Salt okunur bir montaj olduğunda yazma engelleyicilere neden ihtiyaç duyulur?

Diyelim ki Linux'un bazı lezzetlerini kullanıyoruz ve aşağıdaki komutu kullanarak bir bölüm oluşturuyoruz:

sudo mount -o ro /dev/sdc1 /mnt

İşletim sisteminin ve kullanıcının mountizinleri değiştirmeden diske yazamaması için bölümün salt okunur olması gerekir .

Gönderen ForensicsWiki :

Yazma engelleyicileri, sürücü içeriğine kazayla zarar verme olasılığı yaratmadan sürücüde bilgi edinilmesine olanak tanıyan aygıtlardır. Bunu, okuma komutlarının geçmesine izin vererek, ancak yazma komutlarını, dolayısıyla adlarını engelleyerek yaparlar.

Bana öyle geliyor ki, sadece kazara bayrakları önlemek. Sayfa ayrıca, bazı yazma engelleyicilerin zarar görmesini önlemek için diski yavaşlatmak gibi ek özellikler olduğunu söylüyor. Ama bunun için sadece yazmayı engelleyebilecek basit bir varsayım olduğunu varsayalım.

Bir diski salt okunur modda monte edebiliyorsanız, yazma engelleyici gibi bir şey satın almanın anlamı nedir? Bu sadece yazma izinleri (bazı durumlarda izin verilemeyen kullanıcı hatası, yani ceza davaları gibi) yanlışlıkla bağlanma komutu gibi şeyleri önlemeye yardımcı olmak mı, yoksa dosya sistemlerinin nasıl çalıştığının daha ayrıntılı özelliklerini kaçırıyor muyum?

Not: Bazı SSD'lerin verileri sürekli olarak değiştirdiğinin farkındayım, bunları soruya dahil edip etmeyeceğinizden emin değilim. Bu çok daha karmaşık hale getirecek gibi görünüyor.

Dijital Adli Tıp, Güvenlik ve Hukuk Dergisi mükemmel bir makale vardır YAZIN-BLOKERLERİNİN OLMADAN ADLİ GÖRÜNTÜLEMENİN İLGİLİ ÇALIŞMALAR ile ve yazma bloker olmadan hem adli yakalama analiz eder. Dergiden:

Dijital adli tıp alanındaki en iyi uygulamalar, dijital medyanın adli görüntülerini oluştururken yazma engelleyicilerin kullanılmasını gerektirir ve bu, onlarca yıldır bilgisayar adli tıp eğitiminin temel ilkelerinden biri olmuştur. Uygulama o kadar kökleşmiş ki, bir yazma engelleyici olmadan oluşturulan görüntülerin bütünlüğü derhal şüpheli.

Yalnızca bir dosya sisteminin kurulması okuma / yazma işlemlerine neden olabilir. Birçok modern dosya sistemleri, gelen ext3 / 4 ve xfs için NTFS , hepsi var dergi dosya sistemi kendisi hakkında meta tutar. Güç kaybı, eksik kapatma veya çeşitli nedenlerle, bu günlük otomatik olarak okunur ve dosya sisteminin tutarlılığını korumak için sürücüdeki dosya yapılarına geri yazılır. Bu, dosya sistemi okuma-yazma olsun ya da olmasın bağlama işlemi sırasında olabilir.

Örneğin, gelen ext4 belgelerinero seçeneği olacak monte ...

Mount dosya sistemi salt okunur. Ext4'ün "salt okunur" bağlandığında bile günlüğü yeniden oynatacağını (ve böylece bölüme yazacağını) unutmayın. Bağlama seçenekleri "ro, noload" dosya sistemine yazmayı önlemek için kullanılabilir.

Bu sürücü düzeyindeki değişiklikler dosyaların içeriğini etkilemese de , bir gözetim zincirini korumak için toplama üzerine kriptografik kanıt karmalarını almak bir adli tıp standardıdır. Şu anda elde tutulan kanıtların karmasının, yani sha256'nın, toplananlarla eşleştiğini gösterebilirse, o zaman sürücünün verilerinin analiz işlemi sırasında değiştirilmediğinden makul bir şüphenin ötesini kanıtlayabilirsiniz.

Dijital kanıtlar neredeyse her suç kategorisinde kanıt olarak gösterilebilir. Adli araştırmacıların, kanıt olarak elde ettikleri verilerin yakalama, analiz ve kontrol sırasında hiçbir şekilde değiştirilmediğinden kesinlikle emin olmaları gerekir. Avukatlar, hakimler ve jüri üyeleri, bir bilgisayar suç davasında sunulan bilgilerin meşru olduğundan emin olmalıdırlar. Bir müfettiş, delillerinin mahkemede kabul edildiğinden nasıl emin olabilir?

Ulusal Standartlar ve Teknoloji Enstitüsü'ne (NIST) göre, araştırmacı disk içeriğini değiştirebilecek herhangi bir programın yürütülmesini önlemek için tasarlanmış bir dizi prosedürü izler. http://www.cru-inc.com/data-protection-topics/writeblockers/

Bir yazma engelleyici çünkü eğer, gerekli herhangi bit için değişiklikler herhangi analiz sistemine karşı toplanmış artık maçın sağlamalarının sebebi-OS, sürücü düzeyinde, dosya sistemi düzeyinde veya altında-sonra ve delil olarak sürücünün kabul edilebilirlik olabilir olmak sorguladı.

Bu nedenle yazma engelleyici, hem düşük düzeyli değişiklik olasılığına karşı teknik bir kontrol hem de kullanıcı veya yazılımdan bağımsız olarak hiçbir değişiklik yapılmadığının güvence altına alınmasına yönelik bir prosedür kontrolüdür. Değişiklik olasılığını ortadan kaldırarak, analiz edilen kanıtların toplanan kanıtlarla eşleştiğini göstermek için kullanılacak karmaları destekler ve birçok olası kanıt işleme sorununu ve sorusunu önler.

JDFSL makalesinin analizi, bir yazma engelleyici olmadan, test ettikleri sürücülerde değişiklikler yapıldığını göstermektedir. Bununla birlikte, tam tersine - bireysel veri dosyaları karmaları hala sağlam olacaktır, bu nedenle bir yazma engelleyicisi olmadan toplanan kanıtların sağlamlığı için argümanlar mevcuttur, ancak en iyi endüstri uygulaması olarak kabul edilmez.

Emin olamazsın . @jakegould yasal ve teknik nedenlerin bir tonunu kapsar, bu yüzden operasyonel nedenlere odaklanıyorum.

Öncelikle, asla size böyle bir sürücü bağlama görüntü bütün bir cihaz. Dosya sistemi izinlerini kullanabileceğiniz temel öneriniz yanlış. Bazı kullanacağız DD tadını veya uzman edinim aracı olmalıdır varsayılan olarak yalnızca okunan çalışan içerir.

Adli tıp, herhangi bir aşamada kanıtlarla uğraşmadığınızdan ve sürücünün üzerinde hiçbir değişiklik yapılmadan doğrulanmış bir kopyasını sağlayabileceğinizden kesinlikle emin olmakla ilgilidir. (Aslında, canlı adli tıp yapmanıza gerek kalmadıkça, şüpheli bir sabit sürücüye yalnızca bir kez dokunmanız yeterlidir ).

Yazma engelleyici bazı şeyler yapar.

1. Sürücünün aslında salt okunur olduğunu kanıtlama yükünü değiştirir
2. Bir de daha idiotproof şekilde - Bu senin 'edinim' teçhizat / sürecin bir parçası olur
3. ile cihaza Kanıt / olay günlüğüne istediğiniz şeydir - imalatçı tarafından yapmanız garantili.

Bir anlamda kanıt toplama sürecine girer ve zayıf insan benliğinizin dağılması için daha az bir şey vardır. .

Kısacası bu bir olası alır majör zayıf noktası. 'Sürücüyü salt okunur olarak monte ettim mi' veya 'kaynak ve hedefimi dd olarak değiştirdim mi?' Diye düşünmek zorunda değilsiniz.

Onu içeri bağlarsınız ve kanıtlarınızın üzerine yazdıysanız endişelenmenize gerek yoktur.

Bunu siz belirtiniz:

Bir diski salt okunur modda monte edebiliyorsanız, yazma engelleyici gibi bir şey satın almanın anlamı nedir?

Yüksek, teknik olmayan bir düzeyde, mantıksal olarak kanıt verilerinin nasıl toplanacağına bakalım. Ve tüm bunların anahtarı tarafsızlıktır.

Şüpheli var… Yasal veya potansiyel olarak yasal bir durumdaki bir şey. Onların kanıt gerekir olabildiğince nötr olarak sunulacak. Fiziksel belgeler olması durumunda, basılı materyalleri alıp fiziksel olarak güvenli bir yerde saklayabilirsiniz. Veri için mi? Bilgisayar sistemlerinin doğası gereği oyunda veri manipülasyonu sorunu vardır.

Siz söylerken, mantığı mantıklı bir şekilde “salt okunur” olarak bağlayabilirsiniz. Ve siz olmayan biri - mahkeme ya da müfettiş gibi - becerilerinize, sistemlerinize ve uzmanlığınıza nasıl güvenebilir? Sisteminizi bu kadar özel yapan şey, bazı arka plan işlemleri aniden sisteme çıkamaz ve taktığınız anda dizine eklemeye başlayamaz mı? Ve bunu nasıl anlatacaksın? Ve heck, dosya meta verileri ne olacak? MD5 dosyaları üzerinde yararlıdır ... Ama bir dosyada meta veri bir karakter değişirse tahmin ne? MD5 değişir.

İşin özü, kişisel teknik becerilerinizin, araştırmacılara, mahkemelere veya diğerlerine mümkün olduğunca tarafsız bir şekilde veri sunma yeteneğinize sahip olmadığı şeylerin büyük şemasındadır.

Bir yazma engelleyici girin. Bu sihirli bir cihaz değil. Temel düzeyde veri yazımını açıkça engelliyor ve başka ne var? Peki, tüm yaptığı bu ve hiç yapması gereken (ya da yapmaması gereken) bu.

Bir yazma engelleyici, başka bir şirket tarafından bir görevi ve bir görevi iyi gerçekleştiren endüstri tarafından kabul edilen bir standarda yapılan tarafsız bir donanımdır: Veri yazmalarını önleyin.

Bir araştırmacıya, mahkemeye veya diğerlerine bir yazma engelleyicinin kullanımı temel olarak, “Veri adli tıpını anlayan ve toplanmakla yükümlü olduğum başkalarına bilgi verirken veri bütünlüğü ihtiyacını anlayan bir bilgisayar uzmanıyım. Fiziksel bir cihaz kullanıyorum, herkesin bu verilere erişmesini engellediğini herkesin evet olduğunu göstermek için engellediğimi düşünüyorum, bu yapmanız gereken şeyi yapmanız için gereken kanıt. ”

Dolayısıyla, “yazma engelleyici gibi bir şey satın almanın” amacı, dünyanın dört bir yanındaki insanlar tarafından evrensel olarak tarafsız veri erişimi ve toplanması için geçerli bir araç olarak tanınan bir araç satın almaktır. Ve eğer siz olmayan bir başkası verilere benzer bir yazma engelleyicisiyle erişecek olsaydı, karşılığında da aynı verilere sahip olacaklardı.

Başka bir gerçek dünya örneği video kamera kanıtıdır. Şimdi evet, video kanıtlarının tahrif edilmesi riski var. Ama diyelim ki bir suça tanık oldunuz, şüpheliyi gördünüz ve bunu yaptığını biliyorsunuz. Bir mahkemede, tanık olarak bütünlüğünüz müvekkillerini savunmaya çalışırken savunma tarafından tahliye edilecektir. Ancak diyelim ki görgü tanıklık raporuna ek olarak polis, meydana gelen suçun video görüntülerini alıyor. Nötr bir görüntü yakalama cihazının bu tarafsız, bağlantısız gözü, iddialarınızın çoğunu ortadan kaldırır. Yani, insan olmayan ancak veri kaydedebilen bir “robot” şey, kovuşturma davasını sadece sizin sözünüze / güveninize değil, savunmaya karşı da koruyacaktır.

Gerçek hukuk dünyasıdır ve yasallık gerçekten sağlam, elle tutulur ve - hemen hemen - reddedilemez fiziksel kanıtlara dönüşür. Ve bir yazma engelleyici, fiziksel veri kanıtını sağlayan bir araç olabildiğince temizdir.

Yazma engelleyicilerinin kullanılmasının nedeni, suçluların bir olay üzerine kanıtları yok eden tuzak süreçleri yerleştirebilmeleridir (yanlış şifre girişimi, belirli bir sunucuya erişim yok, sahte bir dosyaya erişmeye çalışabilir veya herhangi bir şey olabilir).

Herhangi bir tuzak işlemi temel olarak cihazı okuma-yazma modunda da yeniden monte etmeyi deneyebilir.

Emin olmanın tek yolu bir donanım cihazı kullanmaktır. Bazı donanım yazma kodlayıcıları, yazma engelleme işlevinin devre dışı bırakılmasına izin veren bir anahtara sahiptir, ancak asıl önemli olan, donanım yazılım sinyallerine tepki vermek üzere programlanmamışsa yazılımın donanımı asla etkileyemeyeceğidir.

Aynı düşünce USB belleklere de uygulanabilir, bazı USB belleklerin neden fiziksel bir yazma korumalı anahtarı vardır.

Bazen araştırmacının şüphelinin işletim sistemini önyükleyebilmesi gerekir, bu yüzden araştırmacının herhangi bir tuzak sürecine karşı dikkatli olması gerekir.

Soruşturma süreci, farklı sorumluluk yasaları nedeniyle farklı ülkeler arasında değişiklik göstermektedir. Bazı ülkelerde, yalnızca belirli dosyalara sahip olmak yasa dışıdır, bilgisayarınızı güvende tutmak sizin sorumluluğunuzdadır ve bir virüsteki yasadışı dosyaları suçlayamazsınız.

Ve başka bir ülkede, dosyaya sahip olmak yasadışı olabilir, ancak dosyaları bir virüs değil de yerleştiren şüpheli olduğuna dair kanıt sunulmalıdır.

İkinci durumda, araştırmacının otomatik başlatma / çalıştırma / çalıştırma sırasında önyükleme sırasında nelerin başladığını görmek için bilgisayarı önyüklemesi gerekebilir.

Başka bir deyişle, suçlular doğası gereği kötü amaçlıdır, bu nedenle delillerin Mahkemedeki geçerliliğine itiraz edebilecek her şeyin her ne pahasına olursa olsun korunması gerekir. Ayrıca, suçlu otomatik olarak kanıtları yok eden bir tuzak koyduysa, çoğu durumda bir şeyi manuel olarak silmenin aksine “kanıtların imhası” OLMAYACAKTIR. Yazmaya izin verilirse felaket olabilir.

Yalıtılmış bir donanım süreci, bir yazılım işleminden çok daha güvenlidir, bu nedenle yazar kilitleyiciler, güvenlik uzmanlarının sırlarının tehlikeye atılmasını önlemek için akıllı kartlar ve jetonlar kullandıkları gibi, malzemelerini yıkımdan korumak için kullanılır.