10

Допустим, мы используем немного разновидности Linux и монтируем раздел с помощью следующей команды:

sudo mount -o ro /dev/sdc1 /mnt

Предполагается, что раздел предназначен только для чтения, поэтому ОС и пользователь не могут выполнять запись на диск без изменения прав на mount .

Из ForensicsWiki:

Блокировщики записи - это устройства, которые позволяют получать информацию на диске без возможности случайного повреждения содержимого диска. Они делают это, пропуская команды чтения, но блокируя команды записи, отсюда и их имя.

Мне кажется, что это просто для предотвращения случайных флагов. На странице также говорится, что некоторые блокировщики записи имеют дополнительные функции, такие как замедление работы диска для предотвращения его повреждения. Но для этого давайте предположим, что это просто, что может только блокировать запись.

Если вы можете просто смонтировать диск в режиме «только чтение», какой смысл покупать что-то, например, блокировщик записи? Это просто для предотвращения таких вещей, как случайная команда монтирования с разрешениями на запись (ошибка пользователя, которая не может быть разрешена в некоторых случаях, например, в уголовных делах), или я упускаю некоторые более глубокие возможности работы файловых систем?

Примечание. Мне известно, что некоторые твердотельные накопители постоянно перемешивают данные, и я не уверен, включать их в вопрос или нет. Кажется, что это сделало бы это намного сложнее.

4 ответа4

9

В Журнале цифровой криминалистики, безопасности и права есть отличная статья «ИЗУЧЕНИЕ СУДЕБНЫХ ИЗОБРАЖЕНИЙ В ОТСУТСТВИИ ЗАПИСЕЙ-БЛОКАТОРОВ», в которой анализируется криминалистический захват как с блокировщиками записи, так и без них. Из журнала:

Лучшие практики в области цифровой криминалистики требуют использования блокировщиков записи при создании криминалистических изображений цифровых носителей, и это было основным принципом обучения компьютерной криминалистике на протяжении десятилетий. Эта практика настолько укоренилась, что целостность изображений, созданных без блокировщика записи, сразу вызывает сомнения.

Простое монтирование файловой системы может вызвать чтение / запись. Многие современные файловые системы, от ext3 / 4 и xfs до NTFS, имеют журнал, в котором хранятся метаданные о самой файловой системе. В случае потери питания, неполного выключения или ряда причин этот журнал автоматически считывается и записывается обратно в файловые структуры на всем диске, чтобы поддерживать согласованность самой файловой системы. Это может произойти во время процесса монтирования, независимо от того, находится ли файловая система в режиме чтения-записи.

Например, из документации ext4 опция ro mount будет ...

Монтировать файловую систему только для чтения. Обратите внимание, что ext4 будет воспроизводить журнал (и, следовательно, записывать в раздел), даже если он подключен "только для чтения". Параметры монтирования "ro, noload" могут использоваться для предотвращения записи в файловую систему.

Хотя эти изменения на уровне драйвера не влияют на содержимое файлов, это криминалистический стандарт, заключающийся в получении криптографических хэшей доказательств при сборе для поддержания цепочки хранения. Если кто-то может показать, что хеш, то есть sha256, хранящихся в настоящее время доказательств совпадает с тем, что было собрано, то вы можете без каких-либо разумных сомнений доказать, что данные накопителя не были изменены в процессе анализа.

Цифровое доказательство может быть приведено в качестве доказательства почти в каждой категории преступлений. Судебные следователи должны быть абсолютно уверены, что данные, которые они получают в качестве доказательств, не были изменены каким-либо образом во время сбора, анализа и контроля. Адвокаты, судьи и присяжные должны быть уверены, что информация, представленная в деле о компьютерном преступлении, является законной. Как следователь может убедиться в том, что его или ее доказательства будут приняты в суде?

Согласно Национальному институту стандартов и технологий (NIST), следователь следует ряду процедур, предназначенных для предотвращения выполнения любой программы, которая может изменить содержимое диска. http://www.cru-inc.com/data-protection-topics/writeblockers/

Блокировщик записи необходим, потому что если какой-либо бит изменяется по какой - либо причине - ОС, уровень драйвера, уровень файловой системы или ниже - тогда хэши собранной и анализируемой системы больше не будут совпадать, и допустимость диска в качестве доказательства может быть под сомнение.

Таким образом, блокировщик записи - это и технический контроль над возможностью изменений на низком уровне, и процедурный контроль, обеспечивающий уверенность в том, что никаких изменений не было сделано, независимо от пользователя или программного обеспечения. Удаляя возможность изменений, он поддерживает хеши, которые должны использоваться для демонстрации того, что анализируемые доказательства соответствуют собранным доказательствам, и предотвращает многие потенциальные проблемы и вопросы обработки доказательств.

Анализ статьи JDFSL показывает, что без блокировщика записи были внесены изменения в протестированные ими диски. Однако, с другой стороны - хэши отдельных файлов данных по-прежнему не повреждены, поэтому существуют аргументы в пользу достоверности доказательств, собранных без блокировщика записи, но они не считаются лучшими в отрасли.

4

Вы не можете быть уверены. @jakegould покрывает тонну юридических и технических причин, поэтому я сосредотачиваюсь на эксплуатационных причинах.

Во-первых, вы никогда не монтируете такой диск, вы создаете образ всего устройства. Ваша основная предпосылка, что вы можете использовать разрешения файловой системы, неверна. Вы собираетесь использовать некоторую разновидность DD или специализированный инструмент сбора данных, который по умолчанию должен включать рабочее чтение только.

Криминалистика заключается в том, чтобы быть абсолютно уверенным, что вы не подделали доказательства на любом этапе, и что вы можете предоставить проверенную копию диска без каких-либо изменений в нем. (На самом деле, если вам не нужно проводить судебно-медицинскую экспертизу, вы можете прикоснуться к подозрительному жесткому диску только один раз, чтобы создать образ).Таким образом, в дополнение к тому, что ваш инструмент сбора данных доступен только для чтения, он служит второй линией защиты от ошибок.

Блокатор записи делает определенные вещи.

  1. Это переносит бремя доказывания того, что диск на самом деле был только для чтения
  2. В более идиотской манере - это становится частью вашей установки / процесса 'приобретения'
  3. с устройством, гарантированным для производителя - это то, что вам нужно в вашем журнале доказательств / происшествий.

В некотором смысле это вписывается в процесс сбора доказательств, и у вашей слабой человеческой сущности меньше проблем.В дополнение к проверке того, что исходный диск не записан, он может спасти вас, если вы перепутаете источник и место назначения.

Короче говоря, это устраняет одно возможное главное слабое место. Вам не нужно думать о том, «смонтировал ли я диск только для чтения» или «поменял ли я источник и назначение в dd?'

Вы подключаете это, и вам не нужно беспокоиться, если вы переписали свои доказательства.

2

Вы заявляете это:

Если вы можете просто смонтировать диск в режиме «только чтение», какой смысл покупать что-то, например, блокировщик записи?

Давайте - на высоком, нетехническом уровне - логично посмотреть, как будут собираться данные для доказательства. И ключ ко всему этому - нейтралитет.

У вас есть подозрение на ... что-то в юридическом или потенциально юридическом деле. Их доказательства должны быть представлены как можно более нейтральными. В случае с физическими документами вы можете просто взять распечатанные материалы и физически хранить их в надежном месте. Для данных? Природа компьютерных систем по своей природе имеет проблему манипулирования данными в игре.

Пока вы заявляете, что можете просто логически смонтировать том как «только для чтения», кто вы? И как может кто-то, кто не является вами, например суд или следователь, доверять вашим навыкам, системам и опыту? То есть, что делает вашу систему такой особенной, какой-то фоновый процесс не может внезапно появиться в системе и начать индексировать ее, как только вы подключите ее? И как вы будете это контролировать? И, черт возьми, как насчет метаданных файла? MD5 для файлов полезны ... Но если в файле изменяется один символ метаданных, угадайте, что? MD5 меняется.

Все сводится к тому, что ваши личные технические навыки никак не влияют на способность представлять данные как можно более нейтрально следователям, судам или другим лицам.

Введите блокировщик записи. Это не волшебное устройство. Он четко блокирует запись данных на базовом уровне и что еще? Ну, это все, что он делает, и это все, что он должен когда-либо делать (или не делать).

Блокировщик записи - это нейтральная часть оборудования, произведенного другой компанией в соответствии с принятым в отрасли стандартом, который хорошо выполняет одну задачу и одну задачу: предотвращение записи данных.

Для следователя, суда или других лиц использование блокировщика записи в основном гласит: «Я - специалист по компьютерам, который разбирается в криминалистике данных и понимает необходимость обеспечения целостности данных при предоставлении информации другим лицам, которые мне поручено собирать.Я использую физическое устройство, которое, как мы все согласны, запрещает записи для доступа к этим данным, чтобы показать всем, что да, это доказательство того, что вам нужно делать то, что вам нужно ».

Таким образом, цель «покупки чего-либо, такого как блокировщик записи», состоит в том, чтобы купить инструмент, который повсеместно признан людьми во всем мире как действительный инструмент для нейтрального доступа к данным и их сбора. И что если бы кто-то другой - кто не вы - имел бы доступ к данным с помощью аналогичного блокировщика записи, он тоже получил бы те же данные взамен.

Еще один пример из реальной жизни - доказательства видеокамеры. Теперь да, есть риск подделки видеодоказательств. Но допустим, вы были свидетелем преступления, видели подозреваемого и знаете, что они это сделали. В суде ваша честность в качестве свидетеля будет потрошена защитой, когда они попытаются защитить своего клиента. Но, скажем, в дополнение к вашему сообщению очевидца, полиция получит видеозапись преступления. Этот беспристрастный, немигающий глаз устройства захвата нейтрального изображения оставляет большинство сомнений в ваших утверждениях. Это означает, что «робот», который не является человеком, но может записывать данные, будет поддерживать дело обвинения против защиты, а не только ваше слово / доверие.

Реальность такова, что мир закона и законности сводится к твердым, осязаемым и - в значительной степени - неопровержимым физическим доказательствам. И блокировщик записи - инструмент, который гарантирует, что физические данные будут максимально чистыми.

-2

Причина, по которой блокировщики записи используются, заключается в том, что злоумышленники могли поместить в ловушку процессы, которые уничтожают улики при возникновении события (это может быть попытка неверного пароля, отсутствие доступа к конкретному серверу, попытка доступа к поддельному файлу или что-либо еще).

Любые процессы перехвата могут также попытаться перемонтировать устройство в режиме чтения-записи.

Единственный способ убедиться в этом - использовать аппаратное устройство. Некоторые аппаратные блокираторы записи имеют переключатель, который позволяет отключить функцию блокирования записи, но главное, что программное обеспечение никогда не может влиять на аппаратное обеспечение, если аппаратное обеспечение не запрограммировано реагировать на программные сигналы.

То же самое можно применить к USB-накопителям, поэтому некоторые USB-накопители имеют физический переключатель защиты от записи.

Иногда следователь должен иметь возможность загружать ОС подозреваемого, поэтому следователю следует с осторожностью относиться к любым процессам перехвата.

Процесс расследования различается в разных странах из-за разных законов об ответственности. В некоторых странах простое хранение определенных файлов является незаконным, вы несете ответственность за обеспечение безопасности своего компьютера, и вы не можете винить незаконные файлы в вирусе.

А в другой стране, возможно, владение файлом является незаконным, но необходимо представить доказательства того, что файл был размещен подозреваемым, а не вирусом.

Во втором случае следователю может понадобиться загрузить компьютер, чтобы увидеть, что запускается при загрузке, в autostart/run/runonce.

Другими словами, преступники по своей природе являются злыми, поэтому все, что может оспорить действительность доказательств в суде, должно быть защищено любой ценой. Кроме того, если преступник установил ловушку, которая автоматически уничтожает доказательства, во многих случаях это НЕ будет «уничтожением улик», а не удалением чего-либо вручную. Это может быть катастрофой, если запись разрешена.

Изолированный аппаратный процесс намного более безопасен, чем программный процесс, поэтому следователи используют следящие блоки для защиты своих материалов от уничтожения, точно так же, как специалисты по безопасности используют смарт-карты и токены для предотвращения раскрытия своих секретов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .