msuhanov Jan 23 2017 at 09:15

Аппаратные или программные блокираторы записи — что надежнее?

14 min

14K

BI.ZONE corporate blogInformation Security*

+15

Comments 9

ElectroGuard Jan 23 2017 at 15:53

Являются ли аппаратные блокираторы записи более надежными по сравнению с программными?

думаю да:

site6893 Jan 23 2017 at 18:00

Мимо!

На самом деле єто самый настоящий програмный блокиратор, эта пластмаска внутри карты ничего не переключает, там даже нет никакого переключателя.

Переключатель на самом деле стоит в слоте для карты, и обрабатывается програмно, и бывает тупо игнорируется.

rfvnhy Jan 23 2017 at 18:46

Причем игнорируется он иногда намеренно.
например SD карта (в фотоаппарате Canon) с «альтернативной прошивкой» (на самом деле там ничего не шьется, это скорее программа-надстройка) превращается в «обычную» если запись разрешена и в источник «прошивки» если «запись запрещена»
Так я впервые (лет 5 назад) узнал что этот рычажок программный локер.

ElectroGuard Jan 23 2017 at 19:04

Печально, если так.

lomalkin Jan 25 2017 at 07:58

Он может быть аппаратным, когда концевик (в считывателе) подключен к ноге контроллера WD (WriteDisable), но в общем случае все это зависит от реализации, сразу невозможно понять.

lomalkin Jan 25 2017 at 07:55

Спасибо за статью. А как все это работает с FLASH памятью, в частности обработка инструкции TIRM? Или когда модификация данных происходит по инициативе контроллера, а не по команде с внешнего интерфейса.
Про проблемы с этим писали еще 5 лет назад: Флеш-память: проблемы для компьютерной криминалистики

msuhanov Jan 27 2017 at 17:29

Или когда модификация данных происходит по инициативе контроллера, а не по команде с внешнего интерфейса.

С этим ничего на уровне блокиратора записи сделать нельзя. То же самое относится и к ситуации, когда накопитель возвращает содержимое команды чтения в качестве содержимого сектора, в который еще не производилась запись.

А как все это работает с FLASH памятью, в частности обработка инструкции TIRM?

Пока не видел случаев, когда эта или подобная команда проходит через блокиратор записи. Но видел криминалистические дистрибутивы, в которых для смонтированных файловых систем запускается fstrim (по расписанию).

lomalkin Jan 27 2017 at 21:11

Т.е. на данный момент криминалистика допускает модификацию данных на FLASH, т.к. с этим ничего принципиально сделать нельзя?
Мне не совсем понятно в этом случае, как учитывается тот факт, что данные априори изменены. (и зачем принудительно запускать fstrim, если это гарантировано ведет к модификации данных?) Такие улики в итоге считаются легитимными?

msuhanov Jan 27 2017 at 21:37

Т.е. на данный момент криминалистика допускает модификацию данных на FLASH, т.к. с этим ничего принципиально сделать нельзя?

Да.

и зачем принудительно запускать fstrim, если это гарантировано ведет к модификации данных?

Недочет при адаптации Ubuntu к решению криминалистических задач.

Мне не совсем понятно в этом случае, как учитывается тот факт, что данные априори изменены. [...] Такие улики в итоге считаются легитимными?

К цифровым доказательствам можно предъявлять требования:
1. вытекающие из технических и методических соображений;
2. происходящие из требований законодательства;
3. происходящие из судебной практики (толкования требований законодательства судами).

Если говорить о технической и методической сторонах, то я не вижу ничего плохого в том, чтобы признавать изменения исследуемых данных допустимыми, если эти изменения могут быть идентифицированы и объяснены, при условии, что такие изменения не искажают конкретные данные (файлы и т. п.), имеющие значение для дела. Хотя, с идентификацией и объяснением вносимых изменений есть проблемы…

А требования законодательства и судебная практика различаются в разных странах. В России, например, эксперт может изменять исследуемые объекты с разрешения лица, назначившего судебную экспертизу.