Por que os bloqueadores de gravação são necessários quando há montagem com somente leitura?


10

Digamos que estamos usando algum tipo de Linux e montamos uma partição usando o seguinte comando:

sudo mount -o ro /dev/sdc1 /mnt

A partição deve ser somente leitura, para que o sistema operacional e o usuário não possam gravar no disco sem alterar as mountpermissões.

Na ForensicsWiki :

Bloqueadores de gravação são dispositivos que permitem a aquisição de informações em uma unidade sem criar a possibilidade de danificar acidentalmente o conteúdo da unidade. Eles fazem isso permitindo que os comandos de leitura sejam transmitidos, mas bloqueando os comandos de gravação, daí o nome.

Parece-me que é apenas para evitar sinalizações acidentais. A página também diz que existem recursos adicionais para alguns bloqueadores de gravação, como abrandar o disco para evitar danos. Mas, para isso, vamos assumir que é apenas um simples que pode apenas bloquear a escrita.

Se você pode simplesmente montar um disco no modo somente leitura, qual é o sentido de comprar algo como um bloqueador de gravação? Isso serve apenas para ajudar a impedir coisas como um comando de montagem acidental com permissões de gravação (erro do usuário, que não pode ser permitido em alguns casos, por exemplo, casos criminais), ou estou perdendo alguns dos recursos detalhados de como os sistemas de arquivos funcionam?

Nota: Estou ciente de que alguns SSDs embaralham dados continuamente, não tenho certeza se os incluiremos na pergunta ou não. Parece que isso tornaria muito mais complicado.


Eh. Estou bastante certeza de que há uma questão sobre a recuperação de dados de SSDs - e eu atendi. A literatura atual sobre isso é contraditória e uma bagunça.
Journeyman Geek

1
Ler é realmente uma maneira muito boa de superar o bloqueio de escritor.
Radu

1
Essa palavra, não significa o que você pensa que significa (em contexto)
Journeyman Geek

Respostas:


9

O Journal of Digital Forensics, Security and Law tem um excelente artigo UM ESTUDO DE IMAGEM FORENSE NA AUSÊNCIA DE BLOQUEADORES DE ESCRITA, que analisa a captura forense com e sem bloqueadores de gravação. Do diário:

As melhores práticas em forense digital exigem o uso de bloqueadores de gravação na criação de imagens forenses de mídia digital, e esse tem sido um princípio essencial do treinamento forense de computadores há décadas. A prática é tão arraigada que a integridade das imagens criadas sem um bloqueador de gravação é imediatamente suspeita.

A simples montagem de um sistema de arquivos pode causar leitura / gravação. Muitos sistemas de arquivos modernos, do ext3 / 4 e xfs ao NTFS , todos possuem um diário que mantém os metadados sobre o próprio sistema de arquivos. Se houver falta de energia, desligamento incompleto ou várias razões, este diário será automaticamente lido e gravado nas estruturas de arquivos na unidade para manter a consistência do próprio sistema de arquivos. Isso pode acontecer durante o processo de montagem, independentemente de o sistema de arquivos ser de leitura / gravação.

Por exemplo, a partir da documentação ext4, a roopção mount irá ...

Monte o sistema de arquivos somente leitura. Observe que o ext4 repetirá o diário (e, portanto, gravará na partição), mesmo quando montado "somente leitura". As opções de montagem "ro, noload" podem ser usadas para impedir gravações no sistema de arquivos.

Embora essas alterações no nível do driver não afetem o conteúdo dos arquivos, é um padrão forense coletar hashes criptográficos de evidências na coleta para manter uma cadeia de custódia. Se for possível mostrar que o hash, ou seja, sha256, da evidência atualmente mantida corresponde ao que foi coletado, você pode provar, sem dúvida razoável, que os dados da unidade não foram modificados durante o processo de análise.

A evidência digital pode ser citada como evidência em quase todas as categorias de crime. Os investigadores forenses precisam ter absoluta certeza de que os dados que obtêm como evidência não foram alterados de nenhuma maneira durante a captura, análise e controle. Advogados, juízes e jurados precisam se sentir confiantes de que as informações apresentadas em um caso de crime de computador são legítimas. Como um investigador pode garantir que suas evidências sejam aceitas no tribunal?

De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), o investigador segue um conjunto de procedimentos projetados para impedir a execução de qualquer programa que possa modificar o conteúdo do disco. http://www.cru-inc.com/data-protection-topics/writeblockers/

Um bloqueador de gravação é necessário, porque, se qualquer bit mudar por qualquer motivo - SO, nível de driver, nível de sistema de arquivos ou menos -, os hashes do sistema coletado versus analisado não serão mais correspondentes e a admissibilidade da unidade como evidência pode ser. questionado.

O bloqueador de gravação é, portanto, um controle técnico contra a possibilidade de alterações de baixo nível e um controle processual para garantir que nenhuma alteração foi feita, independentemente do usuário ou software. Ao remover a possibilidade de alterações, ele suporta hashes a serem usados ​​para mostrar que a evidência analisada corresponde à evidência coletada e evita muitas evidências potenciais de lidar com problemas e perguntas.

A análise do artigo JDFSL mostra que, sem um bloqueador de gravação, foram feitas alterações nas unidades testadas. No entanto, pelo contrário - os hashes dos arquivos de dados individuais ainda estariam intactos, portanto existem argumentos para a solidez das evidências coletadas sem um bloqueador de gravação, mas não são consideradas as melhores práticas do setor.


4

Você não pode ter certeza . O @jakegould cobre uma tonelada de razões legais e técnicas, por isso estou focando nas razões operacionais.

Primeiro, você nunca monta uma unidade como essa, cria uma imagem de um dispositivo inteiro. Sua premissa básica de que você pode usar as permissões do sistema de arquivos está errada. Você usará algum tipo de DD ou uma ferramenta de aquisição especializada que deve incluir apenas leitura de trabalho por padrão.

Forensics tem tudo a ver com a certeza absoluta de que você não violou as evidências em nenhum estágio e que pode fornecer uma cópia verificada da unidade sem que sejam feitas alterações. (De fato, a menos que você precise fazer análises forenses ao vivo, você só toca em um disco rígido suspeito uma vez para visualizá-lo). Portanto, além de sua ferramenta de aquisição ser apenas de leitura, ela atua como uma segunda linha de defesa contra falhas.

O bloqueador de gravação faz certas coisas.

  1. Desloca o ônus de provar que a unidade era de fato somente leitura
  2. De uma maneira mais idiota - Torna-se parte do seu equipamento / processo de 'aquisição'
  3. com o dispositivo garantido pelo fabricante - o que você deseja em seu registro de evidências / incidentes.

Em certo sentido, ele se encaixa no processo de coleta de evidências e há menos uma coisa para o seu ser humano frágil estragar. Além de verificar se a unidade de origem não está gravada, ela pode economizar se você misturar origem e destino. .

Em suma, elimina um possível grande ponto fraco. Você não precisa pensar em 'montei a unidade somente leitura' ou 'troquei minha origem e destino em dd?'

Você o conecta e não precisa se preocupar se substituiu sua evidência.


Bons pontos operacionais, processos e a capacidade de reproduzir resultados são críticos na análise forense - um bloqueador de gravação remove os erros humanos e da máquina de afetá-los.
glallen

+1 Porque este é um tópico complexo e você tocou em detalhes em um nível que eu não fiz,
JakeGould 30/11

2

Você afirma isso:

Se você pode simplesmente montar um disco no modo somente leitura, qual é o sentido de comprar algo como um bloqueador de gravação?

Vamos - em um nível alto, não técnico - analisar logicamente como os dados para evidências seriam coletados. E a chave para tudo isso é a neutralidade.

Você suspeita de ... Algo em um caso legal ou potencialmente legal. Sua evidência deve ser apresentada o mais neutra possível. No caso de documentos físicos, você pode apenas pegar os materiais impressos e armazená-los fisicamente em um local seguro. Para dados? A natureza dos sistemas de computador inerentemente tem um problema de manipulação de dados em jogo.

Enquanto você declara que pode montar logicamente o volume como "somente leitura", quem é você? E como alguém que não é você - como um tribunal ou um investigador - pode confiar em suas habilidades, sistemas e conhecimentos? Significando o que torna seu sistema tão especial, algum processo em segundo plano não pode aparecer de repente no sistema e começar a indexá-lo no segundo em que você o conecta? E como você monitora isso? E diabos, e os metadados do arquivo? Os MD5 nos arquivos são úteis ... Mas se um caractere de metadado for alterado em um arquivo, adivinhem? O MD5 muda.

O que se resume é o grande esquema de coisas que suas habilidades técnicas pessoais não têm influência na capacidade de você apresentar dados da maneira mais neutra possível para investigadores, tribunais ou outros.

Digite um bloqueador de gravação. Este não é um dispositivo mágico. Bloqueia claramente a gravação de dados em um nível básico e o que mais? Bem, isso é tudo o que faz e é tudo o que deve fazer (ou não fazer).

Um bloqueador de gravação é uma peça de hardware neutra, fabricada por outra empresa com relação ao padrão aceito pelo setor, que executa uma tarefa e uma tarefa: Evitar a gravação de dados.

Para um investigador, tribunal ou outros, o uso de um bloqueador de gravação basicamente afirma: “Sou um profissional de informática que entende de forense de dados e entende a necessidade de integridade de dados ao fornecer outras informações que sou responsável por coletar. Estou usando um dispositivo físico que todos concordamos impede que gravações acessem esses dados para mostrar a todos que sim, essa é a evidência de que você precisa fazer o que precisa. ”

Portanto, o objetivo de “comprar algo como um bloqueador de gravação” é comprar uma ferramenta que seja universalmente reconhecida por pessoas em todo o mundo como uma ferramenta válida para acesso e coleta de dados neutros. E que se alguém - que não é você - acessasse os dados com um bloqueador de gravação semelhante, eles também receberiam os mesmos dados em troca.

Outro exemplo do mundo real é a evidência das câmeras de vídeo. Agora sim, existe o risco de que as evidências em vídeo sejam adulteradas. Mas digamos que você testemunhou um crime e viu o suspeito e sabe que eles o fizeram. Em um tribunal, sua integridade como testemunha será eviscerada pela defesa enquanto eles procuram defender seu cliente. Mas digamos que, além de seu relato de testemunha ocular, a polícia obtenha imagens de vídeo do crime acontecendo. Esse olho imparcial e sem piscar de um dispositivo de captura de imagem neutra repousa a maioria das dúvidas sobre suas reivindicações. Ou seja, uma coisa de "robô" que não é humana, mas pode gravar dados, fará backup do processo contra a defesa e não apenas sua palavra / confiança.

A realidade é que o mundo do direito e a legalidade realmente se resumem a evidências físicas sólidas, tangíveis e - praticamente - irrefutáveis. E um bloqueador de gravação, uma ferramenta que garante que a evidência de dados físicos seja a mais limpa possível.


1
+1 resmungar resmungar Você cobriu muitas coisas que eu teria; p
Journeyman Geek

-2

O motivo pelo qual os bloqueadores de gravação são usados ​​é porque os criminosos poderiam ter colocado processos de interceptação que destroem evidências em um evento (poderia ser uma tentativa incorreta de senha, sem acesso a um servidor específico, tentativa de acessar um arquivo falso ou o que for).

Qualquer processo de interceptação também pode basicamente tentar remontar o dispositivo na leitura e gravação.

A única maneira de ter certeza é usar um dispositivo de hardware. Alguns bloqueadores de gravação de hardware possuem uma opção que permite que a função de bloqueio de gravação seja desativada, mas o principal é que o software nunca poderá afetar o hardware se o hardware não estiver programado para reagir aos sinais do software.

O mesmo pensamento pode ser aplicado às memórias USB, por que algumas delas possuem um comutador físico de proteção contra gravação.

Às vezes, o investigador precisa ser capaz de inicializar o sistema operacional do suspeito, é por isso que o investigador precisa ter cuidado com qualquer processo de interceptação.

O processo de investigação varia entre diferentes países devido a diferentes leis de responsabilidade. Em alguns países, a simples posse de certos arquivos é ilegal, é sua responsabilidade manter o computador protegido e você não pode culpar os arquivos ilegais por um vírus.

E em outro país, pode ser que a posse do arquivo seja ilegal, mas é necessário apresentar evidências de que foi o suspeito que colocou os arquivos e não um vírus.

No segundo caso, o investigador pode precisar inicializar o computador para ver o que está sendo inicializado na inicialização em autostart / run / runonce.

Em outras palavras, os criminosos são por natureza maliciosos, portanto, qualquer coisa que possa contestar a validade das provas no Tribunal precisa ser protegida a todo custo. Além disso, se o criminoso colocou uma armadilha que destrói automaticamente as evidências, em muitos casos NÃO será "destruição de evidências", em vez de excluir algo manualmente. Pode ser um desastre se a gravação for permitida.

Um processo isolado de hardware é muito mais seguro do que um processo de software; portanto, os bloqueadores de gravação são usados ​​pelos investigadores para proteger seu material da destruição, da mesma forma que os profissionais de segurança usam cartões inteligentes e tokens para impedir que seus segredos sejam comprometidos.


1
A lógica aqui parece depender das evidências que estão sendo coletadas de um “criminoso” sem perspectiva em vigor que permitiria que as evidências fossem coletadas apenas por fazer parte de um caso. 100% das pessoas no mundo podem ser presas e ter seus sistemas apreendidos. Isso por si só não infere culpa ou comportamento cúmplice. Significa apenas que seus sistemas foram apreendidos como evidência potencial. O valor de um bloqueador de gravação é garantir que os dados coletados da máquina estejam basicamente "congelados no tempo" e em um estado que possa ser usado como evidência por terceiros neutros. Nada mais. Nada menos.
JakeGould

1
Geralmente, os profissionais forenses aprendem que o ônus da prova está neles e os graduandos em computação forense alertam que os advogados o comerão vivo, com ketchup se você estragar as evidências. Os "processos de interceptação" nunca foram realmente mencionados, especialmente porque a razão pela qual a forense offline prefere viver a forense é evitar a chance disso. Se você estiver usando um bloqueador de gravação - o sistema já foi desligado, geralmente puxando o cabo e a unidade original já foi protegida.
Journeyman Geek

Se você inicializar um sistema para criar uma imagem dele, essa imagem não poderá ser confiável, independentemente de haver algum bloqueador de gravação. Se você executar a imagem de um sistema em boas condições, qualquer interceptação de software na imagem da qual você está copiando seria irrelevante. O bloqueador de gravação não existe para impedir gravações acionadas por dados nos dados que você está visualizando, mas para impedir gravações pelo sistema que está executando a imagem.
kasperd

Normalmente, vocês dois usam um bloqueador de gravação para criar uma imagem dele. Em seguida, você inicializa o sistema, se necessário, para reunir evidências acessíveis apenas "online" (enquanto o sistema operacional suspeito é inicializado). Na maioria dos casos, basta com a análise offline simples, mas às vezes a análise online é necessária em ADDITION para a análise offline. Normalmente, você trabalha com a imagem, mas, às vezes, o software de interceptação pode usar os IDs de unidade para impedir que mais acesso seja iniciado quando uma cópia é inicializada, então você basicamente precisa inicializar online com um bloqueador de gravação. Tudo depende do motivo pelo qual você está investigando forense a unidade em questão.
sebastian Nielsen

1
@sebastiannielsen “Sim, mas você precisa assumir o pior ao analisar uma unidade.” Não, você ainda não entendeu. Você precisa assumir o desconhecido ao investigar alguma coisa. Não é o pior. Não o melhor. Mas simplesmente o desconhecido. E um especialista forense que assume o "pior" desde o início é um ativo ruim por si só. Manter a neutralidade é difícil, mas esse é o trabalho de um analista forense.
JakeGould
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.