Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Write Blocker

Durante la fase di acquisizione dei dati dall’hard disk, è necessario garantire un blocco dell’accesso in scrittura per mantenere l’integrità  della prova.

Nella maggiore parte dei casi, infatti, collegando l’hard disk ad un computer, avvengono delle modifiche ai dati in esso contenuti (a causa delle operazioni di mounting). Queste modifiche possono riguardare, ad esempio,  la data di ultimo accesso o modifica di un file (es. un file di log), e invalidare la prova.

Esistono due differenti metodologie per garantire il write blocking:

  • Write blocker software
  • Write blocker hardware

Write Blocker Software

Il blocco in scrittura a livello software si può ottenere agendo sull’operazione di mounting dell’hard disk da parte del sistema operativo.
In generale quando un hard disk viene collegato ad un elaboratore, il sistema operativo lo mette a disposizione dell’utente per effettuare operazioni di lettura e scrittura.
A seconda del sistema operativo utilizzato sulla macchina forense di acquisizione, si possono adottare opportuni accorgimenti per impedire il flusso bidirezionale della comunicazione e consentire un accesso in modalità  di sola lettura.

In ambiente Microsoft Windows (da Windows XP SP2 in avanti), è possibile agire a livello di registro di sistema per proteggere da scrittura i dispositivi USB. Una volta attivato questo blocco è possibile collegare l’hard disk da acquisire alla macchina forense, utilizzando un’adeguata interfaccia di conversione (USB/IDE, USB/SCSI, USB/S-ATA, ecc.).
Alcuni utili tool gratuiti per il blocco in scrittura delle porte USB in ambiente Windows sono:

In ambiente Linux i volumi possono essere montati direttamente in modalità  read only. Le distribuzioni di acquisizione forense adottano questa tecnica.

La scelta di un write blocking software è indubbiamente economica,  perché non richiede l’acquisto di particolari dispositivi. Ovviamente il digital forenser deve testare costantemente la validità  di questa metodologia con la nascita e lo sviluppo dei nuovi standard di connessione.

 Write blocker hardware

Un write blocker hardware è invece un dispositivo fisico che viene interposto tra l’hard disk e la macchina di acquisizione forense (per questo motivo è anche detto “forensic bridge“). Questi dispositivi, oltre ad essere flessibili, facilmente trasportabili e semplici da utilizzare, sono anche più comprensibili per interlocutori non tecnici (es. un giudice). Esistono anche modelli che possono essere installati in maniera permanente in un bay della workstation di acquisizione.

I write blocker solitamente integrano diverse tipologie di interfaccia (IDE, SATA, SCSI, USB, Firewire ecc.) e vengono collegati alla macchina di acquisizione tramite connessione USB o Firewire. Necessitano di una fonte di alimentazione e vengono forniti con cavi di collegamento e conversione.

I principali produttori di write blocker hardware sono:

Ovviamente esistono anche strumenti di write blocking per altri tipi  di risorse, come i card reader forensi, che consentono un accesso in sola lettura durante il trattamento di schede di memoria (SD, SDC, xD, MMC, CF, ecc.).

Alcuni produttori offrono, inoltre, dei kit di write blocking per rendere il digital forenser in grado di operare con il maggior numero possibile di interfacce e dispositivi differenti. Includono solitamente cavi, adattatori, strumenti di foto/video ripresa e buste isolanti per il trasporto degli hard disk.