Angenommen, wir verwenden eine Linux-Variante und mounten eine Partition mit dem folgenden Befehl:
sudo mount -o ro /dev/sdc1 /mnt
Die Partition soll schreibgeschützt sein, damit das Betriebssystem und der Benutzer nicht auf die Festplatte schreiben können, ohne die mount
Berechtigungen zu ändern .
Aus dem ForensicsWiki :
Schreibblocker sind Geräte, mit denen Informationen auf einem Laufwerk erfasst werden können, ohne dass die Möglichkeit besteht, den Laufwerksinhalt versehentlich zu beschädigen. Sie tun dies, indem sie Lesebefehle zulassen, aber Schreibbefehle blockieren, daher ihr Name.
Dies scheint mir, dass es nur darum geht, versehentliche Flaggen zu verhindern. Auf der Seite heißt es auch, dass einige Schreibblocker zusätzliche Funktionen bieten, z. B. das Verlangsamen der Festplatte, um Schäden zu vermeiden. Nehmen wir jedoch an, es ist nur eine einfache Methode, die nur das Schreiben blockieren kann.
Wenn Sie eine Festplatte nur im schreibgeschützten Modus bereitstellen können, wozu sollten Sie beispielsweise einen Schreibblocker kaufen? Soll dies nur dazu beitragen, Dinge wie einen versehentlichen Mount-Befehl mit Schreibberechtigungen (Benutzerfehler, die in einigen Fällen nicht zulässig sind, z. B. in Strafsachen) zu verhindern, oder fehlen mir weitere detaillierte Funktionen zur Funktionsweise von Dateisystemen?
Hinweis: Mir ist bekannt, dass einige SSDs Daten kontinuierlich mischen. Ich bin mir nicht sicher, ob ich sie in die Frage aufnehmen soll oder nicht. Es scheint, als würde das die Sache viel komplizierter machen.
quelle
Antworten:
Das Journal of Digital Forensics, Security and Law hat einen ausgezeichneten Artikel Eine Studie über forensische Bilder in Abwesenheit von Schreibblöcken , in der die forensische Erfassung mit und ohne Schreibblocker analysiert wird. Aus dem Tagebuch:
Das bloße Mounten eines Dateisystems kann zu Lese- / Schreibvorgängen führen. Viele moderne Dateisysteme, von ext3 / 4 und xfs bis NTFS , verfügen alle über ein Journal , das Metadaten über das Dateisystem selbst verwaltet. Bei Stromausfall, unvollständigem Herunterfahren oder aus verschiedenen Gründen wird dieses Journal automatisch gelesen und in die Dateistrukturen auf dem Laufwerk zurückgeschrieben, um die Konsistenz des Dateisystems selbst zu gewährleisten. Dies kann während des Mount-Vorgangs passieren, unabhängig davon, ob das Dateisystem schreibgeschützt ist oder nicht.
In der ext4-Dokumentation wird beispielsweise die
ro
Mount-Option ...Obwohl diese Änderungen auf Treiberebene keinen Einfluss auf den Inhalt von Dateien haben, ist es ein forensischer Standard, bei der Erfassung kryptografische Beweis-Hashes zu verwenden, um eine Aufbewahrungskette aufrechtzuerhalten. Wenn Sie nachweisen können, dass der Hash, dh sha256, der aktuell gespeicherten Beweise mit dem gesammelten übereinstimmt, können Sie zweifelsfrei nachweisen, dass die Daten des Laufwerks während des Analyseprozesses nicht geändert wurden.
Ein Schreibblocker ist erforderlich, denn wenn sich ein Bit aus irgendeinem Grund ändert - Betriebssystem, Treiberebene, Dateisystemebene oder darunter -, stimmen die Hashes des gesammelten und des analysierten Systems nicht mehr überein, und die Zulässigkeit des Laufwerks als Beweis kann sein in Frage gestellt.
Der Schreibblocker ist somit sowohl eine technische Kontrolle gegen die Möglichkeit von Änderungen auf niedriger Ebene als auch eine Verfahrenskontrolle, um sicherzustellen, dass unabhängig vom Benutzer oder der Software keine Änderungen vorgenommen wurden. Durch das Entfernen der Möglichkeit von Änderungen werden Hashes unterstützt, mit denen gezeigt werden kann, dass analysierte Beweise mit gesammelten Beweisen übereinstimmen, und es werden viele potenzielle Probleme und Fragen im Umgang mit Beweisen verhindert.
Die Analyse des JDFSL-Artikels zeigt, dass ohne Schreibblocker Änderungen an den getesteten Laufwerken vorgenommen wurden. Auf der anderen Seite wären die einzelnen Datendateien-Hashes jedoch noch intakt, sodass Argumente für die Richtigkeit der ohne Schreibblocker gesammelten Beweise vorliegen, die jedoch nicht als branchenweit bewährte Verfahren gelten.
quelle
Sie können nicht sicher sein . @jakegould deckt eine Menge rechtlicher und technischer Gründe ab, daher konzentriere ich mich auf die betrieblichen Gründe.
Erstens mounten Sie niemals ein solches Laufwerk , sondern stellen ein Image eines gesamten Geräts bereit. Ihre Grundvoraussetzung, dass Sie Dateisystemberechtigungen verwenden können , ist falsch. Sie werden eine DD-Variante oder ein spezielles Erfassungstool verwenden, das standardmäßig schreibgeschützt sein sollte .
Bei Forensics geht es darum, absolut sicher zu sein, dass Sie die Beweise zu keinem Zeitpunkt manipuliert haben und dass Sie eine verifizierte Kopie des Laufwerks bereitstellen können, ohne dass Änderungen daran vorgenommen werden. ( Wenn Sie keine Live-Forensik durchführen müssen, berühren Sie eine verdächtige Festplatte nur einmal, um sie abzubilden.) Zusätzlich dazu, dass Ihr Erfassungstool schreibgeschützt ist, fungiert es als zweite Verteidigungslinie gegen Fehler.
Der Schreibblocker macht bestimmte Dinge.
In gewisser Weise fügt es sich in den Prozess der Beweiserhebung ein, und es gibt eine Sache weniger, die Ihr zerbrechliches menschliches Selbst durcheinander bringt. Zusätzlich zur Überprüfung, dass das Quelllaufwerk nicht beschrieben ist, können Sie möglicherweise gerettet werden, wenn Sie Quelle und Ziel verwechseln .
Kurz gesagt, es wird eine mögliche große Schwachstelle beseitigt. Sie müssen nicht darüber nachdenken, ob ich das Laufwerk schreibgeschützt gemountet habe oder ob ich meine Quelle und mein Ziel in dd ausgetauscht habe.
Sie schließen es an und müssen sich keine Sorgen machen, wenn Sie Ihre Beweise überschrieben haben.
quelle
Sie geben Folgendes an:
Lassen Sie uns auf einer hohen, nicht technischen Ebene logisch betrachten, wie Daten für Beweise gesammelt würden. Und der Schlüssel zu all dem ist die Neutralität.
Sie haben den Verdacht, dass sich etwas in einem rechtlichen oder potenziell rechtlichen Fall befindet. Ihre Beweise müssen so neutral wie möglich vorgelegt werden. Bei physischen Dokumenten können Sie die gedruckten Materialien einfach nehmen und an einem sicheren Ort aufbewahren. Für Daten? Die Natur von Computersystemen hat von Natur aus ein Problem der Datenmanipulation im Spiel.
Während Sie angeben, dass Sie das Volume nur logisch als "schreibgeschützt" bereitstellen könnten, wer sind Sie? Und wie kann jemand, der nicht Sie ist - wie ein Gericht oder ein Ermittler - Ihren Fähigkeiten, Systemen und Ihrem Fachwissen vertrauen? Was bedeutet, dass Ihr System so besonders ist? Ein Hintergrundprozess kann nicht plötzlich auf dem System angezeigt werden und beginnt mit der Indizierung, sobald Sie es anschließen? Und wie werden Sie das überwachen? Und was ist mit Datei-Metadaten? MD5-Dateien sind nützlich… Aber wenn sich ein Zeichen von Metadaten in einer Datei ändert, wissen Sie was? Der MD5 ändert sich.
Es kommt darauf an, dass Ihre persönlichen technischen Fähigkeiten keinen Einfluss auf die Fähigkeit haben, Daten Ermittlern, Gerichten oder anderen Personen so neutral wie möglich zu präsentieren.
Geben Sie einen Schreibblocker ein. Dies ist kein magisches Gerät. Es blockiert eindeutig das Schreiben von Daten auf Basisebene und was noch? Nun, das ist alles was es tut und das ist alles was es jemals tun sollte (oder nicht tun sollte).
Ein Schreibblocker ist eine neutrale Hardware, die von einem anderen Unternehmen nach branchenüblichem Standard hergestellt wurde und eine Aufgabe und eine Aufgabe gut ausführt: Verhindern Sie das Schreiben von Daten.
Für einen Ermittler, ein Gericht oder andere Personen bedeutet die Verwendung eines Schreibblockers im Wesentlichen: „Ich bin ein Computerfachmann, der die Datenforensik versteht und die Notwendigkeit der Datenintegrität versteht, wenn er anderen Informationen zur Verfügung stellt, die ich sammeln soll. Ich verwende ein physisches Gerät, von dem wir uns alle einig sind, dass Schreibvorgänge den Zugriff auf diese Daten verhindern, um allen zu zeigen, dass dies der Beweis ist, den Sie benötigen, um das zu tun, was Sie tun müssen. “
Der Sinn des „Kaufs eines Schreibblockers“ besteht also darin, ein Tool zu kaufen, das von Menschen auf der ganzen Welt allgemein als gültiges Tool für den neutralen Datenzugriff und die neutrale Datenerfassung anerkannt wird. Und wenn jemand anderes - der nicht Sie ist - mit einem ähnlichen Schreibblocker auf die Daten zugreifen würde, würde auch er die gleichen Daten zurückerhalten.
Ein weiteres Beispiel aus der Praxis sind Beweise für Videokameras. Nun ja, es besteht die Gefahr, dass Videobeweise manipuliert werden. Angenommen, Sie haben ein Verbrechen miterlebt und den Verdächtigen gesehen und wissen, dass sie es getan haben. In einem Gericht wird Ihre Integrität als Zeuge von der Verteidigung ausgeweidet, wenn sie versucht, ihren Mandanten zu verteidigen. Nehmen wir an, die Polizei erhält zusätzlich zu Ihrem Augenzeugenbericht Videomaterial über das Verbrechen. Dieses unparteiische, blinzelfreie Auge eines neutralen Bilderfassungsgeräts lässt die meisten Zweifel an Ihren Behauptungen aufkommen. Das heißt, ein „Roboter“, der kein Mensch ist, aber Daten aufzeichnen kann, sichert die Strafverfolgung gegen die Verteidigung und nicht nur Ihr Wort / Vertrauen.
Die Realität ist, dass die Welt des Rechts und der Legalität wirklich auf solide, greifbare und - so ziemlich - unwiderlegbare physische Beweise hinausläuft. Und ein Schreibblocker ist ein Tool, das sicherstellt, dass physische Daten so sauber wie möglich sind.
quelle
Der Grund, warum Schreibblocker verwendet werden, liegt darin, dass Kriminelle Trap-Prozesse eingerichtet haben könnten, die Beweise für ein Ereignis zerstören (dies könnte ein falscher Kennwortversuch sein, keine Reichweite zu einem bestimmten Server, Versuch, auf eine gefälschte Datei zuzugreifen oder was auch immer).
Grundsätzlich können Trap-Prozesse versuchen, das Gerät auch beim Lesen und Schreiben erneut bereitzustellen.
Der einzige Weg, um sicher zu sein, ist die Verwendung eines Hardwaregeräts. Einige Hardware-Schreibblocker verfügen über einen Schalter, mit dem die Schreibblockierungsfunktion deaktiviert werden kann. Wichtig ist jedoch, dass Software die Hardware niemals beeinträchtigen kann, wenn die Hardware nicht so programmiert ist, dass sie auf Softwaresignale reagiert.
Das Gleiche gilt für USB-Speicher, weshalb einige USB-Speicher über einen physischen Schreibschutzschalter verfügen.
Manchmal muss der Ermittler in der Lage sein, das Betriebssystem des Verdächtigen zu starten. Deshalb muss der Ermittler vorsichtig sein, wenn es um Trap-Prozesse geht.
Der Untersuchungsprozess variiert zwischen verschiedenen Ländern aufgrund unterschiedlicher Verantwortungsgesetze. In einigen Ländern ist der bloße Besitz bestimmter Dateien illegal, es liegt in Ihrer Verantwortung, Ihren Computer zu schützen, und Sie können die illegalen Dateien nicht einem Virus zuschreiben.
In einem anderen Land ist der Besitz der Datei möglicherweise illegal, es müssen jedoch Beweise dafür vorgelegt werden, dass der Verdächtige die Dateien abgelegt hat und kein Virus.
Im zweiten Fall muss der Ermittler möglicherweise den Computer starten, um zu sehen, was beim Booten in Autostart / Run / Runonce gestartet wird.
Mit anderen Worten, Kriminelle sind von Natur aus böswillig. Daher muss alles, was die Gültigkeit der Beweise vor Gericht in Frage stellen könnte, um jeden Preis geschützt werden. Wenn der Verbrecher eine Falle gestellt hat, die automatisch Beweise zerstört, handelt es sich in vielen Fällen NICHT um „Zerstörung von Beweisen“, sondern um das manuelle Löschen von Beweisen. Es könnte eine Katastrophe sein, wenn Schreibvorgänge zugelassen werden.
Ein isolierter Hardwareprozess ist sehr viel sicherer als ein Softwareprozess. Daher werden Schreibblocker von Ermittlern verwendet, um ihr Material vor Zerstörung zu schützen, genauso wie Sicherheitsexperten Smartcards und Token verwenden, um zu verhindern, dass ihre Geheimnisse kompromittiert werden.
quelle