Por que os bloqueadores de gravação são necessários quando há montagem com somente leitura?

O Jornal da Digital Forense, Segurança e Direito tem um excelente artigo UM ESTUDO DE IMAGEM FORENSE NO AUSÊNCIA DE BLOQUEADORES DE ESCRITA que analisa a perícia, tanto com e sem bloqueadores de escrita. Do jornal:

Best practices in digital forensics demand the use of write-blockers when creating forensic images of digital media, and this has been a core tenet of computer forensics training for decades. The practice is so ingrained that the integrity of images created without a write-blocker are immediately suspect.

A simples montagem de um sistema de arquivos pode causar leitura / gravação. Muitos sistemas de arquivos modernos, de ext3 / 4 e xfs a NTFS , possuem um jornal que mantém metadados sobre o sistema de arquivos em si. Se houver perda de energia, desligamento incompleto ou vários motivos, esse diário será automaticamente lido e gravado de volta nas estruturas de arquivos na unidade para manter a consistência do próprio sistema de arquivos. Isso pode acontecer durante o processo de montagem, seja o sistema de arquivos lido ou não.

Por exemplo, na documentação do ext4 , a opção ro mount ...

Mount filesystem read only. Note that ext4 will replay the journal (and thus write to the partition) even when mounted "read only". The mount options "ro,noload" can be used to prevent writes to the filesystem.

Embora essas mudanças no nível do driver não afetem o conteúdo dos arquivos, é um padrão forense para obter hashes criptográficos de evidências após a coleta, a fim de manter uma cadeia de custódia. Se alguém puder mostrar que o hash, ou seja, sha256, da evidência atualmente armazenada corresponde ao que foi coletado, então você pode provar, além de qualquer dúvida razoável, que os dados da unidade não foram modificados durante o processo de análise.

Digital evidence can be cited as evidence in nearly every crime category. Forensic investigators need to be absolutely certain that the data they obtain as evidence has not been altered in any way during the capture, analysis, and control. Attorneys, judges and jurors need to feel confident that the information presented in a computer crime case is legitimate. How can an investigator ensure for certain that his or her evidence is accepted in court?

According to the National Institute of Standards and Technology (NIST), the investigator follows a set of procedures designed to prevent the execution of any program that might modify the disk contents. http://www.cru-inc.com/data-protection-topics/writeblockers/

Um write blocker é necessário, porque se qualquer bit for alterado para qualquer motivo - SO, nível do driver, nível do sistema de arquivos ou abaixo - então os hashes do sistema coletado vs analisado não mais corresponderão, e a admissibilidade da unidade como evidência pode ser questionada.

O bloqueador de gravação é, portanto, um controle técnico contra a possibilidade de alterações de baixo nível e um controle de procedimento para fornecer garantia de que nenhuma alteração foi feita, independentemente do usuário ou do software. Ao remover a possibilidade de alterações, ele suporta hashes a serem usados para mostrar que as evidências analisadas correspondem às evidências coletadas e evita muitos problemas e questões de tratamento de evidências em potencial.

A análise do artigo JDFSL mostra que sem um bloqueador de gravação, foram feitas alterações nas unidades testadas. No entanto, do lado contrário - os hashes de arquivos de dados individuais ainda estariam intactos, portanto, argumentos para a integridade das evidências coletadas sem um bloqueador de gravação existem, mas não são considerados as melhores práticas do setor.

    

Você não pode ter certeza . @jakegould abrange uma tonelada das razões legais e técnicas, por isso estou me concentrando nas razões operacionais.

Em primeiro lugar, você nunca monta uma unidade como essa, você imagina um dispositivo inteiro. Sua premissa básica, de que você pode usar as permissões sistema de arquivos , está errada. Você usará um sabor do DD ou uma ferramenta de aquisição especializada que deve incluir somente leitura por padrão.

A análise forense tem a ver com absolutamente certeza de que você não adulterou a evidência em qualquer estágio, e que você pode fornecer uma cópia verificada da unidade sem alterações feito para isso. (Na verdade, a menos que você precise fazer análise forense ao vivo, você só toca em um disco rígido suspeito uma vez para visualizá-lo). Assim, além de sua ferramenta de aquisição ser apenas de leitura, ela atua como uma segunda linha de defesa contra bagunçar.

O bloqueador de gravação faz certas coisas.

1. Ele transfere o fardo de provar que a unidade era de fato somente leitura
2. De um modo mais idiotproof - Torna-se parte do seu equipamento / processo de 'aquisição'
3. com o dispositivo garantido pelo fabricante - que é algo que você deseja em seu registro de evidências / incidentes.

De certa forma, ele se encaixa no processo de coleta de evidências e há uma coisa a menos para o seu frágil ser humano se confundir. Além da verificação de que a unidade de origem não está escrita, pode salvá-lo se você misturar a origem e o destino.

Em suma, elimina um possível ponto fraco major . Você não tem que pensar em 'eu montei a unidade readonly' ou 'eu troquei minha fonte e destino em dd?'

Você conecta isso e não precisa se preocupar se tiver feito sua prova.

    

Você afirma isso:

If you can just mount a disk in read-only mode, what is the point of buying something such as a write blocker?

Vamos, em um nível alto e não técnico, analisar logicamente como os dados de evidência seriam coletados. E a chave para tudo isso é a neutralidade.

Você tem um suspeito de ... Algo em um caso legal ou potencialmente legal. Sua evidência deve ser apresentada o mais neutra possível. No caso de documentos físicos, você pode simplesmente pegar os materiais impressos e guardá-los fisicamente em um local seguro. Para dados? A natureza dos sistemas de computador inerentemente tem uma questão de manipulação de dados em jogo.

Enquanto você afirma que você poderia montar o volume logicamente como “somente leitura” quem é você? E como alguém que não é você, como um tribunal ou investigador, pode confiar em suas habilidades, sistemas e conhecimento? Significando o que torna seu sistema tão especial, algum processo em segundo plano não pode aparecer de repente no sistema e começar a indexá-lo no segundo em que você o conecta? E como você vai monitorar isso? E, e os metadados de arquivo? MD5 em arquivos são úteis… Mas se um caractere de metadados mudar em um arquivo, adivinhe? O MD5 muda.

O que se resume a isso é que, no grande esquema das coisas, suas habilidades técnicas pessoais não influenciam a capacidade de apresentar dados da forma mais neutra possível a investigadores, tribunais ou outros.

Digite um bloqueador de gravação. Este não é um dispositivo magicamente. Isso claramente bloqueia a gravação de dados em um nível básico e o que mais? Bem, isso é tudo o que ele faz e isso é tudo que deve fazer (ou não).

Um bloqueador de gravação é uma peça neutra de hardware feita por outra empresa para o padrão aceito pelo setor que executa bem uma tarefa e uma tarefa: Evitar gravações de dados.

Para um investigador, tribunal ou outros, o uso de um bloqueador de gravação basicamente declara: “Eu sou um profissional de computação que entende dados forenses e entende a necessidade de integridade de dados ao fornecer outras informações que eu recebo. Estou usando um dispositivo físico que todos concordamos que impede que as gravações acessem esses dados para mostrar a todos que sim, essa é a evidência de que você precisa para fazer o que precisa fazer. ”

Portanto, o ponto de “comprar algo como um bloqueador de escrita” é comprar uma ferramenta que é universalmente reconhecida por pessoas de todo o mundo como uma ferramenta válida para acesso e coleta de dados neutros. E que, se alguém - que não é você - acessasse os dados com um bloqueador de gravação semelhante, também receberia os mesmos dados em troca.

Outro exemplo do mundo real é a evidência da câmera de vídeo. Agora, sim, existe o risco de evidências em vídeo serem adulteradas. Mas digamos que você tenha testemunhado um crime e tenha visto o suspeito e saiba que ele o fez. Em um tribunal, sua integridade como uma testemunha será eviscerada pela defesa enquanto eles buscam defender seu cliente. Mas, digamos, além do relatório de sua testemunha ocular, a polícia registra um vídeo do crime acontecendo. Esse olhar imparcial, sem piscar, de um dispositivo de captura de imagem neutra permite que você descanse a maior parte das dúvidas sobre suas reivindicações. Ou seja, uma coisa “robotizada” que não é humana, mas pode gravar dados, fará backup do processo de acusação contra a defesa e não apenas da sua palavra / confiança.

A realidade é que o mundo da lei e da legalidade se resume a evidências físicas sólidas, tangíveis e - praticamente - irrefutáveis. E um bloqueador de gravação uma ferramenta que garante que a evidência de dados físicos seja a mais limpa possível.

    

O motivo pelo qual os bloqueadores de gravação são usados é que os criminosos podem ter colocado processos de captura que destruam evidências em um evento (pode ser uma tentativa incorreta de senha, não atingir um servidor específico, tentar acessar um arquivo falso ou qualquer outro). p>

Qualquer processo de trap pode basicamente tentar remontar o dispositivo em leitura / gravação também.

A única maneira de ter certeza é usar um dispositivo de hardware. Alguns gravadores de hardware têm um interruptor que permite que a função de bloqueio de gravação seja desabilitada, mas a principal coisa importante é que o software nunca poderá afetar o hardware se o hardware não estiver programado para reagir aos sinais do software.

O mesmo método pode ser aplicado às memórias USB, porque algumas memórias USB possuem um interruptor físico de proteção de escrita.

Às vezes, o investigador precisa ser capaz de inicializar o sistema operacional do suspeito, e é por isso que o investigador precisa ter cuidado com os processos de interceptação.

O processo de investigação varia entre diferentes países devido a diferentes leis de responsabilidade. Em alguns países, a mera posse de certos arquivos é ilegal, é sua responsabilidade manter seu computador protegido e você não pode culpar os arquivos ilegais em um vírus.

E em outro país, pode ser que a posse do arquivo seja ilegal, mas é necessário apresentar provas de que foi o suspeito quem colocou os arquivos e não um vírus.

No segundo caso, o investigador pode precisar inicializar o computador para ver o que está sendo iniciado na inicialização em autostart / run / runonce.

Em outras palavras, os criminosos são por natureza maliciosos, portanto, qualquer coisa que possa contestar a validade das provas na Justiça precisa ser protegida a todo custo. Além disso, se o criminoso colocar uma armadilha que automaticamente destrua evidências, em muitos casos NÃO será “destruição de evidência”, ao invés de excluir manualmente alguma coisa. Pode ser um desastre se as gravações forem permitidas.

Um processo de hardware isolado é muito mais seguro do que um processo de software, então os bloqueadores de gravação são usados pelos investigadores para proteger seu material da destruição, da mesma forma que os profissionais de segurança usam cartões inteligentes e tokens para evitar que seus segredos sejam comprometidos. / p>