¿Por qué se necesitan bloqueadores de escritura cuando hay montaje con solo lectura?

Digamos que estamos usando un poco de Linux y montamos una partición usando el siguiente comando:

sudo mount -o ro /dev/sdc1 /mnt

Se supone que la partición es de solo lectura para que el sistema operativo y el usuario no puedan escribir en el disco sin cambiar los mountpermisos.

Del ForensicsWiki :

Los bloqueadores de escritura son dispositivos que permiten la adquisición de información en una unidad sin crear la posibilidad de dañar accidentalmente el contenido de la unidad. Lo hacen permitiendo que pasen los comandos de lectura pero bloqueando los comandos de escritura, de ahí su nombre.

Esto me parece que es solo para evitar banderas accidentales. La página también dice que hay funciones adicionales para algunos bloqueadores de escritura, como ralentizar el disco para evitar daños. Pero para esto, supongamos que es solo uno simple que solo puede bloquear la escritura.

Si solo puede montar un disco en modo de solo lectura, ¿cuál es el punto de comprar algo como un bloqueador de escritura? ¿Es esto solo para ayudar a evitar cosas como un comando de montaje accidental con permisos de escritura (error del usuario, que no se puede permitir en algunos casos, es decir, casos penales), o me faltan algunas de las características más detalladas de cómo funcionan los sistemas de archivos?

Nota: Soy consciente de que algunos SSD barajan datos continuamente, no estoy seguro de si incluirlos en la pregunta o no. Parece que eso lo haría mucho más complicado.

El Journal of Digital Forense, Seguridad y Derecho tiene un excelente artículo ESTUDIO DE IMAGEN FORENSE EN AUSENCIA DE bloqueadores de escritura que analiza forense de captura con y sin bloqueadores de escritura. De la revista:

Las mejores prácticas en forense digital exigen el uso de bloqueadores de escritura al crear imágenes forenses de medios digitales, y este ha sido un principio básico de la capacitación en informática forense durante décadas. La práctica está tan arraigada que la integridad de las imágenes creadas sin un bloqueador de escritura es inmediatamente sospechosa.

Simplemente montar un sistema de archivos puede causar lecturas / escrituras. Muchos sistemas de archivos modernos, desde ext3 / 4 y xfs a NTFS , tienen un diario que mantiene metadatos sobre el sistema de archivos en sí. Si se pierde energía, un apagado incompleto o una serie de razones, este diario se lee y se vuelve a escribir automáticamente en las estructuras de archivos en la unidad para mantener la coherencia del sistema de archivos. Esto puede suceder durante el proceso de montaje, tanto si el sistema de archivos es de lectura como de escritura.

Por ejemplo, de la documentación ext4 la roopción de montaje ...

Montar sistema de archivos de solo lectura. Tenga en cuenta que ext4 reproducirá el diario (y, por lo tanto, escribirá en la partición) incluso cuando esté montado "solo lectura". Las opciones de montaje "ro, noload" se pueden usar para evitar escrituras en el sistema de archivos.

Aunque estos cambios en el nivel del controlador no afectan el contenido de los archivos, es un estándar forense tomar pruebas criptográficas de pruebas al momento de la recolección para mantener una cadena de custodia. Si se puede demostrar que el hash, es decir, sha256, de la evidencia que se encuentra actualmente coincide con lo que se recopiló, entonces puede probar más allá de toda duda razonable que los datos del disco no se han modificado durante el proceso de análisis.

La evidencia digital se puede citar como evidencia en casi todas las categorías de delitos. Los investigadores forenses deben estar absolutamente seguros de que los datos que obtienen como evidencia no han sido alterados de ninguna manera durante la captura, el análisis y el control. Los abogados, jueces y jurados deben sentirse seguros de que la información presentada en un caso de delito informático es legítima. ¿Cómo puede un investigador asegurarse de que su evidencia sea aceptada en la corte?

Según el Instituto Nacional de Estándares y Tecnología (NIST), el investigador sigue un conjunto de procedimientos diseñados para evitar la ejecución de cualquier programa que pueda modificar el contenido del disco. http://www.cru-inc.com/data-protection-topics/writeblockers/

Es necesario un bloqueador de escritura , porque si algún bit cambia por algún motivo (sistema operativo, nivel de controlador, nivel de sistema de archivos o inferior), los hashes del sistema recopilado frente al analizado ya no coincidirán, y la admisibilidad de la unidad como evidencia puede ser cuestionado

El bloqueador de escritura es, por lo tanto, un control técnico contra la posibilidad de cambios de bajo nivel y un control de procedimiento para garantizar que no se realizaron cambios, independientemente del usuario o el software. Al eliminar la posibilidad de cambios, admite los hash que se utilizarán para mostrar que la evidencia analizada coincide con la evidencia recopilada, y evita muchos problemas y preguntas potenciales de manejo de evidencia.

El análisis del artículo JDFSL muestra que sin un bloqueador de escritura, se realizaron cambios en las unidades que probaron. Sin embargo, por el contrario, los hashes de los archivos de datos individuales seguirían intactos, por lo que existen argumentos para la solidez de la evidencia recopilada sin un bloqueador de escritura, pero no se consideran la mejor práctica de la industria.

No puedes estar seguro . @jakegould cubre una tonelada de razones legales y técnicas, por lo que me estoy centrando en las razones operativas.

En primer lugar, nunca montas una unidad como esa, imaginas un dispositivo completo. Su premisa central, que puede usar los permisos del sistema de archivos es incorrecta. Utilizará una versión de DD o una herramienta de adquisición especializada que debería incluir la lectura de trabajo solo de forma predeterminada.

El análisis forense se trata de estar absolutamente seguro de que no ha alterado la evidencia en ninguna etapa, y de que puede proporcionar una copia verificada de la unidad sin cambios. (De hecho, a menos que necesite hacer análisis forenses en vivo, solo toca un disco duro sospechoso una vez para crear una imagen) .Así que, además de que su herramienta de adquisición es de solo lectura, actúa como una segunda línea de defensa contra el desorden.

El bloqueador de escritura hace ciertas cosas.

1. Cambia la carga de probar que la unidad de hecho era de solo lectura
2. De una manera más a prueba de idiotas: se convierte en parte de su plataforma / proceso de 'adquisición'
3. con el dispositivo garantizado por el fabricante, que es algo que desea en su registro de evidencia / incidente.

En cierto sentido, se inserta en el proceso de recopilación de evidencia y hay una cosa menos para que su frágil ser humano se confunda. Además de la verificación de que el disco de origen no está escrito, podría salvarlo si mezcla origen y destino .

En resumen, elimina un posible punto débil importante . No tiene que pensar en '¿monté el disco solo' o 'cambié mi fuente y destino en dd?'

Lo conecta y no necesita preocuparse si sobrescribe su evidencia.

Usted dice esto:

Si solo puede montar un disco en modo de solo lectura, ¿cuál es el punto de comprar algo como un bloqueador de escritura?

Analicemos, en un nivel alto y no técnico, lógicamente cómo se recopilarían los datos para evidencia. Y la clave de todo esto es la neutralidad.

Tienes un sospechoso de ... Algo en un caso legal o potencialmente legal. Su evidencia debe presentarse lo más neutral posible. En el caso de documentos físicos, puede tomar los materiales impresos y almacenarlos físicamente en un lugar seguro. Para los datos? La naturaleza de los sistemas informáticos tiene inherentemente un problema de manipulación de datos en juego.

Si bien afirma que podría montar lógicamente el volumen como "solo lectura", ¿quién es usted? ¿Y cómo puede alguien que no eres tú, como un tribunal o un investigador, confiar en tus habilidades, sistemas y experiencia? ¿Lo que hace que su sistema sea tan especial que algunos procesos en segundo plano no pueden aparecer repentinamente en el sistema y comenzar a indexarlo en el momento en que lo conecta? ¿Y cómo va a monitorear eso? Y diablos, ¿qué pasa con los metadatos de archivo? Los MD5 en los archivos son útiles ... Pero si un carácter de metadatos cambia en un archivo, ¿adivina qué? El MD5 cambia.

A lo que se reduce es al gran esquema de cosas que sus habilidades técnicas personales no tienen relación con la capacidad de presentar los datos de la manera más neutral posible a los investigadores, tribunales u otros.

Ingrese un bloqueador de escritura. Este no es un dispositivo mágico. Bloquea claramente la escritura de datos en un nivel base y ¿qué más? Bueno, eso es todo lo que hace y eso es todo lo que debería hacer (o no hacer).

Un bloqueador de escritura es una pieza de hardware neutral fabricada por otra compañía según el estándar aceptado por la industria que realiza una tarea y una tarea bien: evitar la escritura de datos.

Para un investigador, tribunal u otros, el uso de un bloqueador de escritura básicamente dice: “Soy un profesional de la computación que entiende el análisis forense de datos y comprende la necesidad de integridad de los datos al proporcionar a otros la información que se me encarga recopilar. Estoy usando un dispositivo físico que todos estamos de acuerdo que impide que las escrituras accedan a estos datos para mostrar a todos que sí, esta es la evidencia que necesita para hacer lo que debe hacer ".

Entonces, el punto de "comprar algo como un bloqueador de escritura" es comprar una herramienta que sea reconocida universalmente por personas de todo el mundo como una herramienta válida para el acceso y la recopilación de datos neutral. Y que si otra persona, que no es usted, tuviera acceso a los datos con un bloqueador de escritura similar, ellos también obtendrían los mismos datos a cambio.

Otro ejemplo del mundo real es la evidencia de la cámara de video. Ahora sí, existe el riesgo de que se alteren las pruebas de video. Pero digamos que fue testigo de un crimen y vio al sospechoso y sabe que lo hizo. En un tribunal, su integridad como testigo será destripada por la defensa al tratar de defender a su cliente. Pero digamos que además de su informe de testigos oculares, la policía obtiene imágenes de video del crimen que está ocurriendo. Ese ojo imparcial y sin pestañear de un dispositivo neutral de captura de imágenes deja descansar la mayoría de las dudas de sus reclamos. Es decir, una cosa de "robot" que no es un ser humano pero que puede registrar datos respaldará el caso de enjuiciamiento contra la defensa y no solo su palabra / confianza.

La realidad es que el mundo del derecho y la legalidad realmente se reduce a evidencia física sólida, tangible y, más o menos, irrefutable. Y un bloqueador de escritura, una herramienta que garantiza que la evidencia de datos físicos sea lo más limpia posible.

La razón por la que se usan los bloqueadores de escritura es porque los delincuentes podrían haber puesto procesos de captura que destruyen la evidencia en un evento (podría ser un intento de contraseña incorrecta, no llegar a un servidor específico, intentar acceder a un archivo falso o lo que sea).

Básicamente, cualquier proceso de captura también puede intentar volver a montar el dispositivo en lectura-escritura.

La única forma de estar seguro es usar un dispositivo de hardware. Algunos bloqueadores de escritura de hardware tienen un interruptor que permite que se desactive la función de bloqueo de escritura, pero lo más importante es que el software nunca puede afectar al hardware si el hardware no está programado para reaccionar a las señales del software.

Se puede aplicar el mismo pensamiento a las memorias USB, por lo que algunas memorias USB tienen un interruptor de protección contra escritura física.

A veces, el investigador necesita poder arrancar el sistema operativo del sospechoso, por eso el investigador debe tener cuidado con los procesos de trampa.

El proceso de investigación varía entre los diferentes países debido a las diferentes leyes de responsabilidad. En algunos países, la mera posesión de ciertos archivos es ilegal, es su responsabilidad mantener su computadora segura y no puede culpar a los archivos ilegales de un virus.

Y en otro país, podría ser que la posesión del archivo es ilegal, pero se debe presentar evidencia de que fue el sospechoso quien colocó los archivos y no un virus.

En el segundo caso, el investigador podría necesitar iniciar la computadora para ver lo que se está iniciando en el inicio en autostart / run / runonce.

En otras palabras, los delincuentes son por naturaleza maliciosos, por lo que cualquier cosa que pueda cuestionar la validez de la evidencia en el tribunal debe protegerse a toda costa. Además, si el criminal ha puesto una trampa que destruye automáticamente la evidencia, en muchos casos NO será "destrucción de evidencia", en lugar de eliminar algo manualmente. Podría ser un desastre si se permite la escritura.

Un proceso de hardware aislado es mucho más seguro que un proceso de software, por lo que los investigadores usan bloqueadores de escritura para proteger su material de la destrucción, de la misma manera que los profesionales de seguridad usan tarjetas inteligentes y tokens para evitar que sus secretos se vean comprometidos.