Nośniki zewnętrzne
Zabezpieczenie nośników zewnętrznych jest podobne do komputerów osobistych i zwykle łatwiejsze. Tworzymy obraz nośnika, jednak bez potrzeby wymontowania go z komputera.
Do nośników zewnętrznych zaliczamy głównie:
- Dyski USB (2.5, 3,5 cala oraz thumbsdrive’y.
- Media optyczne (CD, DVD, BlueRay).
- Karty pamięci (głównie SD, Micro SD – inne rzadko spotykane).
- Różnego rodzaju dyskietki (1.44 cala, Iomega zip drive)- już rzadko spotykane.
Nośnik podłączmy używając wybranej technologii blokującej zapis:
- Dyski USB będzie wymagany bloker sprzętowy lub softwarowy, tak jak to opisałem w artykule o zabezpieczaniu komputerów osobistych. Blokery dostępne są z takich firm jak Wiebetech lub Tableau. Starajmy się kupić czytnik obsługujący USB 3.0.
- W przypadku dysków optycznych będą one w większości tylko do odczytu, a nawet te read- write będą wymagały specjalnej procedury wypalania, żeby na nich coś zapisać. Zwykły napęd, bez blokera w zupełności więc wystarczy.
- Karty pamięci będą często miały mechaniczny suwak do ustawienia ich w tryb tylko do odczytu. W takim wypadku możemy użyć zwykłego czytnika. W pozostałych przypadkach możemy użyć blokera softwarowego lub też czytnika USB podłączonego do blokera sprzętowego.
- Dyskietki również będą miały suwaki. W pozostałych przypadkach również możemy użyć blokera softwarowego lub też czytnika USB podłączonego do blokera sprzętowego.
Nośniki zewnętrzne to w większości urządzenia blokowe. Z logicznego punktu widzenia są one zbiorem adresowalnych sektorów od sektora 0 do n. W celu ich zabezpieczenia tworzymy więc obraz (forensic image) DD lub E01 a jeżeli jest taka potrzeba to klon.
Wyjątkiem są media optyczne W związku z nieco inną strukturą tego nośnika, który poza blokami z danymi posiada bloki kontrolne widoczne na poziomie aplikacji kopiującej dane, typowy obraz nie jest najlepszym rozwiązaniem. Również bloki kontrolne muszą być skopiowane i jest to rozwiązane w różny sposób przez różne aplikacje. W związku z tym na przykład FTK Imager tworzy pliki ISO a nie standardowy obraz. Encase Forensics Imager tworzy EX01. Obraz w takich formatach nie zawsze będzie kompatybilny pomiędzy różnymi aplikacjami. W związku z innymi rejonami mediów optycznych które są haszowane przez FTK i Encase Forensics nawet hasz wygenerowany przez nie może się różnić. Jak widać w informatyce śledczej, nie wszystko jest zawsze aż tak proste jak się wydaje.