Perché sono necessari i blocchi di scrittura in presenza di mount con sola lettura?


10

Diciamo che stiamo usando un po 'di sapore di Linux e montiamo una partizione usando il seguente comando:

sudo mount -o ro /dev/sdc1 /mnt

La partizione dovrebbe essere di sola lettura in modo che il sistema operativo e l'utente non possano scrivere sul disco senza modificare le mountautorizzazioni.

Da ForensicsWiki :

I blocchi di scrittura sono dispositivi che consentono l'acquisizione di informazioni su un'unità senza creare la possibilità di danneggiare accidentalmente il contenuto dell'unità. Lo fanno consentendo il passaggio dei comandi di lettura ma bloccando i comandi di scrittura, da cui il loro nome.

Questo mi sembra che sia solo per prevenire bandiere accidentali. La pagina dice anche che ci sono funzionalità aggiuntive per alcuni blocchi di scrittura, come rallentare il disco per prevenire danni. Ma per questo supponiamo che sia solo un semplice che può solo bloccare la scrittura.

Se riesci a montare un disco in modalità di sola lettura, qual è il punto di acquistare qualcosa come un blocco della scrittura? Questo serve solo a prevenire cose come un comando di montaggio accidentale con permessi di scrittura (errore dell'utente, che in alcuni casi non può essere permesso, ad esempio casi penali), o mi sto perdendo alcune delle funzionalità approfondite di come funzionano i filesystem?

Nota: sono consapevole del fatto che alcuni SSD rimescolano continuamente i dati, non sono sicuro di includerli nella domanda o meno. Sembra che ciò renderebbe molto più complicato.


eh. Sono abbastanza sicuro che ci sia una domanda sul recupero dei dati dagli SSD e ho risposto. La letteratura attuale su questo è contraddittoria e un casino.
Journeyman Geek

1
La lettura è in realtà un ottimo modo per superare il blocco dello scrittore.
Radu,

1
Quella parola non significa ciò che pensi significhi (nel contesto)
Journeyman Geek

Risposte:


9

Il Journal of Digital Forensics, Security and Law contiene un eccellente articolo UNO STUDIO DI IMMAGINI FORENSE IN ASSENZA DI SCRITTORI-BLOCCHI che analizza la cattura forense sia con che senza bloccanti di scrittura. Dal diario:

Le migliori pratiche di medicina legale digitale richiedono l'uso di strumenti di blocco della scrittura durante la creazione di immagini forensi di media digitali, e questo è stato un principio fondamentale della formazione forense informatica per decenni. La pratica è così radicata che l'integrità delle immagini create senza un blocco della scrittura è immediatamente sospetta.

Il semplice montaggio di un file system può causare letture / scritture. Molti moderni filesystem, da ext3 / 4 e xfs a NTFS , hanno tutti un journal che mantiene i metadati sul filesystem stesso. Se si verifica un'interruzione dell'alimentazione, l'arresto incompleto o una serie di motivi, questo diario viene automaticamente letto e riscritto nelle strutture dei file sull'unità per mantenere la coerenza del file system stesso. Ciò può accadere durante il processo di mount, indipendentemente dal fatto che il file system sia in lettura o scrittura.

Ad esempio, dalla documentazione ext4 l' roopzione mount sarà ...

Montare il filesystem in sola lettura. Si noti che ext4 riprodurrà il journal (e quindi scriverà sulla partizione) anche se montato "sola lettura". Le opzioni di mount "ro, noload" possono essere usate per impedire le scritture sul filesystem.

Sebbene queste modifiche a livello di driver non influiscano sul contenuto dei file, è uno standard forense prendere hash crittografici delle prove al momento della raccolta al fine di mantenere una catena di custodia. Se si può dimostrare che l'hash, cioè sha256, delle prove attualmente in possesso corrisponde a ciò che è stato raccolto, allora si può dimostrare oltre ogni ragionevole dubbio che i dati dell'unità non sono stati modificati durante il processo di analisi.

Le prove digitali possono essere citate come prove in quasi ogni categoria di criminalità. Gli investigatori forensi devono essere assolutamente certi che i dati che ottengono come prove non sono stati alterati in alcun modo durante l'acquisizione, l'analisi e il controllo. Avvocati, giudici e giurati devono essere sicuri che le informazioni presentate in un caso di criminalità informatica siano legittime. Come può un investigatore accertarsi che le sue prove siano accettate in tribunale?

Secondo il National Institute of Standards and Technology (NIST), lo sperimentatore segue una serie di procedure progettate per impedire l'esecuzione di qualsiasi programma che potrebbe modificare il contenuto del disco. http://www.cru-inc.com/data-protection-topics/writeblockers/

È necessario un blocco della scrittura , perché se un bit cambia per qualsiasi motivo (sistema operativo, livello del driver, livello del file system o inferiore), gli hash del sistema raccolto rispetto al sistema analizzato non corrisponderanno più e l'ammissibilità dell'unità come prova potrebbe essere messa in discussione.

Il blocco della scrittura è quindi sia un controllo tecnico contro la possibilità di modifiche di basso livello, sia un controllo procedurale per garantire che non siano state apportate modifiche, indipendentemente dall'utente o dal software. Eliminando la possibilità di modifiche, supporta gli hash da utilizzare per mostrare che le prove analizzate corrispondono alle prove raccolte e prevengono molti potenziali problemi di gestione delle prove e domande.

L'analisi dell'articolo di JDFSL mostra che senza un blocco della scrittura sono state apportate modifiche alle unità testate. Tuttavia, al contrario, gli hash dei singoli file di dati sarebbero ancora intatti, quindi esistono argomenti per la solidità delle prove raccolte senza un blocco della scrittura, ma non sono considerate le migliori pratiche del settore.


4

Non puoi esserne sicuro . @jakegould copre un sacco di ragioni legali e tecniche, quindi mi sto concentrando sulle ragioni operative.

Innanzitutto, non si monta mai un'unità del genere, si immagina un intero dispositivo. La tua premessa principale, che puoi usare le autorizzazioni del filesystem, è sbagliata. Utilizzerai un po 'di sapore di DD o uno strumento di acquisizione specializzato che dovrebbe includere il funzionamento in sola lettura per impostazione predefinita.

Forensics si basa sull'essere assolutamente sicuri di non aver manomesso le prove in nessuna fase e di poter fornire una copia verificata dell'unità senza apportare modifiche. (In effetti, a meno che non sia necessario eseguire analisi forensi dal vivo, si tocca un disco rigido sospetto solo una volta per immaginarlo). Quindi, oltre allo strumento di acquisizione in sola lettura, agisce come una seconda linea di difesa contro i pasticci.

Il blocco della scrittura fa certe cose.

  1. Sposta l'onere di provare che l'unità era in realtà di sola lettura
  2. In un modo più idiota - Diventa parte del tuo impianto / processo di "acquisizione"
  3. con il dispositivo garantito dal produttore, che è qualcosa che desideri nel tuo registro delle prove / incidente.

In un certo senso si inserisce nel processo di raccolta delle prove e c'è una cosa in meno per cui il tuo fragile sé umano può sbagliare. Oltre alla verifica che l'unità di origine non è scritta, potrebbe salvarti se mescoli sorgente e destinazione .

In breve, elimina un possibile grande punto debole. Non devi pensare a "ho montato il drive in sola lettura" o "ho scambiato la mia sorgente e destinazione in dd?"

Lo agganci e non devi preoccuparti se hai sovrascritto le tue prove.


Buoni punti operativi, processo e capacità di riprodurre i risultati sono fondamentali in medicina legale - un blocco della scrittura elimina sia gli errori umani che quelli della macchina.
glallen,

+1 Perché questo è un argomento complesso e hai toccato le specifiche a un livello che non ho fatto,
JakeGould

2

Lo dichiari:

Se riesci a montare un disco in modalità di sola lettura, qual è il punto di acquistare qualcosa come un blocco della scrittura?

Vediamo, ad un livello elevato, non tecnico, logicamente come verranno raccolti i dati per le prove. E la chiave di tutto ciò è la neutralità.

Hai il sospetto di ... Qualcosa in un caso legale o potenzialmente legale. Le loro prove devono essere presentate il più neutrali possibile. Nel caso di documenti fisici puoi semplicemente prendere i materiali stampati e conservarli fisicamente in un luogo sicuro. Per i dati? La natura dei sistemi informatici ha intrinsecamente in gioco un problema di manipolazione dei dati.

Mentre affermi che potresti semplicemente montare il volume come "sola lettura" chi sei? E come può qualcuno che non sei tu, come un tribunale o un investigatore, fidarsi delle tue capacità, sistemi e competenze? Significa che cosa rende il tuo sistema così speciale che un processo in background non può improvvisamente apparire sul sistema e iniziare a indicizzarlo dal momento in cui lo colleghi? E come lo monitorerai? E diamine, per quanto riguarda i metadati dei file? Gli MD5 sui file sono utili ... Ma se un carattere di metadati cambia in un file indovinate cosa? L'MD5 cambia.

Ciò che si riduce è nel grande schema delle cose che le tue capacità tecniche personali non hanno attinenza con la capacità di presentare i dati il ​​più neutralmente possibile a investigatori, tribunali o altri.

Inserisci un blocco di scrittura. Questo non è un dispositivo magico. Blocca chiaramente la scrittura dei dati a livello di base e cos'altro? Bene, questo è tutto ciò che fa ed è tutto ciò che dovrebbe (o non fare) mai.

Un blocco della scrittura è un componente hardware neutro realizzato da un'altra società secondo gli standard accettati dal settore che esegue bene un'attività e un'attività: Impedisci la scrittura dei dati.

A un investigatore, a un tribunale o ad altri, l'uso di un blocco della scrittura afferma sostanzialmente: "Sono un professionista informatico che comprende la forense dei dati e comprende la necessità di integrità dei dati nel fornire ad altri informazioni che sono incaricato di raccogliere. Sto usando un dispositivo fisico che siamo tutti d'accordo sul fatto che impedisce alle scritture di accedere a questi dati per mostrare a tutti che sì, questa è la prova che devi fare per fare ciò che devi fare. "

Quindi il punto di "acquistare qualcosa come un blocco della scrittura" è quello di acquistare uno strumento universalmente riconosciuto da persone di tutto il mondo come uno strumento valido per l'accesso e la raccolta di dati neutrali. E che se qualcun altro - che non sei tu - dovesse accedere ai dati con un blocco di scrittura simile, anche loro otterrebbero in cambio gli stessi dati.

Un altro esempio del mondo reale è l'evidenza della videocamera. Ora sì, c'è il rischio che le prove video vengano manomesse. Ma supponiamo che tu abbia assistito a un crimine e abbia visto il sospettato e sappia che l'hanno fatto. In un tribunale, la tua integrità come testimone sarà sviscerata dalla difesa mentre cercano di difendere il loro cliente. Ma supponiamo che, oltre al tuo rapporto dei testimoni oculari, la polizia ottenga filmati del crimine in corso. Quell'occhio imparziale e privo di legami di un dispositivo di acquisizione di immagini neutre pone in dubbio la maggior parte dei tuoi dubbi. Significa che una cosa "robot" che non è un essere umano ma che può registrare dati salverà il procedimento giudiziario contro la difesa e non solo la tua parola / fiducia.

La realtà è che il mondo della legge e della legalità si riduce davvero a prove fisiche solide, tangibili e - praticamente - inconfutabili. E un blocco della scrittura è uno strumento che garantisce che l'evidenza dei dati fisici sia il più pulita possibile.


1
+1 brontolare brontolare Hai coperto un sacco di cose che avrei avuto; p
Journeyman Geek

-2

Il motivo per cui vengono utilizzati i programmi di blocco della scrittura è perché i criminali potrebbero aver inserito processi trap che distruggono le prove su un evento (potrebbe essere un tentativo di password errato, nessuna possibilità di accedere a un server specifico, tentare di accedere a un file falso o altro).

Qualsiasi processo trap può sostanzialmente tentare di rimontare il dispositivo anche in lettura-scrittura.

L'unico modo per essere sicuri è utilizzare un dispositivo hardware. Alcuni writeblocker hardware dispongono di un interruttore che consente di disabilitare la funzione writeblocking, ma la cosa più importante è che il software non può mai influire sull'hardware se l'hardware non è programmato per reagire ai segnali del software.

Lo stesso può essere applicato alle memorie USB, perché alcune memorie USB hanno un interruttore di protezione da scrittura fisico.

A volte l'investigatore deve essere in grado di avviare il sistema operativo del sospetto, ecco perché l'investigatore deve diffidare di tutti i processi di trap.

Il processo di indagine varia tra i diversi paesi a causa delle diverse leggi sulla responsabilità. In alcuni paesi, il semplice possesso di determinati file è illegale, è responsabilità dell'utente proteggere il computer e non è possibile incolpare i file illegali di un virus.

E in un altro paese, potrebbe essere che il possesso del file sia illegale, ma è necessario presentare prove del fatto che è stato il sospettato a posizionare i file e non un virus.

Nel secondo caso, l'investigatore potrebbe aver bisogno di avviare il computer per vedere tutto ciò che si avvia all'avvio in avvio automatico / run / runonce.

In altre parole, i criminali sono per natura dannosi, quindi tutto ciò che potrebbe mettere in discussione la validità delle prove in tribunale deve essere protetto a tutti i costi. Inoltre, se il criminale ha messo una trappola che distrugge automaticamente le prove, in molti casi NON si tratterà di "distruzione delle prove", invece di eliminare manualmente qualcosa. Potrebbe essere un disastro se le scritture sono permesse.

Un processo hardware isolato è molto più sicuro di un processo software, quindi gli investigatori vengono utilizzati dagli investigatori per proteggere il loro materiale dalla distruzione, allo stesso modo in cui i professionisti della sicurezza utilizzano smart card e token per impedire che i loro segreti vengano compromessi.


1
La logica qui sembra dipendere dalle prove raccolte da un "criminale" senza prospettive in atto che consentirebbero la raccolta delle prove solo perché fa parte di un caso. 100% chiunque nel mondo può essere arrestato e sequestrare i propri sistemi. Che di per sé non deduce colpa o comportamento complice. Significa solo che i loro sistemi sono stati sequestrati come prova potenziale. Il valore di un blocco della scrittura è garantire che i dati raccolti dalla macchina siano sostanzialmente "congelati nel tempo" e in uno stato che può essere utilizzato come prova da una terza parte neutrale. Niente di più. Nientemeno.
Jake Gould il

1
In genere, ai professionisti forensi viene insegnato che l'onere della prova è su di loro e gli studenti di informatica forense avvertono che gli avvocati ti mangeranno vivo, con il ketchup se sbagli le prove. I "processi di trappola" non sono mai stati menzionati, soprattutto perché la ragione per cui la medicina legale offline è preferita alla medicina legale è quella di evitarlo. Se si utilizza un blocco della scrittura: il sistema è già stato spento, spesso strattonando il cavo e l'unità originale è già stata protetta.
Journeyman Geek

Se si avvia un sistema per crearne un'immagine, tale immagine non può essere considerata attendibile, indipendentemente dal fatto che sia presente un blocco di scrittura. Se si esegue l'imaging da un buon sistema noto, qualsiasi trappola software sull'immagine da cui si sta copiando sarebbe irrilevante. Il blocco della scrittura non è presente per impedire le scritture attivate dai dati sui dati che si stanno acquisendo, è lì per impedire le scritture da parte del sistema che esegue l'imaging.
Kasperd,

Normalmente entrambi usate un blocco della scrittura per crearne un'immagine. Quindi avviare il sistema, se necessario, per raccogliere prove accessibili solo "online" (mentre viene avviato il sistema operativo sospetto). Nella maggior parte dei casi, è sufficiente con una semplice analisi offline, ma a volte è necessaria un'analisi online in AGGIUNTA all'analisi offline. Normalmente si lavora con l'immagine, ma a volte il software trap potrebbe utilizzare gli ID unità per impedire un ulteriore accesso quando viene avviata una copia, quindi in pratica è necessario eseguire l'avvio online con un blocco della scrittura. Tutto dipende dal motivo per cui stai investigando in modo legale sull'unità in questione.
sebastian nielsen,

1
@sebastiannielsen "Sì, ma è necessario assumere il peggio quando si analizza un'unità." No, non lo capisci ancora. Devi assumere l'ignoto quando indaga su qualcosa. Non il peggio. Non il migliore. Ma semplicemente l'ignoto. E un esperto forense che presume che il "peggiore" all'inizio sia una cattiva risorsa in sé e per sé. Mantenere la neutralità è difficile, ma questo è il lavoro di un analista forense.
Jake Gould,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.