Nośniki zewnętrzne

Zabezpieczenie nośników zewnętrznych jest podobne do komputerów osobistych i zwykle łatwiejsze. Tworzymy obraz nośnika, jednak bez potrzeby wymontowania go z komputera.

Do nośników zewnętrznych zaliczamy głównie:

  • Dyski USB (2.5, 3,5 cala oraz thumbsdrive’y.
  • Media optyczne (CD, DVD, BlueRay).
  • Karty pamięci (głównie SD, Micro SD – inne rzadko spotykane).
  • Różnego rodzaju dyskietki (1.44 cala, Iomega zip drive)- już rzadko spotykane.

Nośnik podłączmy używając wybranej technologii blokującej zapis:

  • Dyski USB będzie wymagany bloker sprzętowy lub softwarowy, tak jak to opisałem w artykule o zabezpieczaniu komputerów osobistych. Blokery dostępne są z takich firm jak Wiebetech lub Tableau. Starajmy się kupić czytnik obsługujący USB 3.0.
  • W przypadku dysków optycznych będą one w większości tylko do odczytu, a nawet te read- write będą wymagały specjalnej procedury wypalania, żeby na nich coś zapisać. Zwykły napęd, bez blokera w zupełności więc wystarczy.
  • Karty pamięci będą często miały mechaniczny suwak do ustawienia ich w tryb tylko do odczytu. W takim wypadku możemy użyć zwykłego czytnika. W pozostałych przypadkach możemy użyć blokera softwarowego lub też czytnika USB podłączonego do blokera sprzętowego.
  • Dyskietki również będą miały suwaki. W pozostałych przypadkach również możemy użyć blokera softwarowego lub też czytnika USB podłączonego do blokera sprzętowego.

Nośniki zewnętrzne to w większości urządzenia blokowe. Z logicznego punktu widzenia są one zbiorem adresowalnych sektorów od sektora 0 do n. W celu ich zabezpieczenia tworzymy więc obraz (forensic image) DD lub E01 a jeżeli jest taka potrzeba to klon.

Wyjątkiem są media optyczne W związku z nieco inną strukturą tego nośnika, który poza blokami z danymi posiada bloki kontrolne widoczne na poziomie aplikacji kopiującej dane, typowy obraz nie jest najlepszym rozwiązaniem. Również bloki kontrolne muszą być skopiowane i jest to rozwiązane w różny sposób przez różne aplikacje. W związku z tym na przykład FTK Imager tworzy pliki ISO a nie standardowy obraz. Encase Forensics Imager tworzy EX01. Obraz w takich formatach nie zawsze będzie kompatybilny pomiędzy różnymi aplikacjami. W związku z innymi rejonami mediów optycznych które są haszowane przez FTK i Encase Forensics nawet hasz wygenerowany przez nie może się różnić. Jak widać w informatyce śledczej, nie wszystko jest zawsze aż tak proste jak się wydaje.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *