wziąć najgorsze, analizując dysk.” Nie, nadal tego nie rozumiesz. Podczas zakładania czegokolwiek musisz założyć nieznane . Nie najgorsze. Nienajlepszy. Ale po prostu nieznane. A ekspert medycyny sądowej, który od samego początku zakłada „najgorsze”, sam w sobie jest złym atutem. Utrzymanie neutralności jest trudne, ale takie jest zadanie analityka kryminalistycznego.
JakeGould