Tại sao các trình chặn ghi cần thiết khi có mount với chỉ đọc?


10

Giả sử chúng ta đang sử dụng một số hương vị của Linux và chúng ta gắn kết một phân vùng bằng lệnh sau:

sudo mount -o ro /dev/sdc1 /mnt

Phân vùng được cho là chỉ đọc để HĐH và người dùng không thể ghi vào đĩa mà không thay đổi mountquyền.

Từ ForensicsWiki :

Trình chặn ghi là thiết bị cho phép thu thập thông tin trên ổ đĩa mà không tạo ra khả năng vô tình làm hỏng nội dung ổ đĩa. Họ làm điều này bằng cách cho phép các lệnh đọc vượt qua nhưng bằng cách chặn các lệnh ghi, do đó tên của chúng.

Điều này đối với tôi rằng nó chỉ là để ngăn chặn các cờ vô tình. Trang này cũng nói rằng có một số tính năng bổ sung cho một số trình chặn ghi, chẳng hạn như làm chậm đĩa để tránh thiệt hại. Nhưng đối với điều này, giả sử nó chỉ là một đơn giản chỉ có thể chặn viết.

Nếu bạn chỉ có thể gắn một đĩa ở chế độ chỉ đọc, thì điểm mua một cái gì đó như trình chặn ghi là gì? Đây có phải chỉ để giúp ngăn chặn những thứ như lệnh vô tình gắn kết với quyền ghi (lỗi người dùng, không thể cho phép trong một số trường hợp, ví dụ như các vụ án hình sự), hoặc tôi thiếu một số tính năng chuyên sâu về cách hệ thống tập tin hoạt động?

Lưu ý: Tôi biết rằng một số SSD xáo trộn dữ liệu liên tục, tôi không chắc có nên đưa chúng vào câu hỏi hay không. Có vẻ như điều đó sẽ làm cho nó phức tạp hơn nhiều.


Hở. Tôi khá chắc chắn có một câu hỏi về phục hồi dữ liệu từ SSD - và tôi đã trả lời nó. Văn học hiện tại về điều đó là mâu thuẫn, và một mớ hỗn độn.
Journeyman Geek

1
Đọc thực sự là một cách khá tốt để vượt qua khối nhà văn.
Radu

1
Từ đó, nó không có nghĩa như bạn nghĩ (trong ngữ cảnh)
Journeyman Geek

Câu trả lời:


9

Các Tạp chí Digital Forensics, An ninh và Luật có một tuyệt vời bài viết MỘT NGHIÊN CỨU VỀ ảnh đĩa trong trường hợp không VIẾT chẹn rằng phân tích pháp y chụp cả có và không có ghi chẹn. Từ tạp chí:

Thực tiễn tốt nhất trong pháp y kỹ thuật số yêu cầu sử dụng các công cụ chặn viết khi tạo hình ảnh pháp y của phương tiện kỹ thuật số và đây là nguyên lý cốt lõi của đào tạo pháp y máy tính trong nhiều thập kỷ. Việc thực hành đã ăn sâu đến mức tính toàn vẹn của hình ảnh được tạo mà không có trình chặn ghi ngay lập tức bị nghi ngờ.

Chỉ gắn một hệ thống tập tin có thể gây ra đọc / ghi. Nhiều hệ thống tệp hiện đại, từ ext3 / 4xfs đến NTFS , tất cả đều có một tạp chí duy trì siêu dữ liệu về chính hệ thống tệp. Nếu mất điện, tắt máy không hoàn toàn hoặc một số lý do, tạp chí này sẽ tự động được đọc và ghi lại vào các cấu trúc tệp trên toàn bộ ổ đĩa để duy trì tính nhất quán của chính hệ thống tệp. Điều này có thể xảy ra trong quá trình gắn kết, cho dù hệ thống tệp có đọc-ghi hay không.

Ví dụ: từ tài liệu ext4 , rotùy chọn gắn kết sẽ ...

Mount hệ thống tập tin chỉ đọc. Lưu ý rằng ext4 sẽ phát lại nhật ký (và do đó ghi vào phân vùng) ngay cả khi được gắn "chỉ đọc". Các tùy chọn gắn kết "ro, noload" có thể được sử dụng để ngăn ghi vào hệ thống tập tin.

Mặc dù những thay đổi cấp trình điều khiển này không ảnh hưởng đến nội dung của các tệp, nhưng đây là một tiêu chuẩn pháp y để lấy băm mật mã bằng chứng khi thu thập để duy trì chuỗi hành trình. Nếu người ta có thể chỉ ra rằng hàm băm, tức là sha256, bằng chứng hiện đang giữ phù hợp với những gì đã được thu thập, thì bạn có thể chứng minh vượt quá sự nghi ngờ hợp lý rằng dữ liệu của ổ đĩa đã không được sửa đổi trong quá trình phân tích.

Bằng chứng kỹ thuật số có thể được trích dẫn làm bằng chứng trong hầu hết các loại tội phạm. Các nhà điều tra pháp y cần phải tuyệt đối chắc chắn rằng dữ liệu họ thu được làm bằng chứng không bị thay đổi theo bất kỳ cách nào trong quá trình thu thập, phân tích và kiểm soát. Luật sư, thẩm phán và hội thẩm cần cảm thấy tự tin rằng thông tin được trình bày trong vụ án tội phạm máy tính là hợp pháp. Làm thế nào một điều tra viên có thể đảm bảo chắc chắn rằng bằng chứng của mình được chấp nhận tại tòa án?

Theo Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), điều tra viên tuân theo một bộ quy trình được thiết kế để ngăn chặn việc thực hiện bất kỳ chương trình nào có thể sửa đổi nội dung đĩa. http://www.cru-inc.com/data-protection-topics/writeblockers/

Một ghi chặn là cần thiết, bởi vì nếu bất kỳ chút thay đổi cho bất kỳ lý do hệ điều hành, trình điều khiển cấp, mức độ tập tin hệ thống hoặc thấp hơn thì băm của thu vs hệ thống phân tích sẽ trận đấu không còn, và khả năng chấp nhận của ổ đĩa làm bằng chứng có thể được chất vấn

Do đó, trình chặn ghi là cả kiểm soát kỹ thuật đối với khả năng thay đổi cấp độ thấp và kiểm soát theo thủ tục để đảm bảo rằng không có thay đổi nào được thực hiện, bất kể người dùng hay phần mềm. Bằng cách loại bỏ khả năng thay đổi, nó hỗ trợ băm được sử dụng để cho thấy bằng chứng được phân tích khớp với bằng chứng thu thập được và ngăn ngừa nhiều vấn đề và câu hỏi xử lý bằng chứng tiềm năng.

Phân tích của bài viết JDFSL cho thấy rằng không có trình chặn ghi, các thay đổi đã được thực hiện đối với các ổ đĩa mà họ đã kiểm tra. Tuy nhiên, ở phía ngược lại - các tệp băm dữ liệu riêng lẻ vẫn còn nguyên vẹn, do đó, các lập luận về tính đúng đắn của bằng chứng được thu thập mà không có trình chặn ghi tồn tại, nhưng không được coi là thực hành công nghiệp tốt nhất.


4

Bạn không thể chắc chắn . @jakegould bao gồm rất nhiều lý do pháp lý và kỹ thuật, vì vậy tôi đang tập trung vào các lý do hoạt động.

Thứ nhất, bạn không bao giờ gắn ổ đĩa như vậy, bạn hình ảnh toàn bộ thiết bị. Tiền đề cốt lõi của bạn, rằng bạn có thể sử dụng quyền hệ thống tập tin là sai. Bạn sẽ sử dụng một số hương vị của DD hoặc một công cụ thu nhận chuyên dụng chỉ bao gồm hoạt động đọc chỉ theo mặc định.

Pháp y hoàn toàn chắc chắn rằng bạn không bị giả mạo bằng chứng ở bất kỳ giai đoạn nào và rằng bạn có thể cung cấp một bản sao được xác minh của ổ đĩa mà không có thay đổi nào được thực hiện. (Trên thực tế, trừ khi bạn cần thực hiện pháp y trực tiếp, bạn chỉ chạm vào ổ cứng nghi ngờ một lần để ghi hình ảnh). Ngoài ra, công cụ mua lại của bạn chỉ được đọc, nó hoạt động như một tuyến phòng thủ thứ hai chống lại sự lộn xộn.

Trình chặn viết làm những việc nhất định.

  1. Nó thay đổi gánh nặng chứng minh rằng ổ đĩa trên thực tế chỉ đọc
  2. Trong một nhiều cách idiotproof - Nó trở thành một phần của 'mua' giàn khoan / quá trình của bạn
  3. với thiết bị được đảm bảo để làm như vậy bởi nhà sản xuất - đó là điều bạn muốn trong nhật ký chứng cứ / sự cố.

Theo một nghĩa nào đó, nó rơi vào quá trình thu thập bằng chứng và có một điều ít hơn cho con người yếu đuối của bạn gây rối. Ngoài việc xác minh rằng ổ đĩa nguồn không được ghi vào, nó có thể giúp bạn tiết kiệm nếu bạn trộn lẫn nguồn và đích .

Trong ngắn hạn, nó đưa ra một điểm yếu lớn có thể . Bạn không cần phải suy nghĩ về 'tôi đã gắn ổ đĩa chỉ đọc' hay 'tôi đã trao đổi nguồn và đích của mình trong dd chưa?'

Bạn móc nó vào, và bạn không cần phải lo lắng nếu bạn ghi đè bằng chứng của mình.


Điểm hoạt động tốt, quy trình và khả năng tái tạo kết quả là rất quan trọng trong pháp y - một trình chặn ghi loại bỏ cả lỗi của con người và máy ảnh hưởng đến chúng.
glallen

+1 Bởi vì đây là một chủ đề phức tạp và bạn đã chạm vào các chi tiết cụ thể ở cấp độ tôi đã không làm
JakeGould 30/11/14

2

Bạn nói điều này:

Nếu bạn chỉ có thể gắn một đĩa ở chế độ chỉ đọc, thì điểm mua một cái gì đó như trình chặn ghi là gì?

Hãy để chúng tôi ở cấp độ cao, phi kỹ thuật, xem xét một cách logic về cách dữ liệu cho bằng chứng sẽ được thu thập. Và chìa khóa cho tất cả những điều này là tính trung lập.

Bạn có một nghi phạm của một cái gì đó trong một trường hợp pháp lý hoặc có khả năng pháp lý. Bằng chứng của họ phải được trình bày càng trung tính càng tốt. Trong trường hợp tài liệu vật lý, bạn chỉ cần lấy tài liệu in và lưu trữ chúng ở nơi an toàn. Cho dữ liệu? Bản chất của các hệ thống máy tính vốn đã có một vấn đề về thao tác dữ liệu trong trò chơi.

Trong khi bạn tuyên bố, bạn chỉ có thể gắn kết âm lượng một cách hợp lý khi mà bạn chỉ đọc được bạn là ai? Và làm thế nào một người không phải là bạn như một tòa án hay điều tra viên có thể tin tưởng vào các kỹ năng, hệ thống và chuyên môn của bạn? Có nghĩa là điều gì làm cho hệ thống của bạn trở nên đặc biệt, một số quy trình nền có thể đột nhiên bật lên trên hệ thống và bắt đầu lập chỉ mục cho nó khi bạn cắm nó vào lần thứ hai? Và bạn sẽ làm thế nào để kiếm tiền? Và heck, những gì về siêu dữ liệu tập tin? MD5 trên các tệp là hữu ích, nhưng nếu một ký tự siêu dữ liệu thay đổi trong một tệp thì đoán xem sao? MD5 thay đổi.

Những gì nó nói đến là trong sơ đồ tuyệt vời về những điều mà kỹ năng kỹ thuật cá nhân của bạn không ảnh hưởng đến khả năng bạn trình bày dữ liệu một cách trung lập nhất có thể cho các nhà điều tra, tòa án hoặc những người khác.

Nhập một trình chặn viết. Đây không phải là một thiết bị kỳ diệu. Nó rõ ràng chặn việc ghi dữ liệu ở mức cơ sở và những gì khác? Vâng, đó là tất cả những gì nó làm và đó là tất cả những gì nó nên làm (hoặc không làm).

Trình chặn ghi là một phần cứng trung tính được sản xuất bởi một công ty khác theo tiêu chuẩn được chấp nhận trong ngành, thực hiện tốt một nhiệm vụ và một nhiệm vụ: Ngăn chặn ghi dữ liệu.

Đối với một điều tra viên, tòa án hoặc những người khác về việc sử dụng một trình chặn viết về cơ bản, thì tôi là một chuyên gia máy tính, người hiểu về pháp y dữ liệu và hiểu sự cần thiết của tính toàn vẹn dữ liệu khi cung cấp thông tin cho những người khác mà tôi bị buộc tội thu thập. Tôi đang sử dụng một thiết bị vật lý mà tất cả chúng ta đều đồng ý ngăn việc ghi để truy cập dữ liệu này để cho mọi người thấy rằng có, đây là bằng chứng bạn cần làm những gì bạn cần làm.

Vì vậy, quan điểm của việc mua một thứ gì đó như công cụ chặn viết là mua một công cụ được mọi người trên toàn thế giới công nhận là một công cụ hợp lệ để truy cập và thu thập dữ liệu trung tính. Và rằng nếu một người khác không phải là bạn, thì bạn đã truy cập dữ liệu bằng trình chặn ghi tương tự, họ cũng sẽ nhận được cùng một dữ liệu.

Một ví dụ thực tế khác là bằng chứng máy quay video. Bây giờ có, có nguy cơ bằng chứng video bị giả mạo. Nhưng hãy nói rằng bạn đã chứng kiến ​​một tội ác và nhìn thấy nghi phạm và biết rằng họ đã làm điều đó. Tại một tòa án, sự chính trực của bạn với tư cách là nhân chứng sẽ được bào chữa chứng minh khi họ tìm cách bảo vệ thân chủ của mình. Nhưng hãy nói rằng ngoài báo cáo nhân chứng của bạn, cảnh sát có được đoạn video về tội ác xảy ra. Con mắt vô tư, không chớp mắt của một thiết bị chụp ảnh trung tính sẽ đặt ra hầu hết những nghi ngờ về tuyên bố của bạn. Có nghĩa là, một robot Robot điều không phải là con người nhưng có thể ghi dữ liệu sẽ sao lưu trường hợp truy tố chống lại phòng thủ và không chỉ là từ / niềm tin của bạn.

Thực tế là thế giới của pháp luật và tính hợp pháp thực sự bắt nguồn từ những bằng chứng vật lý vững chắc, hữu hình và khá nhiều. Và một trình chặn ghi là một công cụ đảm bảo bằng chứng dữ liệu vật lý càng sạch càng tốt.


1
Càu nhàu +1 Bạn cằn nhằn nhiều thứ tôi sẽ có; p
Journeyman Geek

-2

Lý do chặn trình ghi được sử dụng là vì bọn tội phạm có thể đặt các quy trình bẫy phá hủy bằng chứng khi có sự kiện (có thể là mật khẩu không chính xác, không truy cập được vào một máy chủ cụ thể, cố gắng truy cập tệp giả mạo hoặc bất cứ điều gì).

Bất kỳ quy trình bẫy nào về cơ bản cũng có thể cố gắng kết nối lại thiết bị bằng cách đọc-ghi.

Cách duy nhất để chắc chắn là sử dụng một thiết bị phần cứng. Một số writeblockers có một công tắc cho phép chức năng writeblocking bị vô hiệu hóa, nhưng điều quan trọng chính là phần mềm không bao giờ có thể ảnh hưởng đến phần cứng nếu phần cứng không được lập trình để phản ứng với tín hiệu phần mềm.

Điều tương tự có thể được áp dụng cho các bộ nhớ USB, tại sao một số bộ nhớ USB không có công tắc ghi vật lý.

Đôi khi điều tra viên cần có khả năng khởi động HĐH của nghi phạm, đó là lý do tại sao điều tra viên cần cảnh giác với bất kỳ quy trình bẫy nào.

Quá trình điều tra khác nhau giữa các quốc gia khác nhau vì luật trách nhiệm khác nhau. Ở một số quốc gia, việc sở hữu một số tệp nhất định là bất hợp pháp, bạn có trách nhiệm giữ an toàn cho máy tính của mình và bạn không thể đổ lỗi cho các tệp bất hợp pháp trên virus.

Và ở một quốc gia khác, có thể việc sở hữu tệp này là bất hợp pháp, nhưng cần phải đưa ra bằng chứng rằng đó là nghi phạm đã đặt các tệp chứ không phải là vi-rút.

Trong trường hợp thứ hai, điều tra viên có thể cần phải khởi động máy tính để xem mọi thứ đang khởi động khi khởi động trong chế độ tự động khởi động / chạy / chạy.

Nói cách khác, bản chất tội phạm là độc hại, do đó, bất cứ điều gì có thể thách thức tính hợp lệ của bằng chứng tại Tòa án cần phải được bảo vệ bằng mọi giá. Ngoài ra, nếu tên tội phạm đã đặt một cái bẫy tự động phá hủy bằng chứng, thì trong nhiều trường hợp, nó sẽ KHÔNG bị phá hủy bằng chứng, trái ngược với việc xóa thủ công một cái gì đó. Nó có thể là một thảm họa nếu viết được cho phép thông qua.

Một quy trình phần cứng bị cô lập an toàn hơn rất nhiều so với quy trình phần mềm, do đó, các nhà điều tra được sử dụng để điều tra tài liệu của họ khỏi bị phá hủy, giống như cách các chuyên gia bảo mật sử dụng thẻ thông minh và mã thông báo để ngăn chặn bí mật của họ bị xâm phạm.


1
Logic ở đây dường như xoay quanh các bằng chứng được thu thập từ một tên tội phạm người Hồi giáo mà không có triển vọng cho phép các bằng chứng được thu thập chỉ vì đó là một phần của vụ án. 100% bất cứ ai trên thế giới đều có thể bị bắt và hệ thống của họ bị bắt giữ. Điều đó và trong chính nó không suy ra hành vi tội lỗi hoặc đồng lõa. Nó chỉ có nghĩa là hệ thống của họ đã bị thu giữ như một bằng chứng tiềm năng. Giá trị của trình chặn ghi là đảm bảo dữ liệu được thu thập từ máy về cơ bản là bị đóng băng trong thời gian và trong trạng thái có thể được sử dụng làm bằng chứng của bên thứ ba trung lập. Chỉ có bấy nhiêu thôi. Không có gì ít hơn.
JakeGould

1
Thông thường, các chuyên gia pháp y được dạy rằng gánh nặng của bằng chứng là ở họ và các sinh viên pháp y máy tính cảnh báo rằng các luật sư sẽ ăn thịt bạn, với sốt cà chua nếu bạn làm xáo trộn bằng chứng. "Các quy trình bẫy" chưa bao giờ thực sự được đề cập, đặc biệt là vì lý do pháp y ngoại tuyến được ưa thích là pháp y sống là để tránh cơ hội đó. Nếu bạn đang sử dụng trình chặn ghi - hệ thống đã bị tắt, thường bằng cách kéo dây và ổ đĩa gốc đã được bảo mật.
Journeyman Geek

Nếu bạn khởi động một hệ thống để tạo một hình ảnh của nó, thì hình ảnh đó không thể tin cậy được, bất kể có trình chặn ghi nào không. Nếu bạn thực hiện hình ảnh từ một hệ thống tốt đã biết, thì bất kỳ phần mềm nào bẫy trên hình ảnh bạn đang sao chép sẽ không liên quan. Trình chặn ghi không có ở đó để ngăn việc ghi được kích hoạt bởi dữ liệu trên dữ liệu bạn đang tạo ảnh, nó ở đó để ngăn việc ghi bởi hệ thống thực hiện hình ảnh.
kasperd

Thông thường cả hai bạn đều sử dụng trình chặn ghi để tạo hình ảnh của nó. Sau đó, bạn khởi động hệ thống nếu cần, để thu thập bằng chứng chỉ có thể truy cập "trực tuyến" (trong khi hệ điều hành nghi ngờ được khởi động). Trong hầu hết các trường hợp, nó đủ với phân tích ngoại tuyến đơn giản, nhưng đôi khi, phân tích trực tuyến là cần thiết trong THÊM cho phân tích ngoại tuyến. Thông thường bạn làm việc với hình ảnh, nhưng đôi khi phần mềm bẫy có thể sử dụng ID ổ đĩa để ngăn truy cập thêm là một bản sao được khởi động, về cơ bản bạn cần phải khởi động trực tuyến với trình chặn ghi. Tất cả phụ thuộc vào lý do tại sao bạn đang điều tra pháp y ổ đĩa trong câu hỏi.
sebastian nielsen

1
@sebastiannielsen Đây Có, nhưng bạn cần phải giả định điều tồi tệ nhất khi phân tích một ổ đĩa. Không, bạn vẫn không nhận được nó. Bạn cần phải giả định những điều chưa biết khi điều tra bất cứ điều gì. Không phải là tồi tệ nhất. Không phải là tốt nhất. Nhưng đơn giản là những điều chưa biết. Và một chuyên gia pháp y, người giả định rằng điều tồi tệ nhất ngay từ đầu là một tài sản xấu trong chính họ. Duy trì tính trung lập là khó, nhưng đó là công việc của một nhà phân tích pháp y.
JakeGould
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.