Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > WriteBlocker

WriteBlocker

In deze post wil ik het graag hebben over een stukje onmisbare techniek. Zeker wanneer we aan de slag gaan met forensische data kopieën is deze techniek onmisbaar. We hebben het hier over de “WriteBlocker” of op zijn Nederlands, de “Schrijfblokker”.

Een WriteBlocker zorgt ervoor dat de inhoud van een station kan worden verkregen zonder dat de inhoud van die schijf wordt “aangeraakt”. Op deze manier voorkom je dat b.v. het host OS data of metadata op de schijf veranderd, verplaatst of verwijderd. Met een WriteBlocker krijg je dus de originele en ongemodificeerde inhoud van een HD. Een WriteBlocker wordt dus meestal gebruikt om een forensische kopie te maken van apparaat of harde schijf. Een forensische kopie moet ongemodificeerd blijven zodat eventuele bewijslast kan worden bewezen.

Een WriteBlocker laat “lees” opdrachten door maar blokkeert alle “schrijf” opdrachten. Er bestaan 2 soortsen schrijfblokkers, namelijk hardware en software varianten. Een software WriteBlocker bestaat (uiteraard) uit een stukje software voor een specifiek OS en zal eveneens proberen de schrijfopdrachten naar een specifieke disk te blokkeren. De kans dat de software WriteBlocker hierin faalt is echter iets groter als bij een hardware WriteBlocker. Daarom wordt ook altijd aangeraden om indien mogelijk altijd een hardware WriteBlocker te gebruiken. Dit is echter niet altijd mogelijk. Denk b.v. aan build-in memory bij apparaten zoals een UltraBook. Mocht je toch kiezen voor een software WriteBlocker dan is het “best-practise” om te werken met een Linux distrubie i.p.v. met een Windows machine. Windows schrijft namelijk een stuk meer weg naar HD’s dan Linux. Gebruik b.v. een Linux based forensic suite zoals Caine of Paladin. Een goede Windows WriteBlocker is bijvoorbeeld SAFE Block. Helaas is deze nogal prijzig. Een gratis USB Write blocker is b.v. de Sécurité Multi-Secteurs WriteBlocker.

Hardware WriteBlockers

Als we gaan kijken naar hardware WriteBlockers dan bestaan deze in 2 varianten. Namelijk de Native en de Tailgate variant. De Native variant gebruikt dezelfde interface voor zowel de input als de output van de data (SATA naar SATA). Een Tailgate WriteBlocker kan voor de output een andere interface gebruiken dan voor de input. Bijvoorbeeld SATA naar USB3.

Hardware WriteBlockers kunnen eveneens voorzien zijn van een schijfbeveiliging functie. Deze WriteBlockers zorgen ervoor dat de aangesloten schijf niet op maximale snelheid functioneert waardoor de mogelijkheid tot leesfouten wordt teruggebracht en waardoor schijven die niet op hoge snelheid kunnen worden gelezen (UDMA-modi) toch gelezen kunnen worden in de langzamere (PIO) modi.

Bekende hardware WriteBlockers zijn o.a. van de merken Tableau en WiebeTech en kosten gemiddeld tussen de 400 en 2000 euro. Deze WriteBlockers zijn zo duur omdat ze gecertificeerd zijn volgens Amerikaanse wet- en regelgeving. In Amerika zijn de criteria van een forensische back-up namelijk een stuk hoger. Om die reden mogen alleen gecertificeerde apparaten gebruikt worden. Als een forensische back-up gemaakt is met een niet-gecertificeerde WriteBlocker dan zal deze niet als geldig worden aangemerkt tijdens een rechtszaak. Rechters en juryleden moeten absoluut zeker zijn dat de gegevens die zij als bewijsmateriaal hebben verkregen, op geen enkele manier zijn gewijzigd tijdens het vastleggen, analyseren en controleren. In Nederland zijn we wat minder streng en is het momenteel voldoende als de forensische back-up gemaakt is met een WriteBlocker volgens een vastgestelde procedure door een gecertificeerd forensisch onderzoeker.
Volgens de NIST (National Institute of Standards and Technology (NIST)) moet zelfs de volgende procedure gevolgd worden voor het verkrijgen van een forensische back-up:

  • Als het mogelijk is plaats dan de hardware jumpers op de schijf zo zodat deze “read-only” wordt
  • Gebruik een OS en tools waarop je kunt vertrouwen dat deze geen aanpassingen naar de disk schrijven mits expliciet opgedragen
  • Gebruik een gecertificeerde WriteBlocker

De nadelen van een hardware WriteBlocker zijn ook wel duidelijk toch? Je hebt altijd weer dat extra stukje hardware dat je mee moet nemen, welke kan falen en welke defect kan gaan en dus vervangen moet worden.

Ik zelf maak gebruik van een CoolGear SS-127ASD WriteBlocker welke voor nog geen 7 tientjes te koop is via Amazon en prima prestaties levert, zowel qua snelheid als qua duurzaamheid. Op deze CoolGear kunnen 2.5 als 3.5 inch schijven gekoppeld worden en hij heeft een IDE en een SATA interface. Deze WriteBlocker wordt middels USB3 aan je computer gekoppeld. De CoolGear SS-127ASD is dan ook een echte aanbeveling voor iedereen die zelf Forensische back-ups wilt maken.

Hopelijk was bovenstaande informatie nuttig. Als je aanvullingen hebt schroom dan niet om deze met me te delen! En verder graag delen, doorvertellen en thumbs-up 🙂

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top