Write Blocker: il Data Recovery Mate

Articolo di Fabrizio Alampi

Alzi la mano chi tra di voi, forenser della domenica, non ha ancora un write blocker!
Tutte abbassate le mani?! Ce l’avete tutti?!
Bene! ...Me la prenderò con Denis allora, dopo ore perse su st'articolo per niente.. ☺
Scherzi a parte, molti forenser alle prime armi non si avvalgono ancora degli hardware write
blocker, detti wb, e si affidano a quelli "software" forniti dai live cd, spesso e volentieri per
l'eccessivo costo dei wb da ammortizzare in una o due consulenze l'anno.
Certo, è vero che la sicurezza e l’integrità della prova non hanno prezzo, ma per tutto il resto c'è
mastercard..
E' vero che si parla anche d’errori di "inversione dischi" con cancellazione totale della prova.. ☺
Insomma, è vero che "l'anello debole" è sempre l'uomo, ma un aiuto tecnologico non guasta mai!
Così decido di controllare i prezzi online di questi aggeggi di lusso...
Ma quando mi sono imbattuto in questo wb cercando su internet, la prima cosa che mi ha colpito è
stato proprio il prezzo... ridicolo se paragonato ad altri!
Cioè, cari amici miei.. i prezzi che avevo trovato erano all'incirca questi:

1) Mykeytech - NoWrite FPU a firewire IDE/SATA HWB US$349
2) Tableau T35e Kit –Firewire 800 Bridge – US$ 444
3) Digital Intelligence UltraBlock US$ 349
4) ICS-IQ Serial-ATA DriveLock Kit US$ 344

mentre questo "miracoloso" wb (così appariva ai miei occhi diffidenti ) me lo davano a US$ 190 (240 $ alla data di stesura dell'articolo)!Decido di mettermi in contatto con la ditta produttrice perchè, da buon calabrese, devo vedere dove
sta il trucco e lo devo vedere con i miei occhi ☺, e così mi imbatto nella responsabile delle vendite,
la simpatica cinese miss Laura Lee (che ringrazio pubblicamente in queste righe per avermi
sopportato dopo tutte le mie domande ☺).

Prima di contattarla, avevo chiesto delle info su questo wb su un blog di CF e la prima cosa che mi
era stata obiettata, oltre al "se non è ICS è una pippa" ☺, è stata questa:
"ha passato i test del NIST"?
Controllo e sul NIST non risulta nulla..
Ed io mi sono chiesto: e che saranno mai questi test del NIST di così pauroso? Controlleranno mica
la densità molecolare del silicio all'interno del disco durante la fase di "blocco" considerando le
maree in base alla distanza della luna al momento dell’acquisizione? ☺

Vado a ri-controllare, magari c’è solo da sconfiggere qualche Klingon, me la cavo con poco... ☺
http://www.cftt.nist.gov/hardware_write_block.htm
No.. non fanno cose così assurde per fortuna... più semplicemente, i terrificanti test del NIST per
dire che i wb sono "in regola", devono rispondere a queste condizioni:

HWB-RM-01
A HWB shall not, after receiving an operation of any category from the host nor at any time during
its operation, transmit any modifying category operation to a protected storage device.

HWB-RM-02
A HWB, after receiving a read category operation from the host, shall return the data requested by
the read operation.

HWB-RM-03
A HWB, after receiving an information category operation from the host, shall return a response to
the host that shall not modify any access-significant information contained in the response.

HWB-RM-04
Any error condition reported by the storage device to the HWB shall be reported to the host.

ok, dalle parole passiamo ai fatti ☺
Se il Test del NIST non va al wb...
Harware utilizzato per il test casalingo:

Storage Device : Seagate ST380215A 80GB IDE partizionato in 2 unità da 40GB
HWB: Salvation Data Recovery Mate
Host: un laptop o desktop qualsiasi
Sistema operativo: Uno che sicuramente qualcosa su un disco ce la scrive anche solo per simpatia,
WIN XP SP2 :)

A onor di cronaca, mi ci vorrebbe anche questo:
Protocol Analyzer:
A device to directly observe commands on a bus. Depending on the Requirement of a specific test
case , the protocol analyzer allows Identification of commands blocked by the HWB or documents
commands Generated by host computer.

Che servirebbe per fare questo:
HWB-01 Identify commands blocked by the HWB.
HWB-02 Identify modifying commands blocked by the HWB.

Ma sinceramente, non so neanche dove prenderlo un coso così!
Ripensandoci, forse era meglio il Klingon come test...☺
Comunque, andiamo avanti.
Montiamo prima un live cd per firmare il disco.
Poi lo attacchiamo al wb e quindi via usb all’host win xp.
Apriamo il volume con l'Explorer di windows... e si apre.
Apriamo un file... e si apre.
Cancelliamo un file... e si cancella.
Formattiamo una partizione... e si formatta.
Cancelliamo una partizione... e non si cancella. ☺
Perfetto... ora la prova del 9..
Rimettiamolo dov'era prima e ripartiamo con la verifica da live cd.

Ed eccovi i risultati:
Test sul disco PRIMA di attaccarlo al wb

Operation Selected = SHA1 (160 bit)
Drive Size (76319) MB , Seagate ST380215A
Scanning Entire Drive... (76319)
Total Sectors Scanned = 156301488
Result:
194C501AB000E4AF2A029241A7C9484A6D01424A

Test sul disco DOPO gli smanazzamenti col wb

Operation Selected = SHA1 (160 bit)
Drive Size (76319) MB , Seagate ST380215A
Scanning Entire Drive... (76319)
Total Sectors Scanned = 156301488
Result:
194C501AB000E4AF2A029241A7C9484A6D01424A

Ok, magari il test non era proprio proprio simile alle specifiche del NIST... non ho usato i Qbit e
non ho sconfitto i Klingon, ma il risultato penso sia soddisfacente x tutti! ☺
Spero che tutto quanto sopra vi sia utile, se state pensando all'acquisto di un wb e non volete
spendere un capitale.
A presto!
Fabrizio Alampi