Warum werden Schreibblocker benötigt, wenn nur Lesezugriff besteht?

10

Angenommen, wir verwenden eine Linux-Variante und mounten eine Partition mit dem folgenden Befehl:

sudo mount -o ro /dev/sdc1 /mnt

Die Partition soll schreibgeschützt sein, damit das Betriebssystem und der Benutzer nicht auf die Festplatte schreiben können, ohne die mountBerechtigungen zu ändern .

Aus dem ForensicsWiki :

Schreibblocker sind Geräte, mit denen Informationen auf einem Laufwerk erfasst werden können, ohne dass die Möglichkeit besteht, den Laufwerksinhalt versehentlich zu beschädigen. Sie tun dies, indem sie Lesebefehle zulassen, aber Schreibbefehle blockieren, daher ihr Name.

Dies scheint mir, dass es nur darum geht, versehentliche Flaggen zu verhindern. Auf der Seite heißt es auch, dass einige Schreibblocker zusätzliche Funktionen bieten, z. B. das Verlangsamen der Festplatte, um Schäden zu vermeiden. Nehmen wir jedoch an, es ist nur eine einfache Methode, die nur das Schreiben blockieren kann.

Wenn Sie eine Festplatte nur im schreibgeschützten Modus bereitstellen können, wozu sollten Sie beispielsweise einen Schreibblocker kaufen? Soll dies nur dazu beitragen, Dinge wie einen versehentlichen Mount-Befehl mit Schreibberechtigungen (Benutzerfehler, die in einigen Fällen nicht zulässig sind, z. B. in Strafsachen) zu verhindern, oder fehlen mir weitere detaillierte Funktionen zur Funktionsweise von Dateisystemen?

Hinweis: Mir ist bekannt, dass einige SSDs Daten kontinuierlich mischen. Ich bin mir nicht sicher, ob ich sie in die Frage aufnehmen soll oder nicht. Es scheint, als würde das die Sache viel komplizierter machen.

cutrightjm
quelle
eh. Ich bin mir ziemlich sicher, dass es eine Frage zur Datenwiederherstellung von SSDs gibt - und ich habe sie beantwortet. Die aktuelle Literatur dazu ist widersprüchlich und ein Chaos.
Geselle Geek
1
Lesen ist eigentlich ein ziemlich guter Weg, um die Schreibblockade zu überwinden.
Radu
1
Dieses Wort bedeutet nicht, was Sie denken, dass es bedeutet (im Kontext)
Geselle Geek

Antworten:

9

Das Journal of Digital Forensics, Security and Law hat einen ausgezeichneten Artikel Eine Studie über forensische Bilder in Abwesenheit von Schreibblöcken , in der die forensische Erfassung mit und ohne Schreibblocker analysiert wird. Aus dem Tagebuch:

Best Practices in der digitalen Forensik erfordern die Verwendung von Schreibblockern bei der Erstellung forensischer Bilder digitaler Medien. Dies ist seit Jahrzehnten ein zentraler Grundsatz der Ausbildung in Computerforensik. Die Praxis ist so tief verwurzelt, dass die Integrität von Bildern, die ohne Schreibblocker erstellt wurden, sofort vermutet wird.

Das bloße Mounten eines Dateisystems kann zu Lese- / Schreibvorgängen führen. Viele moderne Dateisysteme, von ext3 / 4 und xfs bis NTFS , verfügen alle über ein Journal , das Metadaten über das Dateisystem selbst verwaltet. Bei Stromausfall, unvollständigem Herunterfahren oder aus verschiedenen Gründen wird dieses Journal automatisch gelesen und in die Dateistrukturen auf dem Laufwerk zurückgeschrieben, um die Konsistenz des Dateisystems selbst zu gewährleisten. Dies kann während des Mount-Vorgangs passieren, unabhängig davon, ob das Dateisystem schreibgeschützt ist oder nicht.

In der ext4-Dokumentation wird beispielsweise die roMount-Option ...

Mounten Sie das Dateisystem schreibgeschützt. Beachten Sie, dass ext4 das Journal auch dann wiedergibt (und somit in die Partition schreibt), wenn es "schreibgeschützt" gemountet ist. Die Mount-Optionen "ro, noload" können verwendet werden, um Schreibvorgänge in das Dateisystem zu verhindern.

Obwohl diese Änderungen auf Treiberebene keinen Einfluss auf den Inhalt von Dateien haben, ist es ein forensischer Standard, bei der Erfassung kryptografische Beweis-Hashes zu verwenden, um eine Aufbewahrungskette aufrechtzuerhalten. Wenn Sie nachweisen können, dass der Hash, dh sha256, der aktuell gespeicherten Beweise mit dem gesammelten übereinstimmt, können Sie zweifelsfrei nachweisen, dass die Daten des Laufwerks während des Analyseprozesses nicht geändert wurden.

Digitale Beweise können in nahezu jeder Kriminalitätskategorie als Beweismittel angeführt werden. Forensische Ermittler müssen absolut sicher sein, dass die Daten, die sie als Beweismittel erhalten, während der Erfassung, Analyse und Kontrolle in keiner Weise verändert wurden. Anwälte, Richter und Juroren müssen sich darauf verlassen können, dass die in einem Fall von Computerkriminalität enthaltenen Informationen legitim sind. Wie kann ein Ermittler sicherstellen, dass seine Beweise vor Gericht akzeptiert werden?

Nach Angaben des Nationalen Instituts für Standards und Technologie (NIST) befolgt der Prüfer eine Reihe von Verfahren, um die Ausführung von Programmen zu verhindern, die den Inhalt der Festplatte ändern könnten. http://www.cru-inc.com/data-protection-topics/writeblockers/

Ein Schreibblocker ist erforderlich, denn wenn sich ein Bit aus irgendeinem Grund ändert - Betriebssystem, Treiberebene, Dateisystemebene oder darunter -, stimmen die Hashes des gesammelten und des analysierten Systems nicht mehr überein, und die Zulässigkeit des Laufwerks als Beweis kann sein in Frage gestellt.

Der Schreibblocker ist somit sowohl eine technische Kontrolle gegen die Möglichkeit von Änderungen auf niedriger Ebene als auch eine Verfahrenskontrolle, um sicherzustellen, dass unabhängig vom Benutzer oder der Software keine Änderungen vorgenommen wurden. Durch das Entfernen der Möglichkeit von Änderungen werden Hashes unterstützt, mit denen gezeigt werden kann, dass analysierte Beweise mit gesammelten Beweisen übereinstimmen, und es werden viele potenzielle Probleme und Fragen im Umgang mit Beweisen verhindert.

Die Analyse des JDFSL-Artikels zeigt, dass ohne Schreibblocker Änderungen an den getesteten Laufwerken vorgenommen wurden. Auf der anderen Seite wären die einzelnen Datendateien-Hashes jedoch noch intakt, sodass Argumente für die Richtigkeit der ohne Schreibblocker gesammelten Beweise vorliegen, die jedoch nicht als branchenweit bewährte Verfahren gelten.

glallen
quelle
4

Sie können nicht sicher sein . @jakegould deckt eine Menge rechtlicher und technischer Gründe ab, daher konzentriere ich mich auf die betrieblichen Gründe.

Erstens mounten Sie niemals ein solches Laufwerk , sondern stellen ein Image eines gesamten Geräts bereit. Ihre Grundvoraussetzung, dass Sie Dateisystemberechtigungen verwenden können , ist falsch. Sie werden eine DD-Variante oder ein spezielles Erfassungstool verwenden, das standardmäßig schreibgeschützt sein sollte .

Bei Forensics geht es darum, absolut sicher zu sein, dass Sie die Beweise zu keinem Zeitpunkt manipuliert haben und dass Sie eine verifizierte Kopie des Laufwerks bereitstellen können, ohne dass Änderungen daran vorgenommen werden. ( Wenn Sie keine Live-Forensik durchführen müssen, berühren Sie eine verdächtige Festplatte nur einmal, um sie abzubilden.) Zusätzlich dazu, dass Ihr Erfassungstool schreibgeschützt ist, fungiert es als zweite Verteidigungslinie gegen Fehler.

Der Schreibblocker macht bestimmte Dinge.

  1. Dies verschiebt die Beweislast dafür, dass das Laufwerk tatsächlich schreibgeschützt war
  2. In einer mehr idiotproof Weise - Es wird ein Teil Ihres ‚Erwerb‘ rig / Prozess
  3. mit dem Gerät , das vom Hersteller garantiert wird - was Sie in Ihrem Beweis- / Vorfallprotokoll wünschen.

In gewisser Weise fügt es sich in den Prozess der Beweiserhebung ein, und es gibt eine Sache weniger, die Ihr zerbrechliches menschliches Selbst durcheinander bringt. Zusätzlich zur Überprüfung, dass das Quelllaufwerk nicht beschrieben ist, können Sie möglicherweise gerettet werden, wenn Sie Quelle und Ziel verwechseln .

Kurz gesagt, es wird eine mögliche große Schwachstelle beseitigt. Sie müssen nicht darüber nachdenken, ob ich das Laufwerk schreibgeschützt gemountet habe oder ob ich meine Quelle und mein Ziel in dd ausgetauscht habe.

Sie schließen es an und müssen sich keine Sorgen machen, wenn Sie Ihre Beweise überschrieben haben.

Gesellenfreak
quelle
Gute Betriebspunkte, Prozesse und die Fähigkeit, Ergebnisse zu reproduzieren, sind in der Forensik von entscheidender Bedeutung. Der Schreibblocker verhindert, dass Fehler von Mensch und Maschine auf sie einwirken.
glallen
+1 Weil dies ein komplexes Thema ist und Sie
Einzelheiten
2

Sie geben Folgendes an:

Wenn Sie eine Festplatte nur im schreibgeschützten Modus bereitstellen können, wozu sollten Sie beispielsweise einen Schreibblocker kaufen?

Lassen Sie uns auf einer hohen, nicht technischen Ebene logisch betrachten, wie Daten für Beweise gesammelt würden. Und der Schlüssel zu all dem ist die Neutralität.

Sie haben den Verdacht, dass sich etwas in einem rechtlichen oder potenziell rechtlichen Fall befindet. Ihre Beweise müssen so neutral wie möglich vorgelegt werden. Bei physischen Dokumenten können Sie die gedruckten Materialien einfach nehmen und an einem sicheren Ort aufbewahren. Für Daten? Die Natur von Computersystemen hat von Natur aus ein Problem der Datenmanipulation im Spiel.

Während Sie angeben, dass Sie das Volume nur logisch als "schreibgeschützt" bereitstellen könnten, wer sind Sie? Und wie kann jemand, der nicht Sie ist - wie ein Gericht oder ein Ermittler - Ihren Fähigkeiten, Systemen und Ihrem Fachwissen vertrauen? Was bedeutet, dass Ihr System so besonders ist? Ein Hintergrundprozess kann nicht plötzlich auf dem System angezeigt werden und beginnt mit der Indizierung, sobald Sie es anschließen? Und wie werden Sie das überwachen? Und was ist mit Datei-Metadaten? MD5-Dateien sind nützlich… Aber wenn sich ein Zeichen von Metadaten in einer Datei ändert, wissen Sie was? Der MD5 ändert sich.

Es kommt darauf an, dass Ihre persönlichen technischen Fähigkeiten keinen Einfluss auf die Fähigkeit haben, Daten Ermittlern, Gerichten oder anderen Personen so neutral wie möglich zu präsentieren.

Geben Sie einen Schreibblocker ein. Dies ist kein magisches Gerät. Es blockiert eindeutig das Schreiben von Daten auf Basisebene und was noch? Nun, das ist alles was es tut und das ist alles was es jemals tun sollte (oder nicht tun sollte).

Ein Schreibblocker ist eine neutrale Hardware, die von einem anderen Unternehmen nach branchenüblichem Standard hergestellt wurde und eine Aufgabe und eine Aufgabe gut ausführt: Verhindern Sie das Schreiben von Daten.

Für einen Ermittler, ein Gericht oder andere Personen bedeutet die Verwendung eines Schreibblockers im Wesentlichen: „Ich bin ein Computerfachmann, der die Datenforensik versteht und die Notwendigkeit der Datenintegrität versteht, wenn er anderen Informationen zur Verfügung stellt, die ich sammeln soll. Ich verwende ein physisches Gerät, von dem wir uns alle einig sind, dass Schreibvorgänge den Zugriff auf diese Daten verhindern, um allen zu zeigen, dass dies der Beweis ist, den Sie benötigen, um das zu tun, was Sie tun müssen. “

Der Sinn des „Kaufs eines Schreibblockers“ besteht also darin, ein Tool zu kaufen, das von Menschen auf der ganzen Welt allgemein als gültiges Tool für den neutralen Datenzugriff und die neutrale Datenerfassung anerkannt wird. Und wenn jemand anderes - der nicht Sie ist - mit einem ähnlichen Schreibblocker auf die Daten zugreifen würde, würde auch er die gleichen Daten zurückerhalten.

Ein weiteres Beispiel aus der Praxis sind Beweise für Videokameras. Nun ja, es besteht die Gefahr, dass Videobeweise manipuliert werden. Angenommen, Sie haben ein Verbrechen miterlebt und den Verdächtigen gesehen und wissen, dass sie es getan haben. In einem Gericht wird Ihre Integrität als Zeuge von der Verteidigung ausgeweidet, wenn sie versucht, ihren Mandanten zu verteidigen. Nehmen wir an, die Polizei erhält zusätzlich zu Ihrem Augenzeugenbericht Videomaterial über das Verbrechen. Dieses unparteiische, blinzelfreie Auge eines neutralen Bilderfassungsgeräts lässt die meisten Zweifel an Ihren Behauptungen aufkommen. Das heißt, ein „Roboter“, der kein Mensch ist, aber Daten aufzeichnen kann, sichert die Strafverfolgung gegen die Verteidigung und nicht nur Ihr Wort / Vertrauen.

Die Realität ist, dass die Welt des Rechts und der Legalität wirklich auf solide, greifbare und - so ziemlich - unwiderlegbare physische Beweise hinausläuft. Und ein Schreibblocker ist ein Tool, das sicherstellt, dass physische Daten so sauber wie möglich sind.

JakeGould
quelle
1
+1 murren murren Sie haben eine Menge Dinge behandelt, die ich hätte; p
Geselle Geek
-2

Der Grund, warum Schreibblocker verwendet werden, liegt darin, dass Kriminelle Trap-Prozesse eingerichtet haben könnten, die Beweise für ein Ereignis zerstören (dies könnte ein falscher Kennwortversuch sein, keine Reichweite zu einem bestimmten Server, Versuch, auf eine gefälschte Datei zuzugreifen oder was auch immer).

Grundsätzlich können Trap-Prozesse versuchen, das Gerät auch beim Lesen und Schreiben erneut bereitzustellen.

Der einzige Weg, um sicher zu sein, ist die Verwendung eines Hardwaregeräts. Einige Hardware-Schreibblocker verfügen über einen Schalter, mit dem die Schreibblockierungsfunktion deaktiviert werden kann. Wichtig ist jedoch, dass Software die Hardware niemals beeinträchtigen kann, wenn die Hardware nicht so programmiert ist, dass sie auf Softwaresignale reagiert.

Das Gleiche gilt für USB-Speicher, weshalb einige USB-Speicher über einen physischen Schreibschutzschalter verfügen.

Manchmal muss der Ermittler in der Lage sein, das Betriebssystem des Verdächtigen zu starten. Deshalb muss der Ermittler vorsichtig sein, wenn es um Trap-Prozesse geht.

Der Untersuchungsprozess variiert zwischen verschiedenen Ländern aufgrund unterschiedlicher Verantwortungsgesetze. In einigen Ländern ist der bloße Besitz bestimmter Dateien illegal, es liegt in Ihrer Verantwortung, Ihren Computer zu schützen, und Sie können die illegalen Dateien nicht einem Virus zuschreiben.

In einem anderen Land ist der Besitz der Datei möglicherweise illegal, es müssen jedoch Beweise dafür vorgelegt werden, dass der Verdächtige die Dateien abgelegt hat und kein Virus.

Im zweiten Fall muss der Ermittler möglicherweise den Computer starten, um zu sehen, was beim Booten in Autostart / Run / Runonce gestartet wird.

Mit anderen Worten, Kriminelle sind von Natur aus böswillig. Daher muss alles, was die Gültigkeit der Beweise vor Gericht in Frage stellen könnte, um jeden Preis geschützt werden. Wenn der Verbrecher eine Falle gestellt hat, die automatisch Beweise zerstört, handelt es sich in vielen Fällen NICHT um „Zerstörung von Beweisen“, sondern um das manuelle Löschen von Beweisen. Es könnte eine Katastrophe sein, wenn Schreibvorgänge zugelassen werden.

Ein isolierter Hardwareprozess ist sehr viel sicherer als ein Softwareprozess. Daher werden Schreibblocker von Ermittlern verwendet, um ihr Material vor Zerstörung zu schützen, genauso wie Sicherheitsexperten Smartcards und Token verwenden, um zu verhindern, dass ihre Geheimnisse kompromittiert werden.

Sebastian Nielsen
quelle
1
Die Logik hier scheint davon abzuhängen, dass Beweise von einem „Verbrecher“ ohne Aussicht gesammelt werden, die es ermöglichen würden, Beweise zu sammeln, nur weil es Teil eines Falls ist. 100% jeder auf der Welt kann verhaftet und seine Systeme beschlagnahmt werden. Das an und für sich schließt nicht auf Schuld oder mitschuldiges Verhalten. Es bedeutet nur, dass ihre Systeme als potenzielle Beweise beschlagnahmt wurden. Der Wert eines Schreibblockers besteht darin, sicherzustellen, dass die von der Maschine gesammelten Daten im Wesentlichen „eingefroren“ sind und sich in einem Zustand befinden, der von einem neutralen Dritten als Beweismittel verwendet werden kann. Nichts mehr. Nicht weniger.
JakeGould
1
Im Allgemeinen wird Forensikern beigebracht, dass die Beweislast bei ihnen liegt, und Studenten der Computerforensik warnten, dass Anwälte Sie lebendig essen werden, mit Ketchup, wenn Sie die Beweise durcheinander bringen. "Trap-Prozesse" wurden nie wirklich erwähnt, zumal die Offline-Forensik der Live-Forensik vorgezogen wird, um die Möglichkeit zu vermeiden. Wenn Sie einen Schreibblocker verwenden, wurde das System bereits heruntergefahren, häufig durch Ziehen am Kabel, und das ursprüngliche Laufwerk wurde bereits gesichert.
Geselle Geek
Wenn Sie ein System starten, um ein Image daraus zu erstellen, kann diesem Image nicht vertraut werden, unabhängig davon, ob ein Schreibblocker vorhanden war. Wenn Sie das Imaging von einem bekanntermaßen guten System aus durchführen, sind Software-Traps auf dem Image, von dem Sie kopieren, irrelevant. Der Schreibblocker verhindert nicht Schreibvorgänge, die durch Daten auf den von Ihnen abgebildeten Daten ausgelöst werden. Er verhindert Schreibvorgänge durch das System, das die Bildgebung durchführt.
Kasperd
Normalerweise verwenden Sie beide einen Schreibblocker, um ein Bild davon zu erstellen. Anschließend starten Sie das System bei Bedarf, um Beweise zu sammeln, auf die nur "online" zugegriffen werden kann (während das verdächtige Betriebssystem gestartet wird). In den meisten Fällen reicht eine einfache Offline-Analyse aus, manchmal ist jedoch zusätzlich zur Offline-Analyse eine Online-Analyse erforderlich. Normalerweise arbeiten Sie mit dem Image, aber manchmal kann die Trap-Software Laufwerks-IDs verwenden, um den weiteren Zugriff zu verhindern, wenn eine Kopie gestartet wird. Dann müssen Sie grundsätzlich online mit einem Schreibblocker booten. Es hängt alles davon ab, warum Sie das betreffende Laufwerk forensisch untersuchen.
Sebastian Nielsen
1
@sebastiannielsen "Ja, aber Sie müssen das Schlimmste annehmen, wenn Sie ein Laufwerk analysieren." Nein, du verstehst es immer noch nicht. Sie müssen das Unbekannte annehmen, wenn Sie etwas untersuchen. Nicht das Schlimmste. Nicht das beste. Aber einfach das Unbekannte. Und ein Forensiker, der von Anfang an das „Schlimmste“ annimmt, ist an und für sich ein schlechtes Gut. Die Aufrechterhaltung der Neutralität ist schwierig, aber das ist die Aufgabe eines Forensikanalysten.
JakeGould