読み取り専用のマウントがある場合、書き込みブロッカーが必要なのはなぜですか？

Linuxのフレーバーを使用していて、次のコマンドを使用してパーティションをマウントするとします。

sudo mount -o ro /dev/sdc1 /mnt

OSとユーザーがmountアクセス許可を変更せずにディスクに書き込むことができないように、パーティションは読み取り専用であることが想定されています。

ForensicsWikiから：

書き込みブロッカーは、ドライブの内容を誤って損傷する可能性を生み出すことなく、ドライブ上の情報を取得できるデバイスです。これを行うには、読み取りコマンドの通過を許可しますが、書き込みコマンドをブロックすることにより、その名前を使用します。

これは偶然のフラグを防ぐためだけにあるように私には思えます。このページには、一部の書き込みブロッカーには、損傷を防ぐためにディスクの速度を落とすなどの追加機能があることも記載されています。ただし、これは書き込みをブロックするだけの単純なものであると想定しましょう。

読み取り専用モードでディスクをマウントするだけの場合、書き込みブロッカーなどを購入する意味は何ですか？これは、書き込み権限を伴う誤ったマウントコマンド（ユーザーエラー、場合によっては許可されない、つまり刑事事件）などを防ぐためだけのものですか、それともファイルシステムの動作に関する詳細な機能が不足していますか？

注：一部のSSDはデータを継続的にシャッフルすることを認識しています。質問にそれらを含めるかどうかはわかりません。それはそれをはるかに複雑にするようです。

デジタルフォレンジック、セキュリティと法のジャーナルは 優れた記事がありWRITE遮断薬の非存在下におけるフォレンジックイメージOF A STUDYフォレンジックが書き込みブロッカーととなしの両方のキャプチャ分析します。ジャーナルから：

デジタルフォレンジックのベストプラクティスでは、デジタルメディアのフォレンジックイメージを作成するときに書き込みブロッカーを使用する必要があり、これは何十年もの間、コンピュータフォレンジックトレーニングの中心的な信条でした。この手法は非常に根深いため、書き込みブロッカーなしで作成されたイメージの整合性はすぐに疑われます。

単にファイルシステムをマウントすると、読み取り/書き込みが発生する可能性があります。ext3 / 4やxfsからNTFSまでの多くの最新のファイルシステムには、ファイルシステム自体に関するメタデータを保持するジャーナルがあります。停電、不完全なシャットダウン、またはいくつかの理由がある場合、このジャーナルは自動的に読み取られ、ドライブ全体のファイル構造に書き戻され、ファイルシステム自体の一貫性が維持されます。これは、ファイルシステムが読み書き可能かどうかに関係なく、マウントプロセス中に発生する可能性があります。

たとえば、からのext4のドキュメントroオプションの意志をマウント...

ファイルシステムを読み取り専用でマウントします。「読み取り専用」でマウントされている場合でも、ext4はジャーナルを再生する（したがって、パーティションに書き込む）ことに注意してください。マウントオプション「ro、noload」を使用すると、ファイルシステムへの書き込みを防止できます。

これらのドライバーレベルの変更はファイルの内容には影響しませんが、保管のチェーンを維持するために、収集時に証拠の暗号化ハッシュを取得することはフォレンジック標準です。現在保持されている証拠のハッシュ、つまりsha256が収集された証拠と一致することを示すことができれば、分析プロセス中にドライブのデータが変更されていないことを合理的な疑いを超えて証明できます。

デジタル証拠は、ほぼすべての犯罪カテゴリの証拠として引用できます。法医学捜査官は、証拠として取得したデータが、キャプチャ、分析、および制御中に変更されていないことを完全に確認する必要があります。弁護士、裁判官、陪審員は、コンピュータ犯罪事件で提示された情報が正当なものであることを確信する必要があります。捜査官はどのようにして彼または彼女の証拠が法廷で受け入れられることを確実にすることができますか？

国立標準技術研究所（NIST）によると、調査官はディスクの内容を変更する可能性のあるプログラムの実行を防ぐために設計された一連の手順に従います。http://www.cru-inc.com/data-protection-topics/writeblockers/

書き込みブロッカーは理由場合、必要がある任意のビットの変化いかなる理由-OS、ドライバレベル、ファイル・システム・レベルまたは分析システムがもはや一致し、証拠として、ドライブの許容性は、対収集の下に、次にハッシュすることができること質問した。

したがって、書き込みブロッカーは、ユーザーまたはソフトウェアに関係なく、低レベルの変更の可能性に対する技術的な制御であると同時に、変更が行われていないことを保証するための手続き的な制御でもあります。変更の可能性を取り除くことにより、分析された証拠が収集された証拠と一致することを示すために使用されるハッシュをサポートし、多くの潜在的な証拠処理の問題と質問を防ぎます。

JDFSL記事の分析によると、書き込みブロッカーがなければ、テストしたドライブに変更が加えられました。ただし、反対に、個々のデータファイルのハッシュはそのまま残ります。そのため、書き込みブロッカーなしで収集された証拠の健全性についての議論は存在しますが、業界のベストプラクティスとは見なされていません。

確信がない。@jakegouldは法的および技術的な理由の多くをカバーしているので、運用上の理由に焦点を合わせています。

まず、そのようなドライブをマウントするのではなく、デバイス全体をイメージします。ファイルシステムのアクセス許可を使用できるという前提が間違っています。DDのいくつかのフレーバー、またはデフォルトで機能する読み取り専用を含む必要がある特殊な取得ツールを使用します。

フォレンジックは、すべての段階で証拠を改ざんしていないこと、および変更を加えていないドライブの検証済みコピーを提供できることを完全に確実にすることをすべてです。（実際には、ライブフォレンジックを実行する必要がない限り、疑わしいハードドライブを1回タッチするだけでそれをイメージできます）したがって、取得ツールは読み取り専用であることに加えて、混乱を防ぐ2番目の防御線として機能します。

書き込みブロッカーは特定のことを行います。

1. ドライブが実際に読み取り専用であることを証明する負担を軽減します
2. では、より idiotproof方法-それはあなたの「買収」リグ/プロセスの一部となり、
3. メーカーがそうすることが保証されているデバイスを使用して-これは証拠/インシデントログに必要なものです。

ある意味では、証拠収集のプロセスに組み込まれ、虚弱な人間自身が台無しにしてしまうことが1つ少なくなります。ソースドライブが書き込まれていないことの確認に加えて、ソースと宛先を混在させると、節約になる可能性があります。 。

要するに、それは一つの可能な主要な弱点を取り除く。「ドライブを読み取り専用でマウントしましたか」または「ソースとデスティネーションをddでスワップしましたか？」について考える必要はありません。

あなたはそれをフックし、証拠を上書きしても心配する必要はありません。

あなたはこれを述べます：

読み取り専用モードでディスクをマウントするだけの場合、書き込みブロッカーなどを購入する意味は何ですか？

高度な非技術レベルで、証拠のデータがどのように収集されるかを論理的に見てみましょう。そして、これらすべての鍵は中立です。

あなたは…の疑いを持っています…法的または潜在的に法的事件の何か。彼らの証拠は可能な限り中立的に提示されなければならない。物理的な文書の場合、印刷物を取り出して安全な場所に物理的に保管できます。データは？コンピュータシステムの性質には、本来、データ操作の問題があります。

あなたはボリュームを「読み取り専用」として論理的にマウントすることができると述べていますが、あなたは誰ですか？そして、法廷や捜査官のように、あなたではない誰かがあなたのスキル、システム、専門知識をどのように信頼できますか？システムを特別なものにしているバックグラウンドプロセスがシステムに突然ポップアップし、プラグインした2番目にシステムのインデックス作成を開始できないのはなぜですか？そして、それをどのように監視しますか？では、ファイルメタデータについてはどうでしょうか。ファイルのMD5は役に立ちますが、ファイル内のメタデータの1つの文字が変更された場合はどうなるでしょうか。MD5が変更されます。

結局のところ、あなたの個人的な技術的スキルが、調査官や裁判所などに可能な限り中立的にデータを提示する能力に影響を及ぼさないという素晴らしい計画の中にあります。

書き込みブロッカーを入力します。これは魔法のような装置ではありません。それは明らかに基本レベルでのデータ書き込みをブロックし、他には何ですか？まあ、それはそれがするすべてのことであり、それが今までにすべきこと（またはしないこと）のすべてです。

書き込みブロッカーは、1つのタスクと1つのタスクを適切に実行する、業界で認められた標準に基づいて他社が作成した中立的なハードウェアです。

調査官、裁判所、またはその他の人々に対して、書き込みブロッカーの使用は基本的に次のように述べられています。私が同意している物理デバイスを使用しているので、このデータにアクセスして書き込みを禁止し、そうであることを全員に示しています。これは、必要なことを行うために必要な証拠です。」

したがって、「書き込みブロッカーなどを購入する」ことのポイントは、中立的なデータアクセスと収集のための有効なツールとして世界中の人々に広く認められているツールを購入することです。そして、あなた以外の誰かが同様の書き込みブロッカーを使用してデータにアクセスした場合、それらのユーザーも同じデータを受け取ります。

もう1つの実例は、ビデオカメラの証拠です。さて、はい、ビデオの証拠が改ざんされるリスクがあります。しかし、あなたが犯罪を目撃し、容疑者を見て、彼らがそれをしたことを知っているとしましょう。法廷では、証人としてのあなたの誠実さは、彼らが彼らのクライアントを守ることを求めるように防御することによって、内省されます。しかし、あなたの目撃者の報告に加えて、警察が起こっている犯罪のビデオ映像を警察が取得したとしましょう。ニュートラルイメージキャプチャデバイスの公平で点滅しない目は、あなたの主張のほとんどの疑問を解消します。つまり、人間ではないがデータを記録できる「ロボット」のことは、あなたの言葉や信頼だけでなく、抗議に対する訴訟手続きをバックアップすることになります。

現実は、法と合法性の世界は、確かに、具体的で具体的で、反論の余地のない物理的証拠に帰着します。また、書き込みブロッカーは、物理データの証拠を可能な限りクリーンにするツールです。

書き込みブロッカーが使用される理由は、犯罪者がイベント時に証拠を破壊するトラッププロセスを置く可能性があるためです（不正なパスワードの試行、特定のサーバーへの到達不能、偽のファイルへのアクセスの試行など）。

トラッププロセスは基本的に、デバイスを読み書き可能で再マウントすることもできます。

確実にする唯一の方法は、ハードウェアデバイスを使用することです。一部のハードウェアライトブロッカーには、ライトブロッキング機能を無効にできるスイッチがありますが、主な重要なことは、ハードウェアがソフトウェア信号に反応するようにプログラムされていない場合、ソフトウェアがハードウェアに影響を与えないことです。

同じ考え方がUSBメモリにも適用できるため、一部のUSBメモリには物理的な書き込み保護スイッチがあります。

調査員は容疑者のOSを起動できる必要がある場合があります。そのため、調査員はトラッププロセスに注意する必要があります。

責任の法律が異なるため、調査プロセスは国によって異なります。一部の国では、特定のファイルを単に所有することは違法であり、コンピュータを安全に保つのはあなたの責任であり、違法なファイルをウイルスのせいにすることはできません。

そして別の国では、ファイルの所持が違法である可能性がありますが、ファイルではなくウイルスを配置したのは容疑者だったという証拠を提示する必要があります。

2番目のケースでは、autostart / run / runonceの起動時に何が起動しているかを確認するために、調査員がコンピューターを起動する必要がある場合があります。

言い換えれば、犯罪者は本来悪意があるため、法廷での証拠の有効性に異議を唱える可能性のあるものはすべて、あらゆるコストで保護する必要があります。また、犯罪者が証拠を自動的に破壊する罠を仕掛けた場合、手動で何かを削除するのではなく、多くの場合、それは「証拠の破壊」ではありません。書き込みが許可されている場合は、惨事になる可能性があります。

分離されたハードウェアプロセスはソフトウェアプロセスよりもはるかに安全であるため、セキュリティ担当者がスマートカードとトークンを使用して機密情報が侵害されるのを防ぐのと同じように、調査官は書き込みブロッカーを使用して資料を破壊から保護します。