Извлечение данных с изъятых накопителей — важный шаг в процессе криминалистического исследования цифровых улик. В процессе исследования накопители извлекаются, после чего эксперт снимает с них полный образ. Вся последующая работа по извлечению и анализу собранной информации проводится не с физическим накопителем, а с образом диска. В этой статье мы расскажем о том, как обезопасить данные на оригинальном диске от случайной модификации с использованием аппаратной блокировки записи.

Для чего нужна блокировка записи

Извлечение данных для их последующего анализа — важный этап цифровой криминалистики. На этом этапе изъятые носители информации изолируются, а данные из них извлекаются, сохраняются на альтернативном носителе и защищаются от любых изменений. В рамках требований процессуального законодательства важно не допустить подделки цифровых доказательств и убедительно продемонстрировать, что для этого были предприняты все необходимые технические и организационные меры. О технических мерах, защищающих данные от нежелательной модификации в процессе извлечения, мы и поговорим.

Блокиратор записи

Блокираторы (блокировщики) записи — программные или аппаратные средства, не позволяющие случайно или намеренно модифицировать данные на исследуемом накопителе. На программном уровне блокировка записи реализована в нашем продукте Elcomsoft System Recovery, который позволяет создавать образы исследуемых дисков, загрузив компьютер с внешнего накопителя. В то же время более привычным для экспертов является способ, когда физические носители информации извлекаются из компьютера, а данные из них снимаются в виде образов в стандартных для аналитического ПО форматах — например, в популярный формат E01 (Encase Image File Format) для анализа либо в инструментарии разработчиков этого формата Encase, либо в одном из многочисленных сторонних пакетов. В этом случае необходимо предотвратить возможность модификации данных на оригинальном исследуемом накопителе, для чего и используются аппаратные или программные блокираторы записи. Из существующих аппаратных решений можем упомянуть продукты от Tableau, Digital Intelligence, Guardonix и Logicube.

Отметим в скобках, что практически все распространённые в криминалистике форматы образов поддерживают компрессию, что особенно полезно, когда занята лишь небольшая часть дискового пространства. Для многих типов носителей полезно копировать и незанятые области, т.к. с них часто удаётся восстановить удалённые данные.

Когда и как использовать блокиратор записи

Когда: Блокиратор записи следует использовать при подключении исследуемого накопителя к компьютеру эксперта перед созданием образа диска, клонированием накопителя или прямым исследованием смонтированного диска. Цель блокировщика записи — предотвратить возможные удаление, запись и модификацию цифровых улик. Подключать исследуемые накопители к компьютеру напрямую, без блокировщика записи, некорректно и опасно. Использование блокиратора записи предоставляет доступ к ним на чтение и только на чтение; ни случайная, ни намеренная модификация данных на исследуемом накопителе становится невозможной (за исключением фоновых процессов сборки мусора, которые происходят на твердотельных накопителях в процессе работы внутренних алгоритмов контроллера; подробнее об этом мы писали в статье Жизнь после Trim: как восстановить удалённые данные с накопителей SSD). Использование блокировщика записи означает, что повторное снятие образа с полностью исправного диска даст идентичный результат (за некоторыми оговорками, касающимися информации в «плохих» блоках или работы внутренних алгоритмов контроллеров твердотельных накопителей).

Блокировщики записи существуют и используются для всех распространённых протоколов, включая SATA, NVMe, SAS и USB. Последний используется при исследовании флеш-накопителей и SD-карт, которые подключаются через USB-адаптер. Иногда запись на карты памяти блокируют посредством интегрированных адаптеров; у некоторых производителей есть универсальные блокировщики, собранные в едином корпусе, в котором есть разъёмы SD, microSD и других распространённых форматов. Впрочем, гораздо чаще используют обычный кард-ридер, который подключается в заблокированный на запись адаптер USB.

Как: Аппаратный блокиратор записи подключается между носителем информации, с которого снимается образ, и компьютером эксперта. Аппаратные блокираторы записи могут быть совмещены с адаптером для подключения внешних накопителей к компьютеру, например, через порт USB; в этом случае накопитель подключается к блокиратору по стандарту NVME или SATA, на выходе которого — порт USB. В то же время для накопителей SATA встречаются блокировщики, у которых интерфейс SATA и на входе, и на выходе. Такие блокировщики подключаются через дополнительный адаптер USB либо напрямую к шлейфу SATA в компьютере эксперта. Интегрированные блокираторы (к ним, как правило, прилагается и комплект адаптеров для накопителей в разнообразных форм-факторах) удобнее, но существуют и отдельные адаптеры для интерфейсов USB и SATA.

Как проверить качество блокировки

Как программные, так и аппаратные блокировщики записи могут быть сертифицированы по соответствующим стандартам NIST. К аппаратным блокировщикам применимы стандарты, описанные в разделе Hardware Write Block (PDF), для программных — Software Write Block (PDF).

Для проверки качества блокировки записи компанией WiebeTech разработана специальная утилита WriteBlocking Validation Utility. При тестировании блокировщика (внимание: для проверки используйте чистый накопитель, на котором нет никаких ценных данных!) программа пытается модифицировать данные, отправляя на накопитель все существующие стандартные и экзотические команды записи. Забегая вперёд, так выглядит результат теста нашего блокиратора, успешно прошедшего проверку:

В процессе разработки мы постоянно проверяли качество блокировки. Изначально для дисков SATA статистика выглядела следующим образом:

В окончательном варианте успешно блокируются любые попытки записи на подключённый накопитель. Пока поддерживается только протокол SATA; блокиратор записи для накопителей NVME в процессе разработки.

Разработанный нами блокиратор прошёл проверку с твердотельным накопителем объёмом 8ТБ (нам пришлось доработать поддержку накопителей большого объёма, т.к. диски объёмом более 2.2ТБ поддерживают дополнительные команды, которые по умолчанию не блокируются).

Обратная сторона медали: скорость работы

Многие блокираторы оказывают заметное влияние на скорость доступа к данным. Поскольку большинство современных решений разрабатывалось многие годы назад, а сертификация — процесс небыстрый и утомительный, многие производители продолжают использовать устаревшие чипы, производительности которых недостаточно для работы с современными накопителям. Наше решение разработано на основе современной элементной базы, в результате чего нам удалось добиться практически максимальной для протокола SATA 3 пиковой пропускной способности в 500 МБ/с.

Уже в продаже

В нашем портфолио теперь есть аппаратный блокиратор записи собственной разработки. Не являясь полностью интегрированным решением, наш блокиратор работает с интерфейсом SATA на входе и USB-C на выходе.

В этом варианте исполнения блокиратор поддерживает как традиционные накопители SATA в компактном форм-факторе 2.5″, так и SATA накопители в форм-факторе M.2.

Накопители в форм-факторе M.2 подключаются к блокиратору через специальную площадку-переходник, которая позволяет быстро подключать и извлекать накопители без использования каких-либо инструментов.

Для традиционных жёстких дисков в форм-факторе 3.5″ следует использовать другой блокиратор, который получает необходимое для работы такого нактпителя дополнительное напряжение 12В от внешнего блока питания (входит в комплект).

Подчеркнём, что оба наших блокиратора поставляются в комплекте с переходниками для накопителей SATA различных форм-факторов. В минимальном наборе их два (для M.2 SATA и mSATA), а в максимальном — шесть (в том числе два адаптера для проприетарных форм-факторов накопителей SATA Apple различных поколений и адаптеры для некоторых специфичных накопителей Lenovo и ASUS).

Заказать наши блокираторы и другие аппаратные решения можно тут.

Альтернативный способ

В рамках классического лабораторного анализа исследования стандартной процедурой является физическое извлечение из компьютера всех его накопителей, снятие образов накопителей дисков и их последующий анализ сохранённых данных в стационарных условиях. В то же время, применение средства шифрования диска могут сильно затруднить доступ к этим данным, а в ряде случаев и вовсе сделать его невозможным; время на снятие образа диска в этом случае окажется потраченным впустую. Понять, какие носители содержат значимую информацию, в каких случаях возможно восстановление доступа к зашифрованным данным, а в каких — не стоит и пытаться, поможет предварительный анализ с использованием Elcomsoft System Recovery, представляющим собой загрузочную среду с программной блокировкой записи. Наше решение предоставляет возможность быстро и оперативно отсортировать наиболее важные и перспективные устройства для дальнейшего последующего анализа, сэкономив необходимые время и ресурсы, что помогает уменьшить нагрузку на лабораторию и позволяет экспертам сосредоточиться на более значимых и сложных задачах, обеспечивая при этом более эффективное проведение цифрового расследования. Подробнее о продукте и способах его использования можно прочитать в статьях Криминалистический анализ компьютеров с использованием загрузочного накопителя и Ускоренный сбор и анализ цифровых улик с загрузочным накопителем, а также Работа на выезде: создание образов дисков с гарантией аутентичности и неизменности данных.