Для чого потрібні блокатори запису, коли існує кріплення лише для читання?

Скажімо, ми використовуємо деякий аромат Linux і ми монтуємо розділ за допомогою наступної команди:

sudo mount -o ro /dev/sdc1 /mnt

Розділ повинен бути доступним лише для читання, щоб ОС і користувач не могли записувати на диск без зміни mountдозволів.

Від криміналістики Вікі :

Блокатори запису - це пристрої, які дозволяють отримувати інформацію на диску, не створюючи можливості випадкового пошкодження вмісту диска. Вони роблять це, дозволяючи передавати команди для читання, але блокуючи команди для запису, звідси і їх назва.

Мені здається, це просто запобігти випадкові прапори. На сторінці також зазначено, що для деяких блокаторів запису є додаткові функції, такі як уповільнення диска для запобігання пошкодження. Але для цього припустимо, що це просто простий, який може лише блокувати написання.

Якщо ви можете просто встановити диск у режимі лише для читання, який сенс купувати щось таке, як блокатор запису? Це лише для того, щоб запобігти таким випадкам, як команда монтажу випадково з дозволом запису (помилка користувача, яку неможливо дозволити в деяких випадках, тобто кримінальні справи), або я пропускаю ще деякі глибокі функції того, як працюють файлові системи?

Примітка. Я знаю, що деякі SSD-диски постійно переміщують дані, я не впевнений, включати їх у запитання чи ні. Схоже, це зробило б це набагато складніше.

Журнал Digital криміналістики, безпеку і право має відмінну статтю Вивчення СУДОВИХ ЗОБРАЖЕНЬ У ВІДСУТНОСТІ WRITE-адреноблокатори , який аналізує судово - медична експертизу захопити з і без блокаторів записи. З журналу:

Найкращі практики цифрової криміналістики вимагають використання блокаторів запису при створенні криміналістичних зображень цифрових носіїв інформації, і це було основним принципом навчання комп'ютерної криміналістики протягом десятиліть. Практика настільки вбудована, що цілісність зображень, створених без блокуючого запису, відразу підозрюється.

Просто встановлення файлової системи може спричинити читання / запис. Багато сучасних файлових систем, від ext3 / 4 та xfs до NTFS , мають журнал, який підтримує метадані про саму файлову систему. Якщо втрачається живлення, неповне вимкнення або з ряду причин, цей журнал автоматично зчитується і записується назад у файлові структури на диску, щоб підтримувати узгодженість самої файлової системи. Це може статися під час монтування, незалежно від того, чи працює файлова система читання-запис.

Наприклад, з документації ext4ro опція монтування буде ...

Монтувати файлову систему лише для читання. Зауважте, що ext4 буде відтворювати журнал (і таким чином записувати в розділ), навіть якщо він встановлений "лише для читання". Параметри кріплення "ro, noload" можуть використовуватися для запобігання запису у файлову систему.

Хоча ці зміни рівня драйверів не впливають на вміст файлів, стандарт криміналістики приймає криптографічні хеші доказів при зборі з метою підтримання ланцюга зберігання. Якщо ви можете показати, що хеш, тобто sha256, що зберігаються в даний час доказів відповідає тому, що було зібрано, то можна довести поза розумним сумнівом, що дані диска не були змінені в процесі аналізу.

Цифрові докази можна навести як докази майже в кожній категорії злочинів. Судові слідчі повинні бути абсолютно впевнені, що дані, які вони отримують як докази, жодним чином не були змінені під час захоплення, аналізу та контролю. Адвокати, судді та присяжні повинні впевнені, що інформація, представлена ​​у справі про комп’ютерні злочини, є законною. Як слідчий може переконатися, що його докази будуть прийняті в суді?

За даними Національного інституту стандартів і технологій (NIST), слідчий дотримується набору процедур, розроблених для запобігання виконанню будь-якої програми, яка може змінювати вміст диска. http://www.cru-inc.com/data-protection-topics/writeblockers/

Блокіратор запису необхідний, тому що , якщо який - або біт для будь-якої причини-OS, драйвер рівня, рівня файлової системи або нижче, то хеш зібраних проти аналізованої системи більше не буде відповідати, і допустимості накопичувача в якості доказу може бути допитаний.

Блокатор запису, таким чином, є як технічним контролем проти можливості змін на низькому рівні, так і процедурним контролем, щоб забезпечити впевненість, що ніяких змін не було внесено, незалежно від користувача чи програмного забезпечення. Видаляючи можливість змін, він підтримує хеші, які використовуються, щоб показати, що проаналізовані докази відповідають зібраним доказам, і запобігає багатьом потенційним обробленню доказів проблемами та питаннями.

Аналіз статті JDFSL показує, що без блокуючого запису було внесено зміни до тестованих дисків. Однак, навпаки - хеші окремих файлів даних все-таки будуть недоторканими, тому аргументи для надійності доказів, зібраних без блокатора запису, існують, але не вважаються найкращою галузевою практикою.

Ви не можете бути впевнені . @jakegould охоплює тонну юридичних та технічних причин, тому я зосереджуюсь на оперативних причинах.

По-перше, ви ніколи не монтуєте подібний диск, ви зображуєте весь пристрій. Ваша основна думка про те, що ви можете використовувати дозволи файлової системи - неправильна. Ви будете використовувати деякий аромат DD або спеціалізований інструмент придбання, який повинен включати в себе функцію читання лише за замовчуванням.

Криміналістика полягає в тому, щоб бути абсолютно впевненим, що ви не підробляли докази на жодному етапі, і що ви можете надати перевірену копію накопичувача, не внесені до нього жодних змін. (Насправді, якщо вам не потрібно робити живу криміналістику, ви лише один раз торкаєтесь підозрюваного жорсткого диска, щоб зобразити його). Окрім того, що ваш інструмент для читання лише для читання, він виступає другою лінією захисту від псування.

Блокатор запису робить певні речі.

1. Це перекладає тягар доведення, що привід насправді був лише прочитаний
2. У більш idiotproof спосіб - це стає частиною вашого «придбання» бурової установки / процесу
3. із гарантованим виробником пристрою - це те, що ви хочете у своєму журналі реєстрації свідчень / випадків

У певному сенсі він врізається в процес збору доказів, і є одна менша річ, щоб ваш немічний людський самоврядок зіпсувався. Крім підтвердження того, що джерело накопичувача не записано, це може врятувати вас, якщо ви змішаєте джерело та призначення .

Коротше кажучи, це вирішує одну можливу важливу слабку точку. Вам не доведеться думати про те, "чи я встановив диск наново" чи "я поміняв джерело та місце призначення в dd?"

Ви підключили його, і вам не потрібно буде хвилюватися, якщо ви перезаписали свої свідчення.

Ви заявляєте це:

Якщо ви можете просто встановити диск у режимі лише для читання, який сенс купувати щось таке, як блокатор запису?

Давайте - на високому, нетехнічному рівні - логічно розглянемо, як збиратимуться дані для доказів. І ключовим у всьому цьому є нейтралітет.

У вас є підозрюваний ... Щось у юридичній чи потенційно юридичній справі. Їх докази повинні бути представлені максимально нейтрально. Що стосується фізичних документів, ви можете просто взяти друковані матеріали та фізично зберігати їх у безпечному місці. Для даних? Характер комп'ютерних систем по суті викликає проблему маніпулювання даними.

Хоча ви заявляєте, що ви могли просто логічно встановити гучність як "лише читання", хто ви? І як може хтось, хто не ви - як суд чи слідчий - довіряти вашим навичкам, системам та досвіду? Значить, що робить вашу систему такою особливою, якийсь фоновий процес не може раптом спливати в системі і починати його індексувати другий, коли ви підключите його? І як ти будеш це контролювати? І чорт, що з метаданими файлів? MD5-файли у файлах корисні… Але якщо один символ метаданих зміниться у файлі, здогадайтесь, що? MD5 змінюється.

Те, що зводиться до цього, полягає у чудовій схемі того, що ваші особисті технічні навички не впливають на здатність ви представляти дані слід якомога нейтральніше слідчим, судам чи іншим.

Введіть блокатор запису. Це не чарівний пристрій. Це чітко блокує запис даних на базовому рівні і що ще? Ну, це все, що він робить, і це все, що він повинен коли-небудь робити (або не робити).

Блокатор запису - це нейтральна частина обладнання, виготовлене іншою компанією для загальноприйнятого стандарту, який добре виконує одне завдання та одне завдання: запобігання запису даних.

Для слідчого, суду чи інших осіб використання блокатора запису в основному зазначає: "Я професіонал з комп’ютерів, який розуміє криміналістику даних і розуміє необхідність цілісності даних при наданні іншої інформації, яку мені доручено збирати. Я використовую фізичний пристрій, який ми всі погоджуємось, заважає писати доступ до цих даних, щоб показати усім, що так, це свідчення, що вам потрібно зробити те, що вам потрібно зробити ».

Тож сенс "купувати щось таке, як блокатор запису" - купувати інструмент, який загальновизнаний людьми у всьому світі, як дійсний інструмент нейтрального доступу та збору даних. І що якщо хтось інший - хто не ви - отримав би доступ до даних за допомогою аналогічного блокатора запису, вони також отримали б ті самі дані натомість.

Ще один реальний приклад світу - свідчення відеокамер. Тепер так, є ризик підробити відеодокази. Але скажімо, ви були свідком злочину і бачили підозрюваного і знаєте, що вони це зробили. У суді ваша цілісність як свідка буде захищена захистом, коли вони намагаються захистити свого клієнта. Але скажімо, окрім звіту очевидців, поліція отримує відеоматеріали злочину. Це неупереджене, не миготливе око нейтрального пристрою для захоплення зображення відкладає більшість сумнівів у ваших претензіях. Це означає, що "робот", що не є людиною, але може записувати дані, створить резервну копію справи про переслідування проти захисту, а не лише вашого слова / довіри.

Реальність полягає в тому, що світ закону і законності дійсно зводиться до твердих, відчутних і - в значній мірі - неспростовних фізичних доказів. І блокатор запису - це інструмент, який забезпечує максимально чисті докази фізичних даних.

Причиною блокування запису даних є те, що злочинці могли поставити процеси пастки, які знищують докази події (може бути неправильна спроба пароля, відсутність доступу до певного сервера, спроба отримати доступ до підробленого файлу чи будь-чого іншого).

Будь-які процеси пастки в основному можуть спробувати перезавантажити пристрій також у режимі читання-запису.

Єдиний спосіб бути впевненим - використовувати апаратний пристрій. Деякі апаратні блокувальні пристрої мають перемикач, який дозволяє відключити функцію блокування запису, але головне, що програмне забезпечення ніколи не може впливати на обладнання, якщо апаратне забезпечення не запрограмоване реагувати на програмні сигнали.

Те ж саме можна застосувати до USB-пам'яті, чому деякі USB-пам'яті мають фізичний перемикач захисту від запису.

Іноді слідчому потрібно мати можливість завантажувати ОС підозрюваного, саме тому слідчому слід насторожено ставитися до будь-яких процесів пасток.

Процес розслідування різниться в різних країнах через різні закони про відповідальність. У деяких країнах просте володіння певними файлами є незаконним, ви несете відповідальність за захист свого комп'ютера, і ви не можете звинувачувати незаконні файли у вірусі.

І в іншій країні може бути, що володіння файлом є незаконним, але потрібно надати докази того, що файли розмістили підозрюваний, а не вірус.

У другому випадку слідчому, можливо, доведеться завантажити комп'ютер, щоб побачити, що починається при завантаженні в режимі автозапуску / запуску / запуску.

Іншими словами, злочинці за своєю природою зловмисні, тому будь-що, що могло б заперечити обґрунтованість доказів у Суді, має бути захищене за будь-яких витрат. Крім того, якщо злочинець поставить пастку, яка автоматично знищує докази, у багатьох випадках НЕ буде "знищенням доказів", на відміну від ручного видалення чогось. Це може стати катастрофою, якщо запис буде дозволено.

Ізольований апаратний процес набагато безпечніший, ніж програмний процес, тому блокувальники записів використовуються слідчими для захисту своїх матеріалів від знищення, тому що фахівці з безпеки використовують смарт-карти та жетони, щоб не допустити їхніх секретів.