Załóżmy, że korzystamy z Linuksa i montujemy partycję za pomocą następującego polecenia:
sudo mount -o ro /dev/sdc1 /mnt
Partycja ma być tylko do odczytu, aby system operacyjny i użytkownik nie mogli zapisywać na dysku bez zmiany mount
uprawnień.
Z ForensicsWiki :
Blokery zapisu to urządzenia, które umożliwiają gromadzenie informacji na dysku bez stwarzania możliwości przypadkowego uszkodzenia zawartości dysku. Robią to, pozwalając na przekazywanie poleceń odczytu, ale blokując polecenia zapisu, stąd ich nazwa.
Wydaje mi się, że jest to po prostu zapobieganie przypadkowym flagom. Strona mówi także, że niektóre funkcje blokujące zapis mają dodatkowe funkcje, takie jak spowolnienie dysku, aby zapobiec uszkodzeniu. Ale dla tego załóżmy, że jest to prosty, który może tylko blokować pisanie.
Jeśli możesz po prostu zamontować dysk w trybie tylko do odczytu, po co kupować coś takiego, jak bloker zapisu? Czy to tylko po to, aby zapobiec takim przypadkom, jak przypadkowe zamontowanie polecenia z uprawnieniami do zapisu (błąd użytkownika, który nie jest dozwolony w niektórych przypadkach, np. W sprawach karnych), czy też brakuje mi bardziej szczegółowych funkcji działania systemów plików?
Uwaga: Zdaję sobie sprawę, że niektóre dyski SSD ciągle tasują dane, nie jestem pewien, czy uwzględnić je w pytaniu, czy nie. Wygląda na to, że skomplikowałoby to sprawę.
źródło
Odpowiedzi:
Journal Digital Forensics, bezpieczeństwa i prawa ma doskonały artykuł badaniu kryminalistycznych obrazowych w przypadku braku zapisu blokery , który analizuje przechwytywanie forensics zarówno z jak i bez blokery zapisu. Z czasopisma:
Samo zamontowanie systemu plików może powodować odczyt / zapis. Wiele współczesnych systemów plików, od ext3 / 4 i xfs po NTFS , ma dziennik, który przechowuje metadane dotyczące samego systemu plików. W przypadku utraty zasilania, niepełnego zamknięcia lub z wielu powodów, dziennik jest automatycznie odczytywany i zapisywany do struktur plików na dysku, aby zachować spójność samego systemu plików. Może się to zdarzyć podczas procesu montowania, niezależnie od tego, czy system plików jest do odczytu i zapisu.
Na przykład z dokumentacją ext4
ro
zamontować opcja ...Chociaż te zmiany na poziomie sterownika nie wpływają na zawartość plików, standardem kryminalistycznym jest gromadzenie kryptograficznych zestawów dowodów po ich zebraniu w celu utrzymania łańcucha kontroli. Jeśli można wykazać, że skrót, tj. Sha256, obecnie przechowywanych dowodów pasuje do tego, co zostało zebrane, można ponad wszelką wątpliwość udowodnić, że dane napędu nie zostały zmodyfikowane podczas procesu analizy.
Write blocker jest konieczne, ponieważ jeśli jakieś zmiany bitowe dla każdej powodem-OS, kierowca poziomie, poziomie systemu plików lub poniżej następnie hashe zebranych vs analizowanym system nie będzie już meczu, dopuszczalność przemiennika jako dowód może być przesłuchany
Blokowanie zapisu jest zatem zarówno techniczną kontrolą przed możliwością wprowadzenia zmian na niskim poziomie, jak i kontrolą proceduralną, aby zapewnić, że nie zostaną wprowadzone żadne zmiany, niezależnie od użytkownika lub oprogramowania. Usuwając możliwość zmian, obsługuje skróty używane do wykazania, że analizowane dowody pasują do zebranych dowodów i zapobiega wielu potencjalnym problemom z przetwarzaniem dowodów i pytaniom.
Analiza artykułu w JDFSL pokazuje, że bez blokady zapisu dokonano zmian w testowanych dyskach. Jednak przeciwnie - skróty poszczególnych plików danych pozostałyby nienaruszone, więc istnieją argumenty za rzetelnością dowodów zebranych bez blokady zapisu, ale nie są uważane za najlepszą praktykę branżową.
źródło
Nie możesz być pewny . @jakegould obejmuje mnóstwo powodów prawnych i technicznych, dlatego skupiam się na przyczynach operacyjnych.
Po pierwsze, nigdy nie montujesz takiego dysku, obrazujesz całe urządzenie. Twoje podstawowe założenie, że możesz używać uprawnień do systemu plików, jest błędne. Będziesz używał jakiegoś smaku DD lub specjalistycznego narzędzia akwizycyjnego, które powinno domyślnie obejmować działanie tylko do odczytu.
W kryminalistyce chodzi o absolutną pewność, że nie zmieniono dowodów na żadnym etapie, i że można dostarczyć zweryfikowaną kopię dysku bez żadnych zmian. (W rzeczywistości, chyba że musisz przeprowadzić śledztwo na żywo, wystarczy dotknąć podejrzanego dysku twardego tylko raz, aby go sfotografować). Więc oprócz tego, że twoje narzędzie akwizycji jest tylko do odczytu, działa ono jako druga linia obrony przed zepsuciem.
Bloker zapisu robi pewne rzeczy.
W pewnym sensie angażuje się w proces gromadzenia dowodów, a kruche ludzkie ja ma mniej rzeczy do zrobienia. Oprócz weryfikacji, że dysk źródłowy nie jest zapisany, może cię uratować, jeśli pomieszasz źródło i miejsce docelowe .
Krótko mówiąc, usuwa jeden możliwy poważny słaby punkt. Nie musisz myśleć o „czy zamontowałem dysk tylko do odczytu” czy „czy zamieniłem źródło i miejsce docelowe w dd?”
Podłączasz się do niego i nie musisz się martwić, jeśli nadpisujesz swoje dowody.
źródło
Stwierdzasz to:
Spójrzmy - na wysokim, nietechnicznym poziomie - logicznie przyjrzyjmy się, w jaki sposób gromadzone byłyby dane dowodowe. Kluczem do tego wszystkiego jest neutralność.
Masz podejrzanego o… Coś w sprawie prawnej lub potencjalnie prawnej. Ich dowody muszą być przedstawione tak neutralnie, jak to możliwe. W przypadku dokumentów fizycznych wystarczy wziąć wydrukowane materiały i fizycznie przechowywać je w bezpiecznym miejscu. Dla danych? Natura systemów komputerowych z natury wiąże się z problemem manipulacji danymi w grze.
Podczas gdy twierdzisz, że możesz logicznie zamontować wolumin jako „tylko do odczytu”, kim jesteś? Jak ktoś, kto nie jest tobą - jak sąd lub śledczy - może zaufać twoim umiejętnościom, systemom i wiedzy specjalistycznej? Czy to oznacza, że Twój system jest tak wyjątkowy, że jakiś proces w tle nie może nagle wyskoczyć w systemie i rozpocząć indeksowania od razu po podłączeniu? A jak to monitorujesz? I do cholery, a co z metadanymi plików? MD5 na plikach są przydatne… Ale jeśli jeden znak metadanych zmienia się w pliku, zgadnij co? MD5 się zmienia.
Sprowadza się to do świetnego schematu rzeczy, w których twoje osobiste umiejętności techniczne nie mają wpływu na możliwość przedstawiania danych w sposób możliwie najbardziej neutralny dla śledczych, sądów i innych osób.
Wprowadź bloker zapisu. To nie jest magiczne urządzenie. Wyraźnie blokuje zapis danych na poziomie podstawowym i co jeszcze? Cóż, to wszystko, co robi i to wszystko, co powinno robić (lub nie robić).
Bloker zapisu to neutralny element sprzętowy wykonany przez inną firmę zgodnie z przyjętym w branży standardem, który dobrze wykonuje jedno zadanie i jedno zadanie: Zapobiega zapisywaniu danych.
Badaczowi, sądowi lub innym osobom korzystanie z funkcji blokowania zapisu w zasadzie mówi: „Jestem specjalistą komputerowym, który rozumie dane kryminalistyczne i rozumie potrzebę integralności danych, gdy przekazuję innym informacje, których gromadzenie jest mi powierzone. Używam urządzenia fizycznego, które wszyscy zgadzamy się, uniemożliwia zapisom dostęp do tych danych, aby pokazać wszystkim, że tak, to dowód na to, że musisz zrobić to, co musisz zrobić. ”
Tak więc celem „zakupu czegoś takiego jak bloker zapisu” jest zakup narzędzia, które jest powszechnie uznawane przez ludzi na całym świecie za prawidłowe narzędzie do neutralnego dostępu do danych i ich gromadzenia. I że jeśli ktoś inny - który nie jest tobą - miałby uzyskać dostęp do danych za pomocą podobnego programu blokującego zapis, również one otrzymałyby te same dane w zamian.
Innym przykładem w świecie rzeczywistym są dowody z kamer wideo. Teraz tak, istnieje ryzyko sfałszowania dowodów wideo. Ale powiedzmy, że byłeś świadkiem przestępstwa, widziałeś podejrzanego i wiedziałeś, że to zrobili. W sądzie twoja uczciwość jako świadka zostanie wyparta przez obronę, gdy starają się bronić swojego klienta. Ale powiedzmy, że oprócz twojego zeznania naocznych świadków, policja otrzymała materiał wideo z przestępstwa. To bezstronne, bez mrugnięcia okiem neutralne urządzenie do przechwytywania obrazów budzi większość wątpliwości. Oznacza to, że „robot”, który nie jest człowiekiem, ale może rejestrować dane, utworzy kopię zapasową oskarżenia przeciwko obronie, a nie tylko słowu / zaufaniu.
Rzeczywistość to świat prawa, a legalność naprawdę sprowadza się do solidnych, namacalnych i - właściwie - niezaprzeczalnych dowodów fizycznych. I narzędzie do blokowania zapisu, które zapewnia, że fizyczne dowody danych są tak czyste, jak to możliwe.
źródło
Powodem zastosowania blokowania zapisu jest to, że przestępcy mogli umieścić procesy pułapki, które niszczą dowody zdarzenia (może to być niepoprawna próba hasła, brak dostępu do określonego serwera, próba dostępu do fałszywego pliku lub cokolwiek innego).
Wszelkie procesy przechwytywania mogą w zasadzie również próbować ponownie zamontować urządzenie w trybie odczytu i zapisu.
Jedynym sposobem, aby się upewnić, jest użycie urządzenia sprzętowego. Niektóre sprzętowe blokery zapisu mają przełącznik, który umożliwia wyłączenie funkcji blokowania zapisu, ale najważniejsze jest to, że oprogramowanie nigdy nie wpływa na sprzęt, jeśli sprzęt nie jest zaprogramowany do reagowania na sygnały oprogramowania.
Tę samą myśl można zastosować do pamięci USB, dlaczego niektóre pamięci USB mają fizyczny przełącznik ochrony przed zapisem.
Czasami śledczy musi być w stanie uruchomić system operacyjny podejrzanego, dlatego śledczy musi wystrzegać się wszelkich procesów pułapki.
Proces dochodzenia różni się w zależności od kraju z powodu różnych przepisów dotyczących odpowiedzialności. W niektórych krajach samo posiadanie niektórych plików jest nielegalne, Twoim obowiązkiem jest zabezpieczenie komputera i nie możesz winić nielegalnych plików za wirusa.
W innym kraju być może posiadanie pliku jest nielegalne, ale należy przedstawić dowody, że to podejrzany umieścił pliki, a nie wirus.
W drugim przypadku śledczy może potrzebować uruchomić komputer, aby zobaczyć, co uruchamia się podczas uruchamiania w trybie autostart / run / runonce.
Innymi słowy, przestępcy są z natury złośliwi, dlatego wszystko, co mogłoby podważyć ważność dowodów w sądzie, należy chronić za wszelką cenę. Ponadto, jeśli przestępca zastawił pułapkę, która automatycznie niszczy dowody, w wielu przypadkach NIE będzie to „niszczenie dowodów”, w przeciwieństwie do ręcznego usuwania czegoś. Jeśli zapisy są dozwolone, może to być katastrofa.
Izolowany proces sprzętowy jest znacznie bezpieczniejszy niż proces programowy, dlatego śledczy używają blokad zapisu, aby zabezpieczyć swój materiał przed zniszczeniem, w ten sam sposób, w jaki specjaliści ds. Bezpieczeństwa używają kart inteligentnych i tokenów, aby zapobiec naruszeniu ich tajemnic.
źródło