Write blocker
Un write blocker è un dispositivo usato dagli investigatori nel campo dell'informatica forense per prevenire eventuali scritture su hard disk o più genericamente dispositivi di memorie di massa (chiavi USB, schede di memoria, un tempo i floppy disk, etc...) oggetto di investigazioni. Generalmente il write blocker è posto tra il dispositivo esaminato e il computer utilizzato per esaminarlo.
Ci sono due tipi di write blocker, native e tailgate:
- un write blocker native è usato per collegare il disco attraverso la sua interfaccia nativa (es.: disco IDE su interfaccia IDE o disco SCSI su interfaccia SCSI),
- un write blocker tailgate è usato invece per collegare il disco attraverso una interfaccia diversa (es.: disco IDE tramite USB o disco SATA tramite FireWire).
Il write blocking fu inventato da Steve Bress e Mark Menz (brevetto: US patent# 6,813,682).
Con l'avvento delle piattaforme cosiddette "live distro" basate su Linux, la funzione di write blocking ha iniziato a essere inserita direttamente all'interno di sistemi che si possono caricare in modalità "live" su computer fissi o portatili partendo da CDROM o DVDROM e persino da pendrive USB che al boot vengono configurate come periferiche di avvio. Grazie a queste distribuzioni (alcuni esempi sono DEFT Linux, Caine, Paladin, Raptor, Tsurugi Linux ma persino Kali Linux in modalità "forensics") è possibile collegare dischi SATA, IDE o USB accedendo ai contenuti in modalità "read only" (cioè in sola lettura) così da non inficiare nel contenuto ma poterlo invece copiare in maniera forense o analizzare sul campo. Questo tipo di write blocker viene definito "software write blocker" e contrasta principalmente in termini di prezzo con gli "hardware write blocker" perché è sostanzialmente gratuito, benché altrettanto sicuro e riconosciuto dalla comunità scientifica.
Spesso preferito al write blocker è il copiatore forense, strumento che ingloba la funzionalità di write blocking - cioè di blocco da scrittura e quindi preservazione dell'evidenza originale - ma fornisce anche la funzionalità di copia bitstream, non necessitando quindi la presenza di un computer per eseguire l'operazione di acquisizione forense.