Pourquoi les bloqueurs d'écriture sont-ils nécessaires quand il y a montage avec lecture seule?

Disons que nous utilisons une certaine saveur de Linux et que nous montons une partition en utilisant la commande suivante:

sudo mount -o ro /dev/sdc1 /mnt

La partition est censée être en lecture seule afin que le système d'exploitation et l'utilisateur ne puissent pas écrire sur le disque sans modifier les mountautorisations.

Du ForensicsWiki :

Les bloqueurs d'écriture sont des dispositifs qui permettent l'acquisition d'informations sur un lecteur sans créer la possibilité d'endommager accidentellement le contenu du lecteur. Ils le font en laissant passer les commandes de lecture mais en bloquant les commandes d'écriture, d'où leur nom.

Il me semble que c'est juste pour éviter les drapeaux accidentels. La page indique également qu'il existe des fonctionnalités supplémentaires à certains bloqueurs d'écriture, telles que le ralentissement du disque pour éviter tout dommage. Mais pour cela, supposons que c'est juste un simple qui ne peut que bloquer l'écriture.

Si vous pouvez simplement monter un disque en mode lecture seule, quel est l'intérêt d'acheter quelque chose comme un bloqueur d'écriture? Est-ce juste pour aider à empêcher des choses telles qu'une commande de montage accidentelle avec des autorisations d'écriture (erreur utilisateur, qui ne peut pas être autorisée dans certains cas, c'est-à-dire des cas criminels), ou est-ce que je manque certaines des fonctionnalités approfondies du fonctionnement des systèmes de fichiers?

Remarque: Je suis conscient que certains SSD mélangent les données en continu, je ne sais pas s'il faut les inclure dans la question ou non. Il semble que cela rendrait les choses beaucoup plus compliquées.

Le Journal of Digital Forensics, Security and Law a un excellent article UNE ÉTUDE DE L'IMAGERIE JURIDIQUE EN L'ABSENCE DE BLOCAGES EN ÉCRITURE qui analyse la capture médico-légale avec ou sans bloqueurs d'écriture. Extrait du journal:

Les meilleures pratiques en criminalistique numérique exigent l'utilisation de bloqueurs d'écriture lors de la création d'images médico-légales de médias numériques, et cela a été un principe de base de la formation en informatique légale depuis des décennies. La pratique est tellement ancrée que l'intégrité des images créées sans bloqueur d'écriture est immédiatement suspecte.

Le simple montage d'un système de fichiers peut entraîner des lectures / écritures. De nombreux systèmes de fichiers modernes, de ext3 / 4 et xfs à NTFS , ont tous un journal qui maintient des métadonnées sur le système de fichiers lui-même. En cas de panne de courant, d'arrêt incomplet ou pour un certain nombre de raisons, ce journal est automatiquement lu et réécrit dans les structures de fichiers sur le lecteur pour maintenir la cohérence du système de fichiers lui-même. Cela peut se produire pendant le processus de montage, que le système de fichiers soit en lecture-écriture ou non.

Par exemple, à partir de la documentation ext4, l' rooption de montage ...

Montez le système de fichiers en lecture seule. Notez que ext4 rejouera le journal (et donc écrira sur la partition) même lorsqu'il est monté en "lecture seule". Les options de montage "ro, noload" peuvent être utilisées pour empêcher les écritures sur le système de fichiers.

Bien que ces changements de niveau de pilote n'affectent pas le contenu des fichiers, il s'agit d'une norme de criminalistique de prendre des hachages cryptographiques des preuves lors de la collecte afin de maintenir une chaîne de possession. Si l'on peut montrer que le hachage, c'est-à-dire sha256, des preuves actuellement détenues correspond à ce qui a été collecté, alors vous pouvez prouver hors de tout doute raisonnable que les données du lecteur n'ont pas été modifiées pendant le processus d'analyse.

Les preuves numériques peuvent être citées comme des preuves dans presque toutes les catégories de crimes. Les enquêteurs médico-légaux doivent être absolument certains que les données qu'ils obtiennent en tant que preuves n'ont été altérées d'aucune façon au cours de la capture, de l'analyse et du contrôle. Les avocats, les juges et les jurés doivent être convaincus que les informations présentées dans une affaire de criminalité informatique sont légitimes. Comment un enquêteur peut-il s'assurer avec certitude que son témoignage est accepté par le tribunal?

Selon l'Institut national des normes et de la technologie (NIST), l'enquêteur suit un ensemble de procédures conçues pour empêcher l'exécution de tout programme susceptible de modifier le contenu du disque. http://www.cru-inc.com/data-protection-topics/writeblockers/

Un bloqueur d'écriture est nécessaire, car si un bit change pour une raison quelconque ( système d'exploitation, niveau du pilote, niveau du système de fichiers ou inférieur), les hachages du système collecté par rapport au système analysé ne correspondront plus et l'admissibilité du lecteur en tant que preuve peut être interrogé.

Le bloqueur d'écriture est donc à la fois un contrôle technique contre la possibilité de modifications de bas niveau et un contrôle procédural pour garantir qu'aucune modification n'a été apportée, quel que soit l'utilisateur ou le logiciel. En supprimant la possibilité de modifications, il prend en charge les hachages à utiliser pour montrer que les preuves analysées correspondent aux preuves collectées et évite de nombreux problèmes et questions potentiels liés à la gestion des preuves.

L'analyse de l'article JDFSL montre que sans bloqueur d'écriture, des modifications ont été apportées aux lecteurs testés. Cependant, au contraire - les hachages des fichiers de données individuels seraient toujours intacts, donc des arguments pour la solidité des preuves collectées sans bloqueur d'écriture existent, mais ne sont pas considérés comme les meilleures pratiques de l'industrie.

Tu ne peux pas en être sûr . @jakegould couvre une tonne de raisons juridiques et techniques, donc je me concentre sur les raisons opérationnelles.

Premièrement, vous ne montez jamais un disque comme ça, vous imaginez un appareil entier. Votre principe de base, que vous pouvez utiliser les autorisations du système de fichiers , est faux. Vous allez utiliser une version de DD ou un outil d'acquisition spécialisé qui devrait inclure le travail en lecture seule par défaut.

La criminalistique consiste à être absolument sûr que vous n'avez altéré les preuves à aucun moment et que vous pouvez fournir une copie vérifiée du lecteur sans aucune modification. (En fait, à moins que vous n'ayez besoin de faire de la criminalistique en direct, vous ne touchez à un disque dur suspect qu'une seule fois pour l'imaginer.) En plus de votre outil d'acquisition en lecture seule, il agit comme une deuxième ligne de défense contre les erreurs.

Le bloqueur d'écriture fait certaines choses.

1. Cela déplace la charge de prouver que le lecteur était en fait en lecture seule
2. D'une manière plus idiote - Cela fait partie de votre plate-forme / processus d'acquisition
3. l' appareil est garanti par le fabricant - ce que vous souhaitez dans votre journal des preuves / incidents.

Dans un sens, il s'inscrit dans le processus de collecte de preuves et il y a une chose de moins à gâcher pour votre fragile être humain. .

En bref , il faut à un possible grand point faible. Vous n'avez pas à vous demander «ai-je monté le lecteur en lecture seule» ou «ai-je échangé ma source et ma destination en dd?

Vous le branchez et vous n'avez pas à vous inquiéter si vous écrasez vos preuves.

Vous dites ceci:

Si vous pouvez simplement monter un disque en mode lecture seule, quel est l'intérêt d'acheter quelque chose comme un bloqueur d'écriture?

Examinons logiquement, à un niveau élevé et non technique, la manière dont les données factuelles seraient collectées. Et la clé de tout cela est la neutralité.

Vous avez un suspect de… Quelque chose dans une affaire légale ou potentiellement légale. Leurs preuves doivent être présentées aussi neutres que possible. Dans le cas de documents physiques, vous pouvez simplement prendre les documents imprimés et les stocker physiquement dans un endroit sûr. Pour les données? La nature des systèmes informatiques a intrinsèquement un problème de manipulation des données en jeu.

Alors que vous déclarez que vous pouvez simplement monter logiquement le volume en «lecture seule», qui êtes-vous? Et comment quelqu'un qui n'est pas vous - comme un tribunal ou un enquêteur - peut-il faire confiance à vos compétences, vos systèmes et votre expertise? Ce qui rend votre système si spécial, certains processus d'arrière-plan ne peuvent pas apparaître soudainement sur le système et commencer à l'indexer à la seconde où vous le branchez? Et comment allez-vous surveiller cela? Et diable, qu'en est-il des métadonnées de fichier? Les MD5 sur les fichiers sont utiles… Mais si un caractère des métadonnées change dans un fichier, devinez quoi? Le MD5 change.

Cela se résume à un grand nombre de choses que vos compétences techniques personnelles n'ont pas d'incidence sur votre capacité à présenter des données aussi neutres que possible aux enquêteurs, aux tribunaux ou à d'autres.

Entrez un bloqueur d'écriture. Ce n'est pas un appareil magique. Il bloque clairement l'écriture de données au niveau de base et quoi d'autre? Eh bien, c'est tout ce qu'il fait et c'est tout ce qu'il devrait faire (ou ne pas faire).

Un bloqueur d'écriture est un matériel neutre fabriqué par une autre entreprise conformément à la norme acceptée par l'industrie qui effectue une tâche et une tâche correctement: Empêche l'écriture des données.

Pour un enquêteur, un tribunal ou d'autres personnes, l'utilisation d'un bloqueur d'écriture indique essentiellement: «Je suis un professionnel de l'informatique qui comprend la criminalistique des données et comprend le besoin d'intégrité des données lors de la fourniture aux autres d'informations que je suis chargé de collecter. J'utilise un appareil physique, nous sommes tous d'accord, empêche les écritures d'accéder à ces données pour montrer à tout le monde que oui, c'est la preuve dont vous avez besoin pour faire ce que vous devez faire. "

Donc, le point «d'acheter quelque chose comme un bloqueur d'écriture» est d'acheter un outil qui est universellement reconnu par les gens du monde entier comme un outil valide pour un accès et une collecte de données neutres. Et que si quelqu'un d'autre - qui n'est pas vous - devait accéder aux données avec un bloqueur d'écriture similaire, il obtiendrait lui aussi les mêmes données en retour.

Un autre exemple du monde réel est la preuve par caméra vidéo. Maintenant oui, il existe un risque de falsification de preuves vidéo. Mais disons que vous avez été témoin d'un crime et que vous avez vu le suspect et que vous savez qu'il l'a fait. Dans un tribunal, votre intégrité en tant que témoin sera éviscérée par la défense alors qu'elle cherche à défendre son client. Mais disons qu'en plus de votre rapport de témoin oculaire, la police obtient des séquences vidéo du crime en cours. Cet œil impartial et sans faille d'un appareil de capture d'image neutre pose la plupart des doutes sur vos affirmations. Autrement dit, une chose «robot» qui n'est pas un être humain mais qui peut enregistrer des données sauvegardera le dossier des poursuites contre la défense et pas seulement votre mot / votre confiance.

La réalité est que le monde du droit et de la légalité se résume vraiment à des preuves matérielles solides, tangibles et - à peu près - irréfutables. Et un bloqueur d'écriture, un outil qui garantit que les preuves de données physiques sont aussi propres que possible.

La raison pour laquelle des bloqueurs d'écriture sont utilisés, c'est parce que les criminels pourraient avoir mis des processus de piège qui détruisent les preuves lors d'un événement (pourrait être une tentative de mot de passe incorrect, pas d'accès à un serveur spécifique, tenter d'accéder à un faux fichier ou autre).

Tout processus de déroutement peut également tenter de remonter le périphérique en lecture-écriture.

La seule façon d'être sûr est d'utiliser un périphérique matériel. Certains bloqueurs d'écriture matériels ont un commutateur qui permet de désactiver la fonction de blocage d'écriture, mais l'important est que le logiciel ne puisse jamais affecter le matériel si le matériel n'est pas programmé pour réagir aux signaux logiciels.

La même pensée peut être appliquée aux mémoires USB, pourquoi certaines mémoires USB ont un commutateur de protection en écriture physique.

Parfois, l'enquêteur doit être capable de démarrer le système d'exploitation du suspect, c'est pourquoi l'enquêteur doit se méfier de tout processus de piège.

Le processus d'enquête varie d'un pays à l'autre en raison des différentes lois sur la responsabilité. Dans certains pays, la simple possession de certains fichiers est illégale, il est de votre responsabilité de protéger votre ordinateur et vous ne pouvez pas blâmer les fichiers illégaux sur un virus.

Et dans un autre pays, il se peut que la possession du fichier soit illégale, mais des preuves doivent être présentées que c'est le suspect qui a placé les fichiers et non un virus.

Dans le second cas, l'enquêteur peut avoir besoin de démarrer l'ordinateur pour voir ce qui démarre au démarrage dans démarrage automatique / exécution / runonce.

En d'autres termes, les criminels sont par nature malveillants, donc tout ce qui pourrait contester la validité des preuves devant la Cour doit être protégé à tout prix. De plus, si le criminel a mis un piège qui détruit automatiquement les preuves, il ne s'agira PAS dans bien des cas de «destruction de preuves», par opposition à la suppression manuelle de quelque chose. Cela pourrait être un désastre si l'écriture est autorisée.

Un processus matériel isolé est beaucoup plus sécurisé qu'un processus logiciel, les bloqueurs d'écriture sont donc utilisés par les enquêteurs pour protéger leur matériel contre la destruction, de la même manière que les professionnels de la sécurité utilisent des cartes à puce et des jetons pour éviter que leurs secrets ne soient compromis.