Зачем нужны блокировщики записи, когда есть монтирование только для чтения?

10

Допустим, мы используем немного разновидности Linux и монтируем раздел с помощью следующей команды:

sudo mount -o ro /dev/sdc1 /mnt

Предполагается, что раздел предназначен только для чтения, поэтому ОС и пользователь не могут выполнять запись на диск без изменения mountразрешений.

Из ForensicsWiki :

Блокировщики записи - это устройства, которые позволяют получать информацию на диске без возможности случайного повреждения содержимого диска. Они делают это, пропуская команды чтения, но блокируя команды записи, отсюда и их имя.

Мне кажется, что это просто для предотвращения случайных флагов. На странице также говорится, что некоторые блокировщики записи имеют дополнительные функции, такие как замедление работы диска для предотвращения его повреждения. Но для этого давайте предположим, что это просто, что может только блокировать запись.

Если вы можете просто смонтировать диск в режиме «только для чтения», какой смысл покупать что-то, например блокировщик записи? Это просто для предотвращения таких вещей, как случайная команда монтирования с разрешениями на запись (ошибка пользователя, которая не может быть разрешена в некоторых случаях, например, в уголовных делах), или я упускаю некоторые более глубокие возможности работы файловых систем?

Примечание. Мне известно, что некоторые твердотельные накопители постоянно перемешивают данные, и я не уверен, включать ли их в вопрос или нет. Кажется, что это сделало бы это намного сложнее.

cutrightjm
источник
эх. Я почти уверен, что есть вопрос о восстановлении данных с SSD, и я ответил на него. Современная литература по этому вопросу противоречива, и беспорядок.
Подмастерье Компьютерщик
1
Чтение на самом деле довольно хороший способ обойти блок писателя.
Раду
1
Это слово не означает, что вы думаете, что оно означает (в контексте)
подмастерье Компьютерщик

Ответы:

9

В Журнале цифровой криминалистики, безопасности и права есть отличная статья «ИЗУЧЕНИЕ СУДЕБНЫХ ИЗОБРАЖЕНИЙ В ОТСУТСТВИИ ЗАПИСЕЙ-БЛОКАТОРОВ», в которой анализируется криминалистический захват как с блокировщиками записи, так и без них. Из журнала:

Лучшие практики в области цифровой криминалистики требуют использования блокировщиков записи при создании криминалистических изображений на цифровых носителях, и это является основным принципом обучения компьютерной криминалистике на протяжении десятилетий. Эта практика настолько укоренилась, что целостность изображений, созданных без блокировщика записи, сразу вызывает сомнения.

Простое монтирование файловой системы может вызвать чтение / запись. Многие современные файловые системы, от ext3 / 4 и xfs до NTFS , имеют журнал, в котором хранятся метаданные о самой файловой системе. В случае потери питания, неполного выключения или ряда причин этот журнал автоматически считывается и записывается обратно в файловые структуры на всем диске, чтобы поддерживать согласованность самой файловой системы. Это может произойти во время процесса монтирования, независимо от того, находится ли файловая система в режиме чтения-записи.

Например, из документации ext4ro параметр монтирования будет ...

Монтировать файловую систему только для чтения. Обратите внимание, что ext4 будет воспроизводить журнал (и, следовательно, записывать в раздел) даже при монтировании «только для чтения». Параметры монтирования "ro, noload" могут использоваться для предотвращения записи в файловую систему.

Хотя эти изменения на уровне драйвера не влияют на содержимое файлов, это криминалистический стандарт, заключающийся в получении криптографических хэшей доказательств при сборе для поддержания цепочки хранения. Если кто-то может показать, что хеш, то есть sha256, хранящихся в настоящее время доказательств совпадает с тем, что было собрано, то вы можете без каких-либо разумных сомнений доказать, что данные накопителя не были изменены в процессе анализа.

Цифровое доказательство может быть приведено в качестве доказательства почти в каждой категории преступлений. Судебные следователи должны быть абсолютно уверены, что данные, которые они получают в качестве доказательств, не были изменены каким-либо образом во время сбора, анализа и контроля. Адвокаты, судьи и присяжные должны быть уверены, что информация, представленная в деле о компьютерном преступлении, является законной. Как следователь может убедиться в том, что его или ее доказательства будут приняты в суде?

Согласно Национальному институту стандартов и технологий (NIST), следователь следует ряду процедур, предназначенных для предотвращения выполнения любой программы, которая может изменить содержимое диска. http://www.cru-inc.com/data-protection-topics/writeblockers/

Блокировщик записи необходим, потому что если какой-либо бит изменяется по какой - либо причине - ОС, уровень драйвера, уровень файловой системы или ниже - тогда хэши собранной и анализируемой системы больше не будут совпадать, и допустимость накопителя в качестве доказательства может быть под сомнение.

Таким образом, блокировщик записи - это как технический контроль над возможностью изменений на низком уровне, так и процедурный контроль, обеспечивающий уверенность в том, что никаких изменений не было сделано, независимо от пользователя или программного обеспечения. Удаляя возможность изменений, он поддерживает хеши, которые будут использоваться для демонстрации того, что проанализированные доказательства соответствуют собранным доказательствам, и предотвращает многие потенциальные проблемы и вопросы обработки доказательств.

Анализ статьи JDFSL показывает, что без блокировщика записи были внесены изменения в протестированные ими диски. Однако, с другой стороны - хэши отдельных файлов данных по-прежнему не повреждены, поэтому существуют аргументы в пользу достоверности доказательств, собранных без блокировщика записи, но они не считаются лучшими в отрасли.

glallen
источник
4

Ты не можешь быть уверен . @jakegould покрывает тонну юридических и технических причин, поэтому я сосредотачиваюсь на эксплуатационных причинах.

Во-первых, вы никогда не монтируете такой диск, вы создаете образ всего устройства. Ваша основная предпосылка, что вы можете использовать разрешения файловой системы, неверна. Вы собираетесь использовать некоторую разновидность DD или специализированный инструмент сбора данных, который по умолчанию должен включать рабочее чтение только.

Криминалистика заключается в том, чтобы быть абсолютно уверенным, что вы не подделали доказательства на любом этапе, и что вы можете предоставить проверенную копию диска без каких-либо изменений в нем. (На самом деле, если вам не нужно делать в реальной судебно - медицинской экспертизу, вы касаетесь только подозрительного жесткого диска сразу к изображению его) .so в дополнении к инструменту приобретения , только читаются, он выступает в качестве второй линии обороны против Мессинг.

Блокатор записи делает определенные вещи.

  1. Это переносит бремя доказательства того, что диск на самом деле был только для чтения
  2. В более идиотской манере - это становится частью вашей установки / процесса 'приобретения'
  3. с устройством, гарантированным для производителя - это то, что вам нужно в вашем журнале доказательств / происшествий.

В каком-то смысле он встраивается в процесс сбора доказательств, и у вашего слабого человека есть еще одна вещь, которую нужно испортить. В дополнение к проверке того, что исходный диск не записан, он может спасти вас, если вы смешаете источник и место назначения ,

Короче говоря, это устраняет одно возможное главное слабое место. Вам не нужно думать о том, «смонтировал ли я диск только для чтения» или «поменял ли я источник и назначение в dd?»

Вы подключаете его, и вам не нужно беспокоиться, если вы переписали свои доказательства.

Подмастерье Компьютерщик
источник
Хорошие операционные точки, процесс и способность воспроизводить результаты имеют решающее значение в криминалистике - блокировщик записи устраняет как человеческие, так и машинные ошибки.
выпал
+1 Потому что это сложная тема, и вы затронули
детали
2

Вы заявляете это:

Если вы можете просто смонтировать диск в режиме «только для чтения», какой смысл покупать что-то, например блокировщик записи?

Давайте - на высоком, нетехническом уровне - логически посмотрим, как будут собираться данные для доказательства. И ключ ко всему этому - нейтралитет.

У вас есть подозрение на ... что-то в юридическом или потенциально юридическом деле. Их доказательства должны быть представлены как можно более нейтральными. В случае с физическими документами вы можете просто взять распечатанные материалы и физически хранить их в надежном месте. Для данных? Природа компьютерных систем по своей природе связана с манипулированием данными в игре.

Пока вы заявляете, что можете просто логически смонтировать том как «только для чтения», кто вы? И как может кто-то, кто не является вами, например суд или следователь, доверять вашим навыкам, системам и опыту? То есть, что делает вашу систему такой особенной, какой-то фоновый процесс не может внезапно появиться в системе и начать индексировать ее, как только вы подключите ее? И как вы будете это контролировать? И, черт возьми, как насчет метаданных файла? MD5 для файлов полезны ... Но если в файле изменяется один символ метаданных, угадайте, что? MD5 меняется.

Все сводится к тому, что ваши личные технические навыки никак не влияют на способность представлять данные как можно более нейтрально следователям, судам или другим лицам.

Введите блокировщик записи. Это не волшебное устройство. Он четко блокирует запись данных на базовом уровне и что еще? Ну, это все, что он делает, и это все, что он должен когда-либо делать (или не делать).

Блокировщик записи - это нейтральная часть оборудования, произведенного другой компанией в соответствии с принятым в отрасли стандартом, который хорошо выполняет одну задачу и одну задачу: предотвращение записи данных.

Для следователя, суда или других лиц использование блокировщика записи в основном гласит: «Я - специалист по компьютерам, который разбирается в экспертизе данных и понимает необходимость обеспечения целостности данных при предоставлении чужой информации, которую мне поручено собирать. Я использую физическое устройство, которое, как мы все согласны, запрещает записи для доступа к этим данным, чтобы показать всем, что да, это доказательство того, что вам нужно делать то, что вам нужно ».

Таким образом, цель «покупки чего-либо, такого как блокировщик записи», состоит в том, чтобы купить инструмент, который повсеместно признан людьми во всем мире как действительный инструмент для нейтрального доступа к данным и их сбора. И если бы кто-то другой - кто не вы - имел бы доступ к данным с помощью аналогичного блокировщика записи, он тоже получил бы те же данные взамен.

Еще один пример из реальной жизни - доказательства видеокамеры. Теперь да, есть риск подделки видеодоказательств. Но допустим, вы были свидетелем преступления, видели подозреваемого и знаете, что они это сделали. В суде ваша честность как свидетеля будет потрошена защитой, когда они будут пытаться защитить своего клиента. Но, скажем, в дополнение к вашему сообщению очевидца, полиция получит видеозапись преступления. Этот беспристрастный, немигающий глаз устройства захвата нейтральных изображений оставляет большинство сомнений в ваших утверждениях. Это означает, что «робот», который не является человеком, но может записывать данные, будет поддерживать дело обвинения против защиты, а не только ваше слово / доверие.

Реальность такова, что мир закона и законности сводится к твердым, осязаемым и - в значительной степени - неопровержимым физическим доказательствам. И блокировщик записи - инструмент, который гарантирует, что физические данные будут максимально чистыми.

JakeGould
источник
1
+1 ворчание ворчание Ты рассказал о многих вещах, которые у меня были бы; p
Мастер-подмастерье
-2

Причина, по которой блокировщики записи используются, заключается в том, что злоумышленники могли поместить в ловушку процессы, которые уничтожают улики при возникновении события (это может быть попытка неверного пароля, отсутствие доступа к конкретному серверу, попытка доступа к поддельному файлу или что-либо еще).

Любые процессы перехвата могут также попытаться перемонтировать устройство в режиме чтения-записи.

Единственный способ убедиться в этом - использовать аппаратное устройство. Некоторые аппаратные блокираторы записи имеют переключатель, который позволяет отключить функцию блокирования записи, но главное, что программное обеспечение никогда не может влиять на аппаратное обеспечение, если аппаратное обеспечение не запрограммировано реагировать на программные сигналы.

То же самое можно применить к USB-накопителям, поэтому некоторые USB-накопители имеют физический переключатель защиты от записи.

Иногда следователь должен иметь возможность загружать ОС подозреваемого, поэтому следователю следует с осторожностью относиться к любым процессам перехвата.

Процесс расследования различается в разных странах из-за разных законов об ответственности. В некоторых странах простое хранение определенных файлов является незаконным, вы несете ответственность за обеспечение безопасности своего компьютера, и вы не можете обвинять незаконные файлы в вирусе.

А в другой стране, возможно, владение файлом является незаконным, но необходимо представить доказательства того, что файл был размещен подозреваемым, а не вирусом.

Во втором случае следователю может понадобиться загрузить компьютер, чтобы увидеть, что запускается при загрузке, в autostart / run / runonce.

Другими словами, преступники по своей природе злонамеренные, поэтому все, что может оспорить действительность доказательств в суде, должно быть защищено любой ценой. Кроме того, если преступник установил ловушку, которая автоматически уничтожает доказательства, во многих случаях это НЕ будет «уничтожением улик», а не удалением чего-либо вручную. Это может быть катастрофой, если запись разрешена.

Изолированный аппаратный процесс намного более безопасен, чем программный процесс, поэтому следователи используют следящие блоки для защиты своих материалов от уничтожения, так же как профессионалы в области безопасности используют смарт-карты и токены для предотвращения раскрытия своих секретов.

Себастьян Нильсен
источник
1
Логика здесь, кажется, зависит от доказательств, собираемых у «преступника» без какой-либо перспективы, что позволило бы собрать доказательства только потому, что они являются частью дела. 100% всех в мире могут быть арестованы и арестованы. Это само по себе не означает вины или соучастия поведения. Это просто означает, что их системы были использованы в качестве потенциального доказательства. Ценность блокировщика записи состоит в том, чтобы гарантировать, что данные, собранные с машины, в основном «заморожены во времени» и находятся в состоянии, которое может использоваться в качестве доказательства нейтральной третьей стороной. Больше ничего. Не меньше.
JakeGould
1
Как правило, профессионалов-криминалистов учат, что бремя доказывания лежит на них, а компьютерные криминалисты предупреждают, что адвокаты съедят вас заживо, с кетчупом, если вы испортите доказательства. «Процессы ловушек» никогда не упоминались, тем более что судебная криминалистика предпочитает жить криминалистическую экспертизу, чтобы избежать этого. Если вы используете блокиратор записи - система уже была отключена, часто дергая шнур, и оригинальный диск уже был защищен.
подмастерье Компьютерщик
Если вы загружаете систему для создания образа, то этому образу нельзя доверять, независимо от того, присутствовал ли какой-либо блокировщик записи. Если вы выполняете создание изображений из заведомо исправной системы, то любые программные ловушки на копируемом изображении не будут иметь значения. Блокировщик записи не предназначен для предотвращения записи, инициируемой данными для данных, которые вы создаете, он предназначен для предотвращения записи системой, выполняющей создание образа.
kasperd
Обычно вы оба используете блокировщик записи, чтобы создать его изображение. Затем, при необходимости, вы загружаете систему, чтобы собрать доказательства, которые доступны только «онлайн» (пока загружается подозрительная ОС). В большинстве случаев этого достаточно с помощью простого офлайн-анализа, но иногда онлайн-анализ необходим в ДОБАВЛЕНИИ к офлайн-анализу. Обычно вы работаете с образом, но иногда программа-ловушка может использовать идентификаторы дисков, чтобы предотвратить дальнейший доступ при загрузке копии, тогда вам в основном нужно загружаться онлайн с блокировщиком записи. Все зависит от того, почему вы расследуете этот диск.
Себастьян Нильсен
1
@sebastiannielsen «Да, но вы должны предполагать худшее при анализе диска». Нет, ты все еще не понимаешь. Вы должны предполагать неизвестное при расследовании чего-либо. Не самый худший Не самый лучший. Но просто неизвестно. И эксперт-криминалист, который изначально считает «худшим», является плохим активом сам по себе. Поддерживать нейтралитет сложно, но это работа криминалистов.
JakeGould