เหตุใดการเขียนบล็อกเกอร์จึงจำเป็นเมื่อมีการเมาท์ด้วยแบบอ่านอย่างเดียว?

สมมติว่าเรากำลังใช้รสชาติของ Linux และเราติดตั้งพาร์ติชันโดยใช้คำสั่งต่อไปนี้:

sudo mount -o ro /dev/sdc1 /mnt

พาร์ติชันควรจะเป็นแบบอ่านอย่างเดียวเพื่อให้ระบบปฏิบัติการและผู้ใช้ไม่สามารถเขียนไปยังดิสก์โดยไม่เปลี่ยนmountสิทธิ์

จากForensicsWiki :

ตัวบล็อกการเขียนคืออุปกรณ์ที่อนุญาตให้ได้รับข้อมูลบนไดรฟ์โดยไม่สร้างความเป็นไปได้ที่จะทำให้เนื้อหาของไดรฟ์เสียหายโดยไม่ได้ตั้งใจ พวกเขาทำสิ่งนี้โดยการอนุญาตให้คำสั่งอ่านส่งผ่าน แต่โดยการบล็อกคำสั่งเขียนดังนั้นชื่อของพวกเขา

นี่ดูเหมือนว่าจะเป็นเพียงเพื่อป้องกันไม่ให้เกิดอุบัติเหตุธง หน้าดังกล่าวยังระบุว่ามีคุณสมบัติเพิ่มเติมสำหรับตัวเขียนบล็อกบางตัวเช่นชะลอดิสก์ลงเพื่อป้องกันความเสียหาย แต่สำหรับเรื่องนี้สมมติว่ามันเป็นเพียงเรื่องง่ายที่สามารถบล็อกการเขียนเท่านั้น

หากคุณสามารถเมานต์ดิสก์ในโหมดอ่านอย่างเดียวจุดขายของบางอย่างเช่นตัวเขียนการเขียนคืออะไร นี่เป็นเพียงเพื่อช่วยป้องกันสิ่งต่าง ๆ เช่นคำสั่ง mount โดยไม่ได้ตั้งใจพร้อมสิทธิ์การเขียน (ข้อผิดพลาดของผู้ใช้ซึ่งไม่ได้รับอนุญาตในบางกรณีเช่นคดีอาญา) หรือฉันหายไปจากคุณสมบัติเชิงลึกของระบบไฟล์

หมายเหตุ: ฉันทราบว่า SSD บางตัวสลับข้อมูลอย่างต่อเนื่องฉันไม่แน่ใจว่าจะรวมไว้ในคำถามหรือไม่ ดูเหมือนว่าจะทำให้มันซับซ้อนมากขึ้น

วารสารนิติดิจิตอล, การรักษาความปลอดภัยและกฎหมาย มีบทความดีการศึกษาของการถ่ายภาพทางนิติวิทยาศาสตร์ในกรณีที่ไม่มีของ WRITE อัพที่ช่วยวิเคราะห์การจับนิติทั้งที่มีและไม่มีการเขียนบล็อค จากวารสาร:

แนวปฏิบัติที่ดีที่สุดในนิติวิทยาศาสตร์ดิจิทัลต้องการให้มีการใช้ตัวเขียนบล็อกเมื่อสร้างภาพทางนิติวิทยาศาสตร์ของสื่อดิจิทัลและนี่เป็นหลักสำคัญของการฝึกอบรมทางนิติวิทยาศาสตร์คอมพิวเตอร์มานานหลายทศวรรษ การปฏิบัติที่ฝังแน่นดังนั้นความสมบูรณ์ของภาพที่สร้างขึ้นโดยไม่มีการเขียนบล็อก - สงสัยในทันที

การติดตั้งระบบไฟล์เพียงอย่างเดียวอาจทำให้อ่าน / เขียนได้ ระบบไฟล์ที่ทันสมัยหลายแห่งตั้งแต่ext3 / 4และxfsถึงNTFSล้วน แต่มีบันทึกประจำวันที่เก็บข้อมูลเมตาเกี่ยวกับระบบไฟล์ของตัวเอง หากไฟฟ้าดับการปิดที่ไม่สมบูรณ์หรือสาเหตุหลายประการเจอร์นัลนี้จะอ่านและเขียนกลับไปยังโครงสร้างไฟล์ทั่วไดรฟ์โดยอัตโนมัติเพื่อรักษาความสอดคล้องของระบบไฟล์ สิ่งนี้อาจเกิดขึ้นในระหว่างกระบวนการเมานต์ไม่ว่าระบบไฟล์จะเป็นแบบอ่าน - เขียน

ยกตัวอย่างเช่นจากเอกสาร ext4roติดตัวเลือกที่จะ ...

Mount ระบบไฟล์อ่านอย่างเดียว โปรดทราบว่า ext4 จะเล่นซ้ำเจอร์นัล (และเขียนลงในพาร์ติชัน) แม้ว่าจะเมาท์ "อ่านอย่างเดียว" ตัวเลือกการเมาท์ "ro, noload" สามารถใช้เพื่อป้องกันการเขียนไปยังระบบไฟล์

แม้ว่าการเปลี่ยนแปลงระดับไดร์เวอร์เหล่านี้จะไม่ส่งผลกระทบต่อเนื้อหาของไฟล์ แต่เป็นมาตรฐานทางนิติวิทยาศาสตร์ที่ใช้แฮชการเข้ารหัสลับของหลักฐานในการรวบรวมเพื่อรักษาห่วงโซ่การดูแล หากใครสามารถแสดงให้เห็นว่าแฮชเช่น sha256 ของหลักฐานที่ถืออยู่ในปัจจุบันตรงกับสิ่งที่เก็บรวบรวมจากนั้นคุณสามารถพิสูจน์ได้โดยปราศจากข้อสงสัยที่สมเหตุสมผลว่าข้อมูลของไดรฟ์ไม่ได้รับการแก้ไขในระหว่างกระบวนการวิเคราะห์

หลักฐานดิจิทัลสามารถอ้างได้ว่าเป็นหลักฐานในเกือบทุกประเภทอาชญากรรม ผู้ตรวจสอบทางนิติวิทยาศาสตร์ต้องแน่ใจว่าข้อมูลที่ได้รับมาเป็นหลักฐานไม่ได้มีการเปลี่ยนแปลง แต่อย่างใดในระหว่างการจับกุมการวิเคราะห์และการควบคุม ทนายความผู้พิพากษาและคณะลูกขุนต้องรู้สึกมั่นใจว่าข้อมูลที่นำเสนอในคดีอาชญากรรมทางคอมพิวเตอร์นั้นถูกต้องตามกฎหมาย ผู้ตรวจสอบสามารถมั่นใจได้อย่างไรว่าหลักฐานของเขาหรือเธอเป็นที่ยอมรับในศาล

ตามที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ผู้ตรวจสอบทำตามชุดของขั้นตอนที่ออกแบบมาเพื่อป้องกันการดำเนินการของโปรแกรมใด ๆ ที่อาจแก้ไขเนื้อหาของดิสก์ http://www.cru-inc.com/data-protection-topics/writeblockers/

เขียนป้องกันเป็นสิ่งจำเป็นเพราะถ้าใด ๆเปลี่ยนแปลงบิตสำหรับใดเหตุผล OS, โปรแกรมควบคุมระดับระดับระบบไฟล์หรือต่ำกว่านั้นแฮชของการเก็บรวบรวมเทียบกับระบบการวิเคราะห์จะตรงกับการไม่ได้และการรับของไดรฟ์เป็นหลักฐานอาจจะ ถาม

ตัวเขียนบล็อกจึงเป็นทั้งการควบคุมทางเทคนิคต่อความเป็นไปได้ของการเปลี่ยนแปลงในระดับต่ำและการควบคุมขั้นตอนเพื่อให้มั่นใจว่าไม่มีการเปลี่ยนแปลงใด ๆ โดยไม่คำนึงถึงผู้ใช้หรือซอฟต์แวร์ ด้วยการลบความเป็นไปได้ของการเปลี่ยนแปลงมันจะสนับสนุนแฮชที่จะใช้เพื่อแสดงว่าการวิเคราะห์หลักฐานตรงกับหลักฐานที่รวบรวมไว้และป้องกันไม่ให้เกิดการจัดการกับหลักฐานที่เป็นปัญหาและคำถาม

การวิเคราะห์บทความของ JDFSL แสดงให้เห็นว่าไม่มีตัวบล็อกการเขียนการเปลี่ยนแปลงเกิดขึ้นกับไดรฟ์ที่ทดสอบ อย่างไรก็ตามในทางตรงกันข้าม - ไฟล์ข้อมูลส่วนบุคคลแฮชยังคงไม่เปลี่ยนแปลงดังนั้นจึงมีข้อโต้แย้งเกี่ยวกับความสมบูรณ์ของหลักฐานที่รวบรวมโดยไม่มีตัวบล็อกการเขียนอยู่ แต่ไม่ถือว่าเป็นการปฏิบัติที่ดีที่สุดในอุตสาหกรรม

คุณไม่สามารถจะแน่ใจว่า @ Jakegould ครอบคลุมเหตุผลทางกฎหมายและทางเทคนิคมากมายดังนั้นฉันจึงมุ่งเน้นไปที่เหตุผลในการดำเนินงาน

ประการแรกคุณไม่เคยติดตั้งไดรฟ์เช่นนั้นคุณภาพอุปกรณ์ทั้งหมด สถานที่ตั้งหลักของคุณที่คุณสามารถใช้สิทธิ์ระบบไฟล์ไม่ถูกต้อง คุณกำลังจะใช้รสชาติของ DDหรือเครื่องมือการซื้อเฉพาะที่ควรมีการอ่านค่าเริ่มต้นเท่านั้น

นิติวิทยาศาสตร์เป็นเรื่องเกี่ยวกับความมั่นใจอย่างแน่นอนว่าคุณไม่ได้ดัดแปลงหลักฐานใด ๆ ในขั้นตอนใด ๆ และคุณสามารถมอบสำเนาของไดรฟ์ที่ผ่านการตรวจสอบแล้วโดยไม่มีการเปลี่ยนแปลงใด ๆ (อันที่จริงแล้วถ้าคุณไม่จำเป็นต้องใช้นิติวิทยาศาสตร์แบบสดคุณจะต้องแตะฮาร์ดไดรฟ์ที่สงสัยเพียงครั้งเดียวเพื่อถ่ายภาพ) ดังนั้นนอกจากเครื่องมือที่คุณจะได้รับจากการอ่านเท่านั้นมันจะทำหน้าที่เป็นแนวป้องกันที่สอง

ตัวบล็อกการเขียนทำบางสิ่ง

1. มันเปลี่ยนภาระในการพิสูจน์ว่าไดรฟ์เป็นจริงอ่านอย่างเดียว
2. ในการเพิ่มเติมวิธี idiotproof - มันจะกลายเป็นส่วนหนึ่งของการเข้าซื้อกิจการ 'แท่นขุดเจาะ / กระบวนการของคุณ
3. กับอุปกรณ์ที่รับประกันโดยผู้ผลิตซึ่งเป็นสิ่งที่คุณต้องการในบันทึกหลักฐาน / บันทึกเหตุการณ์ของคุณ

ในความรู้สึกมันเข้าสู่กระบวนการรวบรวมหลักฐานและมีสิ่งหนึ่งที่น้อยกว่าสำหรับมนุษย์ที่อ่อนแอของคุณที่จะทำให้ยุ่งเหยิงนอกจากการตรวจสอบว่าไดรฟ์ต้นฉบับไม่ได้ถูกเขียนไปแล้วมันอาจช่วยคุณได้ถ้าคุณรวมแหล่งที่มาและปลายทาง .

ในระยะสั้นจะมีจุดอ่อนสำคัญที่เป็นไปได้หนึ่งจุด คุณไม่ต้องคิดว่า 'ฉันเมานต์ไดรฟ์แบบอ่านอย่างเดียว' หรือ 'ฉันได้สลับแหล่งที่มาและปลายทางของฉันเป็น dd หรือไม่'

คุณติดไว้และคุณไม่ต้องกังวลหากคุณเขียนทับหลักฐานของคุณ

คุณระบุสิ่งนี้:

หากคุณสามารถเมานต์ดิสก์ในโหมดอ่านอย่างเดียวจุดขายของบางอย่างเช่นตัวเขียนการเขียนคืออะไร

เรามาถึงระดับสูงที่ไม่ใช่ด้านเทคนิคดูเหตุผลว่าจะรวบรวมข้อมูลหลักฐานได้อย่างไร และกุญแจสำคัญในการทั้งหมดนี้คือความเป็นกลาง

คุณมีข้อสงสัยว่า ... มีบางอย่างในทางกฎหมายหรือคดีที่อาจเกิดขึ้น ต้องแสดงหลักฐานของพวกเขาว่าเป็นกลางที่สุด ในกรณีของเอกสารทางกายภาพคุณสามารถนำสื่อสิ่งพิมพ์และเก็บไว้ในที่ปลอดภัยได้ สำหรับข้อมูล? ลักษณะของระบบคอมพิวเตอร์โดยเนื้อแท้มีปัญหาของการจัดการข้อมูลในการเล่น

ในขณะที่คุณระบุว่าคุณสามารถติดวอลลุ่มอย่างมีเหตุผลว่า“ อ่านอย่างเดียว” คุณเป็นใคร? และคนที่ไม่ใช่คุณ - เช่นศาลหรือผู้ตรวจสอบ - จะไว้วางใจทักษะระบบและความเชี่ยวชาญของคุณได้อย่างไร หมายความว่าอะไรที่ทำให้ระบบของคุณมีความพิเศษบางอย่างที่กระบวนการพื้นหลังไม่สามารถปรากฏขึ้นทันทีบนระบบและเริ่มสร้างดัชนีเป็นครั้งที่สองที่คุณเสียบเข้าไป และคุณจะเป็นผู้ปกครองอย่างไร และ heck แล้วข้อมูลเมตาของไฟล์ล่ะ MD5 บนไฟล์มีประโยชน์ ... แต่ถ้าหนึ่งตัวละครของข้อมูลเมตาเปลี่ยนแปลงในไฟล์เดาอะไร MD5 เปลี่ยนแปลงไป

สิ่งที่เกิดขึ้นคืออยู่ในรูปแบบที่ยอดเยี่ยมของสิ่งต่าง ๆ ทักษะทางเทคนิคส่วนบุคคลของคุณไม่มีผลต่อความสามารถในการนำเสนอข้อมูลที่เป็นกลางที่สุดเท่าที่จะเป็นไปได้สำหรับผู้ตรวจสอบศาลหรือผู้อื่น

ป้อนตัวบล็อกการเขียน นี่ไม่ใช่อุปกรณ์ที่น่าอัศจรรย์ มันชัดเจนบล็อกการเขียนข้อมูลในระดับฐานและสิ่งอื่นใด นั่นคือทั้งหมดที่มันทำและนั่นคือทั้งหมดที่มันควรจะทำ (หรือไม่ทำ)

ตัวบล็อกการเขียนเป็นชิ้นส่วนฮาร์ดแวร์ที่เป็นกลางที่ทำโดย บริษัท อื่นตามมาตรฐานที่ยอมรับในอุตสาหกรรมซึ่งทำงานหนึ่งงานและงานหนึ่งอย่างดี: ป้องกันการเขียนข้อมูล

โดยทั่วไปศาลหรือผู้อื่นใช้การเขียนบล็อกเกอร์โดยทั่วไปกล่าวว่า“ ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่เข้าใจการตรวจสอบข้อมูลทางนิติวิทยาศาสตร์และเข้าใจถึงความจำเป็นในการรวมข้อมูลเมื่อต้องให้ข้อมูลอื่นที่ฉันถูกรวบรวม ฉันกำลังใช้อุปกรณ์ทางกายภาพที่เราทุกคนตกลงป้องกันไม่ให้เขียนเพื่อเข้าถึงข้อมูลนี้เพื่อแสดงให้ทุกคนเห็นว่าใช่นี่คือหลักฐานที่คุณต้องทำในสิ่งที่คุณต้องทำ”

ดังนั้นจุดของ "การซื้อบางอย่างเช่นเครื่องมือเขียนบล็อก" คือการซื้อเครื่องมือที่ผู้คนทั่วโลกรู้จักว่าเป็นเครื่องมือที่ถูกต้องสำหรับการเข้าถึงและเก็บข้อมูลที่เป็นกลาง และถ้าคนอื่น - ที่ไม่ใช่คุณ - ต้องเข้าถึงข้อมูลด้วยตัวบล็อกการเขียนที่คล้ายกันพวกเขาก็จะได้รับข้อมูลเดียวกันกลับมา

อีกตัวอย่างในโลกแห่งความจริงคือหลักฐานกล้องวิดีโอ ตอนนี้ใช่มีความเสี่ยงที่หลักฐานวิดีโอจะถูกแก้ไข แต่สมมติว่าคุณเห็นอาชญากรรมและเห็นผู้ต้องสงสัยและรู้ว่าพวกเขาทำ ในศาลความซื่อสัตย์ของคุณในฐานะพยานจะถูกตรวจสอบโดยฝ่ายจำเลยขณะที่พวกเขาพยายามปกป้องลูกค้าของพวกเขา แต่สมมุติว่านอกเหนือจากผู้เห็นเหตุการณ์ของคุณรายงานว่าตำรวจได้รับคลิปวิดีโอเกี่ยวกับอาชญากรรมที่เกิดขึ้น ดวงตาที่เป็นกลางและไม่กะพริบตาของอุปกรณ์จับภาพที่เป็นกลางจะทำให้คุณสงสัยได้มากที่สุด ความหมายสิ่ง "หุ่นยนต์" ที่ไม่ใช่มนุษย์ แต่สามารถบันทึกข้อมูลจะสำรองข้อมูลคดีฟ้องร้องต่อการป้องกันและไม่เพียง แต่คำ / ความไว้วางใจของคุณ

ความจริงก็คือโลกแห่งกฎหมายและความถูกต้องตามกฎหมายมาถึงจุดแข็งจับต้องได้ - หลักฐานทางกายภาพที่ปฏิเสธไม่ได้ และเครื่องมือเขียนบล็อกที่ช่วยให้มั่นใจว่าหลักฐานข้อมูลทางกายภาพนั้นสะอาดที่สุดเท่าที่จะเป็นไปได้

เหตุผลในการเขียนบล็อกเกอร์ถูกนำมาใช้เนื่องจากอาชญากรสามารถวางกระบวนการดักจับที่ทำลายหลักฐานในเหตุการณ์ (อาจเป็นความพยายามรหัสผ่านที่ไม่ถูกต้องไม่สามารถเข้าถึงเซิร์ฟเวอร์เฉพาะพยายามเข้าถึงไฟล์ปลอมหรืออะไรก็ตาม)

กระบวนการดักใด ๆ โดยทั่วไปสามารถพยายามติดตั้งอุปกรณ์ใหม่อีกครั้งในรูปแบบอ่าน - เขียนได้เช่นกัน

วิธีเดียวที่จะแน่ใจได้คือใช้อุปกรณ์ฮาร์ดแวร์ ตัวเขียนบล็อกฮาร์ดแวร์บางตัวมีสวิตช์ที่อนุญาตให้ปิดใช้งานฟังก์ชั่นการเขียนบล็อก แต่ที่สำคัญคือซอฟต์แวร์นั้นไม่สามารถส่งผลกระทบต่อฮาร์ดแวร์ได้หากฮาร์ดแวร์ไม่ได้ตั้งโปรแกรมให้ตอบสนองต่อสัญญาณซอฟต์แวร์

tought เดียวกันสามารถนำไปใช้กับหน่วยความจำ USB ได้เหตุใดหน่วยความจำ USB บางตัวจึงมีสวิตช์ป้องกันการเขียนข้อมูลทางกายภาพ

บางครั้งผู้ตรวจสอบจะต้องสามารถบูตระบบปฏิบัติการของผู้ต้องสงสัยนั่นคือสาเหตุที่ผู้ตรวจสอบต้องระวังกระบวนการดักจับใด ๆ

กระบวนการตรวจสอบแตกต่างกันไปในแต่ละประเทศเนื่องจากกฎหมายความรับผิดชอบที่แตกต่างกัน ในบางประเทศการครอบครองไฟล์บางไฟล์นั้นผิดกฎหมายเป็นความรับผิดชอบของคุณในการรักษาความปลอดภัยคอมพิวเตอร์ของคุณและคุณไม่สามารถตำหนิไฟล์ผิดกฎหมายในไวรัสได้

และในประเทศอื่นอาจเป็นเพราะการครอบครองไฟล์นั้นผิดกฎหมาย แต่ต้องมีหลักฐานว่าเป็นผู้ต้องสงสัยที่วางไฟล์ไม่ใช่ไวรัส

ในกรณีที่สองผู้ตรวจสอบอาจต้องบูตคอมพิวเตอร์เพื่อดูว่าอะไรกำลังเริ่มต้นตอนบูทใน autostart / run / runonce

กล่าวอีกนัยหนึ่งอาชญากรเป็นอันตรายโดยธรรมชาติดังนั้นสิ่งใดก็ตามที่สามารถท้าทายความถูกต้องของหลักฐานในศาลจะต้องได้รับการคุ้มครองในทุกค่าใช้จ่าย นอกจากนี้หากอาชญากรวางกับดักที่ทำลายหลักฐานโดยอัตโนมัติในหลาย ๆ กรณีจะไม่“ ทำลายหลักฐาน” เมื่อเทียบกับการลบบางสิ่งด้วยตนเอง อาจเป็นหายนะหากอนุญาตให้เขียนได้

กระบวนการฮาร์ดแวร์ที่แยกต่างหากนั้นมีความปลอดภัยมากกว่ากระบวนการซอฟต์แวร์ดังนั้นนักเขียนบล็อกเกอร์จึงถูกนำมาใช้โดยผู้ตรวจสอบเพื่อรักษาความปลอดภัยของวัสดุจากการถูกทำลายในลักษณะเดียวกับที่ผู้เชี่ยวชาญด้านความปลอดภัยใช้สมาร์ทการ์ดและโทเค็นเพื่อป้องกันความลับ