읽기 전용으로 마운트 할 때 쓰기 차단기가 필요한 이유는 무엇입니까?

우리가 리눅스의 맛을 사용하고 다음 명령을 사용하여 파티션을 마운트한다고 가정 해 봅시다.

sudo mount -o ro /dev/sdc1 /mnt

파티션은 읽기 전용이므로 OS 및 사용자는 mount권한 을 변경하지 않고 디스크에 쓸 수 없습니다 .

로부터 ForensicsWiki :

쓰기 차단기는 실수로 드라이브 내용을 손상시키지 않고 드라이브에 대한 정보를 수집 할 수있는 장치입니다. 읽기 명령은 통과하지만 쓰기 명령을 차단하여 이름을 지정하면됩니다.

이것은 단지 우연한 깃발을 막기위한 것 같습니다. 이 페이지에는 또한 디스크 쓰기 속도를 낮추어 손상을 방지하는 등 일부 쓰기 차단 기능에 추가 기능이 있다고 말합니다. 그러나이를 위해 글쓰기 만 차단할 수있는 단순한 책이라고 가정 해 봅시다.

디스크를 읽기 전용 모드로 마운트 할 수 있다면 쓰기 차단기와 같은 것을 구입하는 요점은 무엇입니까? 쓰기 권한이있는 실수로 마운트 명령 (일부 경우에는 허용되지 않는 사용자 오류, 예를 들어 형사 사건)과 같은 것들을 막는 데 도움이 되나요?

참고 : 일부 SSD는 지속적으로 데이터를 셔플한다는 것을 알고 있습니다. 질문에 SSD를 포함할지 여부는 확실하지 않습니다. 그것이 훨씬 더 복잡해 보일 것 같습니다.

디지털 포렌식, 보안 및 법률 저널은 훌륭한 기사가 WRITE 차단제의 부재에서 법정 IMAGING의의 연구 로 및 쓰기 차단제없이 모두 법의학 캡처를 분석한다. 저널에서 :

디지털 포렌식의 모범 사례는 디지털 미디어의 포렌식 이미지를 만들 때 쓰기 차단기의 사용을 요구하며 이는 수십 년 동안 컴퓨터 포렌식 교육의 핵심 교리였습니다. 실제로는 쓰기 차단없이 생성 된 이미지의 무결성이 즉시 의심됩니다.

파일 시스템을 마운트하면 읽기 / 쓰기가 발생할 수 있습니다. ext3 / 4 및 xfs 에서 NTFS에 이르는 많은 최신 파일 시스템에는 모두 파일 시스템 자체에 대한 메타 데이터를 유지 하는 저널 이 있습니다. 전원이 끊기거나 불완전한 종료 또는 여러 가지 이유로 인해이 저널은 파일 시스템 자체의 일관성을 유지하기 위해 드라이브의 파일 구조에 자동으로 읽혀지고 다시 쓰여집니다. 파일 시스템이 읽기 / 쓰기인지 여부에 관계없이 마운트 프로세스 중에 발생할 수 있습니다.

예를 들어, ext4 문서 에서 ro마운트 옵션은 ...

파일 시스템을 읽기 전용으로 마운트하십시오. ext4는 "읽기 전용"으로 마운트 된 경우에도 저널을 재생하므로 파티션에 기록합니다. 마운트 옵션 "ro, noload"를 사용하여 파일 시스템에 대한 쓰기를 방지 할 수 있습니다.

이러한 드라이버 수준 변경 은 파일 의 내용 에 영향을 미치지 않지만 수집 체인을 유지하기 위해 수집시 증거의 암호화 해시를 취하는 것은 법의학 표준입니다. 현재 보유하고있는 증거의 해시 (예 : sha256)가 수집 된 것과 일치 함을 보여줄 수 있다면, 분석 과정에서 드라이브의 데이터가 수정되지 않았 음을 의심 할 여지가 없습니다.

디지털 증거는 거의 모든 범죄 범주에서 증거로 인용 될 수 있습니다. 법의학 수사관은 수집, 분석 및 제어 중에 증거로 얻은 데이터가 어떤 식 으로든 변경되지 않았 음을 절대적으로 확신해야합니다. 변호사, 판사 및 배심원은 컴퓨터 범죄 사건에 제시된 정보가 합법적임을 확신해야합니다. 수사관은 자신의 증거가 법정에서 받아 들여 지도록 어떻게 확신 할 수 있습니까?

NIST (National Institute of Standards and Technology)에 따르면, 조사관은 디스크 내용을 수정할 수있는 모든 프로그램의 실행을 방지하도록 설계된 일련의 절차를 따릅니다. http://www.cru-inc.com/data-protection-topics/writeblockers/

쓰기 차단제는 경우 때문에, 필요한 모든 비트에 대한 변경 어떤 분석 시스템 대 수집이 더 이상 일치의 해시 이유-OS, 드라이버 레벨, 파일 시스템 수준 이하 - 다음, 증거로 드라이브의 적격성을 할 수 있을 의문.

따라서 쓰기 차단 기능은 하위 수준 변경 가능성에 대한 기술적 제어 및 사용자 나 소프트웨어에 관계없이 변경 사항이 없음을 보장하는 절차 적 제어입니다. 변경 가능성을 제거함으로써 분석 된 증거가 수집 된 증거와 일치 함을 표시하는 데 사용되는 해시를 지원하고 많은 잠재적 증거 처리 문제 및 질문을 방지합니다.

JDFSL 기사의 분석에 따르면 쓰기 차단 기능이 없으면 테스트 한 드라이브가 변경되었습니다. 그러나 반대로 개별 데이터 파일 해시는 여전히 손상되지 않으므로 쓰기 차단없이 수집 된 증거의 건전성에 대한 논쟁이 존재하지만 업계 최고의 실습으로 간주되지는 않습니다.

확실 하지 않습니다 . @jakegould는 수많은 법적 및 기술적 이유를 다루므로 운영상의 이유에 중점을 둡니다.

첫째, 그런 드라이브는 절대 마운트 하지 않으며 전체 장치 를 이미지화 합니다. 파일 시스템 권한을 사용할 수 있다는 핵심 전제 는 잘못되었습니다. 기본적으로 작동하는 읽기 전용을 포함 해야하는 일부 DD 또는 특수한 수집 도구를 사용하게됩니다.

법의학은 모든 단계에서 증거를 무단 변경하지 않았 으며 변경없이 드라이브 의 검증 된 사본을 제공 할 수 있다는 것을 절대적으로 확신 합니다. (사실, 라이브 포렌식을 수행하지 않으면 의심스러운 하드 드라이브를 한 번만 터치 하여 이미지를 생성 할 수 있습니다.) 수집 도구는 읽기 전용 일뿐만 아니라 엉망에 대한 두 번째 방어선 역할을합니다.

쓰기 차단기는 특정 작업을 수행합니다.

1. 드라이브가 실제로 읽기 전용 임을 증명하는 부담을 이동시킵니다.
2. A의 더 idiotproof 방법 - 그것은 당신의 '수집'장비 / 공정의 일부가
3. 와 장치 당신의 증거 / 사고 로그에 당신이 원하는 무언가이다 - 제조자에 의해 그렇게하도록 보장.

어떤 의미에서 그것은 증거 수집 과정 으로 들어가고 연약한 인간 자신이 엉망이되는 일이 적습니다. 소스 드라이브가 작성되지 않았 음을 확인하는 것 외에도 소스와 대상을 혼합하면 절약 할 수 있습니다 .

요컨대 그것은 가능한 한 큰 약점을 취 합니다. '드라이브를 읽기 전용으로 마운트 했습니까?'또는 '내 소스와 대상을 dd로 바 꾸었습니까?'에 대해 생각할 필요가 없습니다.

당신은 그것을 연결하고, 당신이 당신의 증거를 덮어 쓴 경우 걱정할 필요가 없습니다.

당신은 이것을 진술합니다 :

디스크를 읽기 전용 모드로 마운트 할 수 있다면 쓰기 차단기와 같은 것을 구입하는 요점은 무엇입니까?

기술 수준이 높지 않은 높은 수준에서 논리적으로 증거 데이터를 수집하는 방법을 살펴 보겠습니다. 그리고이 모든 것의 핵심은 중립입니다.

당신은 용의자가 있습니다 ... 법적 또는 잠재적으로 법적 사건에 뭔가. 그들의 증거 는 가능한 중립적으로 제시 되어야 합니다. 실제 문서의 경우 인쇄물을 가져 와서 안전한 곳에 보관하면됩니다. 데이터? 컴퓨터 시스템의 특성상 본질적으로 데이터 조작 문제가 있습니다.

당신이“읽기 전용”으로 볼륨을 논리적으로 마운트 할 수 있다고 말하면서 당신은 누구입니까? 법원이나 수사관과 같이 귀하가 아닌 사람이 귀하의 기술, 시스템 및 전문 지식을 어떻게 신뢰할 수 있습니까? 시스템을 특별하게 만드는 이유는 백그라운드 프로세스가 갑자기 시스템에 팝업되어 플러그를 꽂은 다음에 인덱싱을 시작할 수 없다는 것을 의미합니까? 그리고 당신은 그것을 어떻게 감시 할 것인가? 그리고 파일 메타 데이터는 어떻습니까? MD5는 파일에 유용하지만… 파일에서 메타 데이터의 한 문자가 변경되면 무엇을 추측 할 수 있습니까? MD5가 변경됩니다.

결론은 개인 기술 기술이 조사관, 법원 또는 다른 사람에게 가능한 한 중립적으로 데이터를 제시 할 수있는 능력과 관련이없는 훌륭한 계획입니다.

쓰기 차단기를 입력하십시오. 이것은 마술 같은 장치가 아닙니다. 기본 수준의 데이터 쓰기와 그 밖의 내용을 명확하게 차단합니까? 글쎄, 그게 다야. 그리고 그것이 해야 할 (또는하지 말아야 할) 전부 입니다.

쓰기 차단기는 하나의 작업과 하나의 작업을 잘 수행하는 다른 회사에서 업계에서 인정한 표준으로 만든 중립적 인 하드웨어입니다. 데이터 쓰기 방지.

조사자, 법원 또는 타인에게 쓰기 차단 사용은 기본적으로 다음과 같이 말합니다 . 물리적 인 장치를 사용하고 있습니다. 모두가이 데이터에 액세스하여 쓰기를 금지한다는 데 동의합니다. 예, 이것이 여러분이해야 할 일을해야한다는 증거입니다.”

따라서“쓰기 차단기와 같은 것을 구매하는 것”의 요점은 전 세계 사람들이 중립적 인 데이터 액세스 및 수집을위한 유효한 도구로 널리 인식하는 도구를 구입하는 것입니다. 그리고 귀하가 아닌 다른 사람이 유사한 쓰기 차단 기능을 사용하여 데이터에 액세스하는 경우 동일한 데이터를 반환합니다.

또 다른 실제 예는 비디오 카메라 증거입니다. 이제 비디오 증거가 변조 될 위험이 있습니다. 그러나 당신이 범죄를 목격하고 용의자를보고 그들이 한 일을 알고 있다고 가정 해 봅시다. 법정에서 귀하의 증인으로서의 충절은 그들이 고객을 변호하려고 할 때 변호인이 알게 될 것입니다. 그러나 목격자 보고서 외에도 경찰이 범죄 사건에 대한 영상을 얻습니다. 중립적 이미지 캡처 장치의 공정하고 깜빡이는 눈은 당신의 주장에 대한 의심을 가장 많이 안겨줍니다. 즉, 인간이 아니라 데이터를 기록 할 수있는 "로봇"이라는 말은 단지 당신의 말 / 신뢰 만이 아니라 변호에 대한 기소 사건을 뒷받침 할 것입니다.

현실은 법의 세계이며 합법성은 실제로 확실하고, 실체가 있으며, 거의 반박 할 수없는 물리적 증거로 귀결됩니다. 또한 물리적 데이터 증거를 최대한 깨끗하게하는 도구 인 쓰기 차단 도구입니다.

쓰기 차단기가 사용되는 이유는 범죄자들이 이벤트에 대한 증거를 파괴하는 트랩 프로세스를 넣었을 수 있기 때문입니다 (잘못된 비밀번호 시도, 특정 서버에 도달하지 못하거나 가짜 파일에 액세스하려는 시도 등).

모든 트랩 프로세스는 기본적으로 장치를 읽기 / 쓰기로 다시 마운트하려고 시도 할 수 있습니다.

확실한 유일한 방법은 하드웨어 장치를 사용하는 것입니다. 일부 하드웨어 쓰기 차단기에는 쓰기 차단 기능을 비활성화 할 수있는 스위치가 있지만 가장 중요한 것은 하드웨어가 소프트웨어 신호에 반응하도록 프로그래밍되지 않은 경우 소프트웨어가 하드웨어에 영향을 줄 수 없다는 것입니다.

USB 메모리에도 동일한 포트를 적용 할 수 있는데, 일부 USB 메모리에는 물리적 쓰기 방지 스위치가 있습니다.

때로는 수사관이 용의자의 OS를 부팅 할 수 있어야하므로 수사관이 트랩 프로세스에주의해야합니다.

조사 절차는 책임법이 다르기 때문에 국가마다 다릅니다. 일부 국가에서는 특정 파일을 소유하는 것이 불법이며 컴퓨터를 안전하게 보호하는 것은 귀하의 책임이며 불법 파일을 바이러스에 대한 책임은 없습니다.

그리고 다른 국가에서는 파일을 소유하는 것이 불법 일 수 있지만 바이러스가 아닌 파일을 보관 한 용의자라는 증거가 제시되어야합니다.

두 번째 경우, 조사관은 부팅시 자동 시작 / 실행 / 실행 시간에 무엇이 시작되는지 확인하기 위해 컴퓨터를 부팅해야 할 수 있습니다.

다시 말해서, 범죄자들은 ​​본질적으로 악의적이므로 법원에서 증거의 유효성에 이의를 제기 할 수있는 모든 항목을 모든 비용으로 보호해야합니다. 또한 범죄자가 자동으로 증거를 파기하는 함정을 설치 한 경우, 수동으로 무언가를 삭제하는 것과는 달리 "증거의 파괴"가되지 않는 경우가 많습니다. 쓰기가 허용되면 재앙이 될 수 있습니다.

격리 된 하드웨어 프로세스는 소프트웨어 프로세스보다 훨씬 안전하므로, 보안 전문가가 스마트 카드와 토큰을 사용하여 비밀이 손상되는 것을 방지하는 것과 마찬가지로, 조사자는 쓰기 차단기를 사용하여 자료를 손상으로부터 보호합니다.