Mengapa blocker tulis diperlukan ketika ada mount dengan read-only?


10

Katakanlah kita menggunakan beberapa rasa Linux dan kita me-mount partisi menggunakan perintah berikut:

sudo mount -o ro /dev/sdc1 /mnt

Partisi ini seharusnya hanya-baca sehingga OS dan pengguna tidak dapat menulis ke disk tanpa mengubah mountizin.

Dari ForensicsWiki :

Blocker tulis adalah perangkat yang memungkinkan perolehan informasi pada drive tanpa membuat kemungkinan merusak konten drive secara tidak sengaja. Mereka melakukan ini dengan mengizinkan perintah baca untuk lewat tetapi dengan memblokir perintah tulis, maka nama mereka.

Menurut saya ini hanya untuk mencegah bendera yang tidak disengaja. Halaman ini juga mengatakan bahwa ada fitur tambahan untuk beberapa blocker tulis, seperti memperlambat disk untuk mencegah kerusakan. Tetapi untuk ini mari kita asumsikan itu hanya yang sederhana yang hanya dapat memblokir penulisan.

Jika Anda bisa memasang disk dalam mode baca-saja, apa gunanya membeli sesuatu seperti pemblokir tulis? Apakah ini hanya untuk membantu mencegah hal-hal seperti perintah pemasangan yang tidak sengaja dengan izin tulis (kesalahan pengguna, yang tidak dapat diizinkan dalam beberapa kasus, yaitu kasus kriminal), atau apakah saya kehilangan beberapa fitur mendalam tentang cara kerja sistem file?

Catatan: Saya sadar bahwa beberapa SSD mengocok data secara terus-menerus, saya tidak yakin apakah akan memasukkannya dalam pertanyaan atau tidak. Sepertinya itu akan membuatnya jauh lebih rumit.


eh Saya cukup yakin ada pertanyaan tentang pemulihan data dari SSD - dan saya jawab. Literatur terkini tentang itu kontradiktif, dan berantakan.
Journeyman Geek

1
Membaca sebenarnya adalah cara yang cukup baik untuk melewati blok penulis.
Radu

1
Kata itu, itu tidak berarti apa yang Anda pikirkan artinya (dalam konteks)
Journeyman Geek

Jawaban:


9

The Journal of Digital Forensik, Keamanan dan Hukum memiliki artikel yang sangat baik STUDI PENCITRAAN FORENSIK DALAM KETIADAAN MENULIS-BLOCKERS yang menganalisa forensik capture baik dengan dan tanpa menulis blocker. Dari jurnal:

Praktik terbaik dalam forensik digital menuntut penggunaan blocker ketika membuat gambar forensik media digital, dan ini telah menjadi prinsip inti pelatihan forensik komputer selama beberapa dekade. Prakteknya sudah mendarah daging sehingga integritas gambar yang dibuat tanpa pemblokir tulis segera dicurigai.

Hanya dengan memasang sistem file dapat menyebabkan baca / tulis. Banyak filesystem modern, dari ext3 / 4 dan xfs ke NTFS , semua memiliki jurnal yang memelihara metadata tentang filesystem itu sendiri. Jika daya hilang, shutdown tidak lengkap, atau sejumlah alasan, jurnal ini secara otomatis dibaca dan ditulis kembali ke struktur file di drive untuk menjaga konsistensi sistem file itu sendiri. Ini dapat terjadi selama proses mount, apakah sistem file read-write atau tidak.

Misalnya, dari dokumentasi ext4 , roopsi pemasangan akan ...

Mount filesystem hanya baca. Perhatikan bahwa ext4 akan memutar ulang jurnal (dan dengan demikian menulis ke partisi) bahkan ketika dipasang "baca saja". Opsi mount "ro, noload" dapat digunakan untuk mencegah penulisan ke sistem file.

Meskipun perubahan tingkat driver ini tidak mempengaruhi konten file, itu adalah standar forensik untuk mengambil hash kriptografi bukti atas koleksi untuk menjaga rantai penahanan. Jika seseorang dapat menunjukkan bahwa hash, misalnya sha256, dari bukti yang saat ini dimiliki cocok dengan apa yang dikumpulkan, maka Anda dapat membuktikan tanpa keraguan bahwa data drive belum dimodifikasi selama proses analisis.

Bukti digital dapat dikutip sebagai bukti di hampir setiap kategori kejahatan. Peneliti forensik harus benar-benar yakin bahwa data yang mereka peroleh sebagai bukti belum diubah dengan cara apa pun selama penangkapan, analisis, dan pengendalian. Pengacara, hakim, dan juri perlu merasa yakin bahwa informasi yang disajikan dalam kasus kejahatan komputer adalah sah. Bagaimana seorang simpatisan memastikan dengan pasti bahwa bukti-bukti nya diterima di pengadilan?

Menurut Institut Nasional Standar dan Teknologi (NIST), penyelidik mengikuti serangkaian prosedur yang dirancang untuk mencegah pelaksanaan program apa pun yang mungkin memodifikasi isi disk. http://www.cru-inc.com/data-protection-topics/writeblockers/

Sebuah write blocker diperlukan, karena jika setiap perubahan bit untuk setiap alasan-OS, driver-tingkat, tingkat sistem file atau di bawah-maka hash dari dikumpulkan vs sistem dianalisis akan pertandingan lagi, dan diterimanya drive sebagai bukti mungkin menjadi dipertanyakan.

Dengan demikian, blocker tulis merupakan kontrol teknis terhadap kemungkinan perubahan tingkat rendah, dan kontrol prosedural untuk memberikan jaminan bahwa tidak ada perubahan yang dibuat, terlepas dari pengguna atau perangkat lunak. Dengan menghilangkan kemungkinan perubahan, ini mendukung hash untuk digunakan untuk menunjukkan bahwa bukti yang dianalisis cocok dengan bukti yang dikumpulkan, dan mencegah banyak bukti potensial menangani masalah dan pertanyaan.

Analisis artikel JDFSL menunjukkan bahwa tanpa pemblokir tulis, perubahan dilakukan pada drive yang mereka uji. Namun, di sisi sebaliknya - file data individu hash masih akan utuh, sehingga argumen untuk kesehatan bukti yang dikumpulkan tanpa pemblokir tulis ada, tetapi tidak dianggap sebagai praktik industri terbaik.


4

Anda tidak bisa memastikan . @jakegould mencakup banyak alasan hukum dan teknis, jadi saya fokus pada alasan operasional.

Pertama, Anda tidak pernah memasang drive seperti itu, Anda gambar seluruh perangkat. Premis inti Anda, bahwa Anda dapat menggunakan izin sistem file salah. Anda akan menggunakan beberapa rasa DD atau alat akuisisi khusus yang harus mencakup pekerjaan hanya membaca secara default.

Forensik sepenuhnya memastikan Anda tidak pernah merusak bukti pada tahap apa pun, dan bahwa Anda dapat memberikan salinan drive yang terverifikasi tanpa perubahan yang dilakukan. (Bahkan, kecuali jika Anda perlu melakukan forensik langsung, Anda hanya menyentuh hard drive tersangka sekali untuk gambar itu). Jadi selain alat akuisisi Anda hanya dibaca, itu bertindak sebagai garis pertahanan kedua terhadap mengacaukan.

Blocker tulis melakukan hal-hal tertentu.

  1. Ini menggeser beban membuktikan bahwa drive itu sebenarnya hanya baca
  2. Dengan cara yang lebih idiotproof - Ini menjadi bagian dari rig / proses 'akuisisi' Anda
  3. dengan perangkat yang dijamin melakukannya oleh pabrikan - yang merupakan sesuatu yang Anda inginkan dalam log bukti / insiden Anda.

Dalam arti itu dimasukkan ke dalam proses pengumpulan bukti dan ada satu hal yang kurang untuk mengacaukan diri manusia Anda yang lemah. Selain verifikasi bahwa drive sumber tidak ditulis, itu mungkin menyelamatkan Anda jika Anda mencampur sumber dan tujuan .

Singkatnya itu mengeluarkan satu kemungkinan titik lemah utama . Anda tidak perlu memikirkan 'apakah saya memasang drive hanya baca' atau 'apakah saya menukar sumber dan tujuan saya di dd?'

Anda menghubungkannya, dan Anda tidak perlu khawatir jika Anda menimpa bukti Anda.


Poin operasional yang baik, proses dan kemampuan untuk mereproduksi hasil sangat penting dalam forensik - pemblokir tulis menghilangkan kesalahan manusia dan mesin dari memengaruhi mereka.
Glallen

+1 Karena ini adalah topik yang kompleks dan Anda menyentuh secara spesifik pada tingkat yang tidak saya lakukan,
JakeGould

2

Anda menyatakan ini:

Jika Anda bisa memasang disk dalam mode baca-saja, apa gunanya membeli sesuatu seperti pemblokir tulis?

Mari — pada tingkat tinggi, non-teknis — secara logis melihat bagaimana data untuk bukti dikumpulkan. Dan kunci dari semua ini adalah netralitas.

Anda memiliki tersangka ... Sesuatu dalam kasus hukum atau berpotensi hukum. Bukti mereka harus disajikan se netral mungkin. Dalam hal dokumen fisik, Anda hanya dapat mengambil bahan cetakan dan menyimpannya secara fisik di tempat yang aman. Untuk data? Sifat sistem komputer secara inheren memiliki masalah manipulasi data dalam permainan.

Sementara Anda menyatakan Anda hanya bisa secara logis memasang volume sebagai "hanya baca" siapa Anda? Dan bagaimana seseorang yang bukan Anda — seperti pengadilan atau penyelidik — bisa memercayai keterampilan, sistem, dan keahlian Anda? Berarti apa yang membuat sistem Anda begitu istimewa, beberapa proses latar belakang tidak dapat tiba-tiba muncul pada sistem dan mulai mengindeksnya begitu Anda mencolokkannya? Dan bagaimana Anda akan mengamatinya? Dan heck, bagaimana dengan metadata file? MD5 pada file berguna ... Tetapi jika satu karakter perubahan metadata dalam file, tebak apa? MD5 berubah.

Apa yang muncul adalah dalam skema besar hal-hal yang keterampilan teknis pribadi Anda tidak berpengaruh pada kemampuan bagi Anda untuk menyajikan data setranspektif mungkin untuk penyelidik, pengadilan atau orang lain.

Masukkan pemblokir tulis. Ini bukan perangkat ajaib. Itu jelas memblokir penulisan data pada tingkat dasar dan apa lagi? Nah, hanya itu yang dilakukannya dan itu semua yang harus dilakukan (atau tidak dilakukan).

Blocker tulis adalah perangkat keras netral yang dibuat oleh perusahaan lain sesuai standar industri yang melakukan satu tugas dan satu tugas dengan baik: Mencegah penulisan data.

Bagi penyelidik, pengadilan, atau orang lain, penggunaan pemblokir tulis pada dasarnya menyatakan, “Saya seorang profesional komputer yang memahami forensik data dan memahami perlunya integritas data ketika memberikan informasi kepada orang lain yang saya tuntut mengumpulkan. Saya menggunakan perangkat fisik yang kami semua sepakati mencegah penulisan untuk mengakses data ini untuk menunjukkan kepada semua orang bahwa ya, ini adalah bukti yang Anda butuhkan untuk melakukan apa yang perlu Anda lakukan. "

Jadi intinya “membeli sesuatu seperti pemblokir tulis” adalah membeli alat yang diakui secara universal oleh orang-orang di seluruh dunia sebagai alat yang valid untuk akses dan pengumpulan data netral. Dan jika orang lain — yang bukan Anda — mengakses data dengan pemblokir tulis yang sama, mereka juga akan mendapatkan data yang sama sebagai balasannya.

Contoh dunia nyata lainnya adalah bukti kamera video. Sekarang ya, ada risiko bukti video dirusak. Tapi katakanlah Anda menyaksikan kejahatan dan melihat tersangka dan tahu bahwa mereka melakukannya. Di pengadilan, integritas Anda sebagai saksi akan dihancurkan oleh pembela saat mereka berusaha membela klien mereka. Tetapi katakanlah sebagai tambahan dari saksi mata Anda melaporkan bahwa polisi mendapatkan rekaman video tentang kejahatan yang terjadi. Mata yang netral dan tanpa berkedip dari perangkat penangkap gambar netral ini membuat sebagian besar keraguan Anda diragukan. Artinya, "robot" hal yang bukan manusia tetapi dapat merekam data akan membuat cadangan kasus penuntutan terhadap pertahanan dan bukan hanya kata-kata / kepercayaan Anda.

Kenyataannya adalah dunia hukum dan legalitas benar-benar turun ke bukti fisik yang solid, nyata dan — cukup banyak — tak terbantahkan. Dan blocker tulis alat yang memastikan bukti data fisik sebersih mungkin.


1
+1 menggerutu menggerutu Anda membahas banyak hal yang akan saya miliki; p
Journeyman Geek

-2

Alasan penulisan blocker digunakan, adalah karena penjahat bisa saja menempatkan proses perangkap yang menghancurkan bukti pada suatu peristiwa (bisa berupa upaya kata sandi yang salah, tidak ada jangkauan ke server tertentu, upaya untuk mengakses file palsu atau apa pun).

Setiap proses perangkap pada dasarnya dapat mencoba untuk memasang kembali perangkat di baca-tulis juga.

Satu-satunya cara untuk memastikan adalah menggunakan perangkat perangkat keras. Beberapa pengunci pengunci perangkat keras memiliki sakelar yang memungkinkan fungsi pengunci pengunci dinonaktifkan, tetapi yang terpenting, adalah perangkat lunak tidak pernah dapat memengaruhi perangkat keras jika perangkat keras tidak diprogram untuk bereaksi terhadap sinyal perangkat lunak.

Perangkat yang sama dapat diterapkan pada memori USB, mengapa beberapa memori USB memang memiliki saklar proteksi fisik.

Kadang-kadang penyidik ​​perlu bisa mem-boot OS tersangka, itulah sebabnya penyidik ​​perlu waspada terhadap proses perangkap apa pun.

Proses penyelidikan bervariasi antara negara yang berbeda karena undang-undang tanggung jawab yang berbeda. Di beberapa negara, hanya memiliki file tertentu adalah ilegal, itu adalah tanggung jawab Anda untuk menjaga keamanan komputer Anda, dan Anda tidak dapat menyalahkan file ilegal pada virus.

Dan di negara lain, mungkin kepemilikan file itu ilegal, tetapi bukti harus disajikan bahwa tersangka yang menempatkan file dan bukan virus.

Dalam kasus kedua, penyelidik mungkin perlu mem-boot komputer untuk melihat apa pun yang dimulai saat boot di autostart / run / runonce.

Dengan kata lain, penjahat pada dasarnya jahat, sehingga segala sesuatu yang dapat menentang validitas bukti di Pengadilan perlu dilindungi dengan segala cara. Juga, jika penjahat telah memasang perangkap yang secara otomatis menghancurkan bukti, dalam banyak kasus TIDAK akan menjadi "penghancuran bukti", yang bertentangan dengan menghapus sesuatu secara manual. Ini bisa menjadi bencana jika menulis diizinkan.

Proses perangkat keras yang terisolasi jauh lebih aman daripada proses perangkat lunak, sehingga penulis kunci digunakan oleh penyelidik untuk mengamankan materi mereka dari kehancuran, dengan cara yang sama para profesional keamanan menggunakan kartu pintar dan token untuk mencegah rahasia mereka tidak dikompromikan.


1
Logika di sini tampaknya bergantung pada bukti yang dikumpulkan dari "penjahat" tanpa prospek di tempat yang akan memungkinkan bukti dikumpulkan hanya karena itu adalah bagian dari suatu kasus. 100% siapa pun di dunia dapat ditangkap dan sistemnya disita. Itu dalam dan dari dirinya sendiri tidak menyimpulkan perilaku bersalah atau keterlibatan. Itu hanya berarti sistem mereka disita sebagai bukti potensial. Nilai dari blocker tulis adalah untuk memastikan data yang dikumpulkan dari mesin pada dasarnya "beku dalam waktu" dan dalam keadaan yang dapat digunakan sebagai bukti oleh pihak ketiga yang netral. Tidak ada lagi. Tidak kurang.
JakeGould

1
Secara umum, para profesional forensik diajari bahwa beban pembuktian ada pada mereka dan undergrads forensik komputer memperingatkan bahwa pengacara akan memakan Anda hidup-hidup, dengan saus tomat jika Anda mengacaukan bukti. 'Proses perangkap' tidak pernah benar-benar disebutkan, terutama karena alasan forensik offline lebih disukai untuk hidup forensik adalah untuk menghindari kemungkinan itu. Jika Anda menggunakan pemblokir tulis - sistem telah dimatikan, seringkali dengan menarik kabelnya, dan drive asli sudah diamankan.
Journeyman Geek

Jika Anda mem-boot sistem untuk membuat gambarnya, maka gambar itu tidak bisa dipercaya, terlepas dari apakah ada pemblokir tulis. Jika Anda melakukan pencitraan dari sistem yang dikenal baik, maka setiap perangkap perangkat lunak pada gambar yang Anda salin akan menjadi tidak relevan. Blocker tulis tidak ada untuk mencegah penulisan yang dipicu oleh data pada data yang Anda gambar, itu ada untuk mencegah menulis oleh sistem yang melakukan pencitraan.
kasperd

Biasanya Anda berdua menggunakan pemblokir tulis untuk membuat gambarnya. Kemudian Anda mem-boot sistem jika perlu, untuk mengumpulkan bukti yang hanya dapat diakses "online" (saat OS yang dicurigai di-boot). Dalam kebanyakan kasus, itu cukup dengan analisis offline sederhana, tetapi kadang-kadang, analisis online diperlukan dalam ADDITION untuk analisis offline. Biasanya Anda bekerja dengan gambar, tetapi kadang-kadang perangkat lunak perangkap dapat menggunakan drive-ID untuk mencegah akses lebih lanjut adalah salinan di-boot, maka pada dasarnya Anda perlu boot online dengan pemblokir tulis. Itu semua tergantung mengapa Anda secara forensik menyelidiki drive yang dimaksud.
sebastian nielsen

1
@sebastiannielsen “Ya, tetapi Anda harus menganggap yang terburuk saat menganalisis drive.” Tidak, Anda masih belum mengerti. Anda perlu mengasumsikan hal yang tidak diketahui saat menyelidiki sesuatu. Bukan yang terburuk. Bukan yang terbaik. Tapi tidak diketahui. Dan seorang ahli forensik yang mengasumsikan "terburuk" pada awalnya adalah aset buruk di dalam dan dari diri mereka sendiri. Mempertahankan netralitas itu sulit, tetapi itu adalah pekerjaan seorang analis forensik.
JakeGould
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.