Onderwerp: Ervaringen met SATA/IDE Write-Blockers

Hallo,

Iedereen maakt het vast wel eens mee, een diskje is kapot en je wil hem recoveren. dd, ddrescue en/of dd_rescue zijn dan je grote vrienden, maar slechts één typfout en je overschrijft je source disk.

Daarvoor bestaan dus hardware matige Write-Blockers waar je je disk op aansluit waarna je deze via USB aan je server/PC koppelt. De blocker inspecteert het ATA protocol en blokkeert de schrijf acties voordat ze de disk bereiken.

Zo kan je dus een disk clonen en weet je zeker dat geen enkele schrijfactie de disk bereikt.

Nu wil ik een dergelijk apparaat aanschaffen om in de toekomst te voorkomen dat we bij het clonen ooit een disk overschrijven, maar welke? Ze zijn redelijk aan de prijs, van 100 euro tot 500 euro.

Heeft iemand ervaringen met zulke apparaten?

Wat links voor de geïntereseerden:
* http://www.forensicswiki.org/wiki/Write_Blockers
* http://www.mykeytech.com/
* http://www.digitalintelligence.com/f...teblockers.php

Is het niet gemakkelijker om gewoon een oude computer voor dit soort problemen klaar te hebben staan met twee hot swap mogelijkheden?

Oorspronkelijk geplaatst door dreamhost_nl

Is het niet gemakkelijker om gewoon een oude computer voor dit soort problemen klaar te hebben staan met twee hot swap mogelijkheden?

Nee, de Write-Blocker is er echt om te voorkomen dat je ook maar één bit veranderd op een disk als je deze aan een PC prikt.

Ik heb zojuist dan ook deze besteld: http://www.dataexpert.nl/oplossingen...s-esata-bridge

Op die manier ben je er 100% zeker van dat jouw PC geen enkele aanpassing aan de disk kan maken zodra je de kopie maakt.

Ik heb alleen ervaring met die van WiebeTech. Die zijn zeer goed.

Of zoiets: http://www.logicubeforensics.com/pro...NETConnect.asp. Zal wel iets prijziger zijn

Ik heb uiteindelijk gekozen voor de Tableau TK35es, dit omdat deze makkelijk te verkrijgen was in Nederland.

Na alles aan te sluiten zie je het volgende:

Code:

[10116.360137] usb 1-2: new high speed USB device using ehci_hcd and address 5
[10116.523812] scsi11 : usb-storage 1-2:1.0
[10117.522626] scsi 11:0:0:0: Direct-Access     WDC WD20 EARS-00MVWB0     51.0 PQ: 0 ANSI: 4
[10117.523080] sd 11:0:0:0: Attached scsi generic sg8 type 0
[10148.161403] usb 1-2: reset high speed USB device using ehci_hcd and address 5
[10148.319875] sd 11:0:0:0: [sdh] 3907029168 512-byte logical blocks: (2.00 TB/1.81 TiB)
[10148.320725] sd 11:0:0:0: [sdh] Write Protect is on
[10148.320735] sd 11:0:0:0: [sdh] Mode Sense: 10 00 80 00
[10148.320741] sd 11:0:0:0: [sdh] Assuming drive cache: write through
[10148.323665] sd 11:0:0:0: [sdh] Assuming drive cache: write through
[10148.323677]  sdh: unknown partition table
[10148.347913] sd 11:0:0:0: [sdh] Assuming drive cache: write through
[10148.347922] sd 11:0:0:0: [sdh] Attached SCSI disk

Code:

root@wido-desktop:~# dd if=/dev/zero of=/dev/sdh
dd: opening `/dev/sdh': Read-only file system
root@wido-desktop:~#

Prima apparaatje zo! Je kan hem via USB, Firewire (400/800) en eSATA aan je PC koppelen.

Erg handig als je nog eens een disk moet clonen en er 100% zeker van wil zijn dat je niets wijzigt op die disk.

Wido, als ik de dmesg zo bekijk zet hij enkel partities op read-only of heb ik het verkeerd, want indien dit het geval is kan je bvb wel nog de mbr en partition table overschijven. Zou je ook even (ruwweg) de prijs van dat ding kunnen vermelden en waar je het besteld hebt. Misschien hebben andere wht-ers hier nog wat aan.

Oorspronkelijk geplaatst door The-BosS

Wido, als ik de dmesg zo bekijk zet hij enkel partities op read-only of heb ik het verkeerd, want indien dit het geval is kan je bvb wel nog de mbr en partition table overschijven. Zou je ook even (ruwweg) de prijs van dat ding kunnen vermelden en waar je het besteld hebt. Misschien hebben andere wht-ers hier nog wat aan.

Nee, hij zet de disk op write-only.
Ik zie geen 1 partitie tabel voorbij komen.

Veelkans overschrijft hij de HDD capabilities met write protect altijd op 1.
Hier hoort de driver naar te luisteren en elke write bewerking te annuleren (ben benieuwd als je de kernel hacked en deze check eruit sloopt of je dan wel kan schrijven?).

Er zitten wel meer mooie features in disken waar de meeste nooit naar op zoek zijn.
Kijk maar is naar `hdparm --security-help` in linux

Oorspronkelijk geplaatst door The-BosS

Wido, als ik de dmesg zo bekijk zet hij enkel partities op read-only of heb ik het verkeerd, want indien dit het geval is kan je bvb wel nog de mbr en partition table overschijven. Zou je ook even (ruwweg) de prijs van dat ding kunnen vermelden en waar je het besteld hebt. Misschien hebben andere wht-ers hier nog wat aan.

Nee, het kernel detecteert dat het device Read-Only is en laat dat zien.

Deze disk had toevallig geen partitie-tabel (enkel btrfs er op), was dus even een slecht voorbeeld.

Ga je echter TOCH willen schrijven richting de disk dan gaat dat NIET. De Write-Blocker blokkeert echt op ATA niveau de schrijf commando's, dit is ook met een LED te zien. Iedere keer dat er een actie geblokkeert wordt knippert een LED.

Zie ook: http://www.tableau.com/index.php?pag...ts&model=T35es

Dit apparaat kost je rond de 300 euro overigens. Ik heb hem bij DataExpert besteld.

Oorspronkelijk geplaatst door QBell

Nee, hij zet de disk op write-only.
Ik zie geen 1 partitie tabel voorbij komen.

Veelkans overschrijft hij de HDD capabilities met write protect altijd op 1.
Hier hoort de driver naar te luisteren en elke write bewerking te annuleren (ben benieuwd als je de kernel hacked en deze check eruit sloopt of je dan wel kan schrijven?).

Er zitten wel meer mooie features in disken waar de meeste nooit naar op zoek zijn.
Kijk maar is naar `hdparm --security-help` in linux

Daar heb je natuurlijk geen stuk extra hardware voor nodig, voor het tweaken van driver parameters.
De write blocker zal de commando stroom moeten lezen, interpreteren, en commando's met write impact negeren of weigeren.

(ik zou verwachten/hopen dat een write blocker ook de commando's die je via die hdparm security optie kunt sturen blokkeert...)

Ook als je extern 'zekerheid' moet geven dat de originele data onveranderd is (zoals bij het maken van een kopie voor forensisch onderzoek) kun je maar beter een write blocker gebruiken, in plaats van een driver of mount parameter meegeven.

Het interface presenteert zich al als 'write only', maar natuurlijk kun je de kernel forceren om toch write commando's te sturen.
Die zal het device moeten herkennen en blokkeren.
(oudere firmware had een bug blijkbaar daar :zie note bij 6.80 http://www.tableau.com/index.php?pag...ct&model=T35es )

Ik ben benieuwd hoe zo'n apparaat in detail werkt; Wat ik weet van ATA suggereert dat proberen om "alleen gevaarlijke dingen uit te filteren" en "de rest" doorlaten een erg lastig probleem moet zijn; Maar of een 'gegarandeerd known-safe' subset doorlaten voldoende is om goed te werken met alle smaken drives vraag ik me af.
Leuk onderwerp voor een security conferentie , een diepgaande analyse van write blockers ;-)