I dati possono essere manomessi dopo la clonazione di un disco da parte di un esperto?

1

Introduzione

3 computer sono stati sigillati e prelevati da un appartamento per persone. Gli investigatori lo hanno invitato a disfare i PC, erano intatti e hanno iniziato il processo di clonazione, tuttavia gli hash sono stati appena fotografati da un esperto senza metterli in un documento e consegnarli a chi è stato indagato, dicendo che lo inviteranno il giorno dopo per finire le pratiche burocratiche, ma dopo 4 giorni, non è ancora stato invitato, il che significa che tutti i dispositivi sono rimasti non sigillati in tutti questi giorni.

Tutti i dischi rigidi sono stati clonati utilizzando un dispositivo di blocco della scrittura, come questo .

Il software che è stato / è usato nelle indagini è FTK se non sbaglio.

Domanda

In che modo gli investigatori possono provare che i dati su tutti i dischi rigidi non sono stati modificati durante questi 4 giorni, quando i dispositivi sono stati aperti e hanno avuto pieno accesso a questi senza il consenso della persona indagata?

    
posta rmagnum2002 30.07.2015 - 08:50
fonte

1 risposta

2

in tutta praticità, produrre la fotografia dell'hash dell'acquisizione e mostrare il nuovo e vecchio hash match soddisferà quasi tutti che l'unità non è stata manomessa.

Tuttavia ...

La risposta più accurata è che, a seconda di quali algoritmi di hash utilizzati dagli investigatori, potrebbero non essere in grado di dimostrare che i dati non sono stati modificati. Se l'hash calcolato era solo MD5, un utente malintenzionato (gli investigatori in questo caso) potrebbe teoricamente modificare l'unità per fare in modo che i nuovi dati risultino in una collisione hash con i vecchi dati.

Per chiarire, se un investigatore voleva manomettere il contenuto del disco, potevano fare due cambiamenti: il cambiamento maligno previsto, così come una seconda serie di modifiche appositamente predisposte da qualche altra parte nell'immagine (cioè spazio non allocato) , risultante nel "nuovo" hash del disco che corrisponde al vecchio hash. Questo è un punto debole noto nell'algoritmo MD5.

Vedi link

Se gli hash utilizzati erano famiglia SHA2, questa vulnerabilità è solo vagamente teoricamente possibile.

Devo notare che presumo che il clone venga scritto su un nuovo HDD direttamente o su un file di immagine DD. Un'immagine E01 sarebbe praticamente impossibile da modificare in questo modo.

    
risposta data 30.07.2015 - 22:14
fonte

Leggi altre domande sui tag