Feb 152008
 

Fra un’analisi di un Cell. e l’altro (a breve uscirò con un trafiletto su “cosa” MOBILEDIT non individua nel suo report) ogni tanto arrivano dischi particolari da analizzare. In questa occasione: due ottimi dischi SCSI UTRA 320 a 15KRPM IBM di 146GB completi di controller (SCSI). Devo ammettere che in passato ho usato molto le distro LINUX per questo genere di “reperto” ma di recente, visto l’aria che spesso “tira” in Udienza ho deciso di acquistare un WB Hardware. Cosa comprare? Le scelte sono: ICS, TABLEAU o CINESE/GIAPPONESE/BastaCheCostiPoco. Qui ci si può perdere in lunghe discussioni dove ognuno porta avanti la sua idea. In base alla mia esperienza e dopo aver provato i tre prodotti (il terzo era un prodotto anonimo proveniente dalla Germania) ho convenuto nell’acquisto di un TABLEAU.

Ma dove lo compro?

Ci sono due alternative: da un rivenditore Italiano o da uno estero. Senza entrare nel dettaglio, un TABLEAU modello TK-4 SCSI senza alimentatore e con le spese di spedizione (IVA ESCLUSA) costa circa 550 Euretti. Se invece andiamo casualmente su questo sito e approfittiamo delle offerte otteniamo lo stesso modello (senza alimentatore) con la spedizione ($100) a $460. Un differenza non indifferente visto il cambio dollaro-euro. E visto che certi acquisti vanno fatti, si approfitta delle spese di spedizione per acquistare anche dell’altro: Tableau T35e Forensic SATA/IDE Bridge.

Morale: con $741 si comprano due WB che soddisfano tutti i dischi in circolazione (accessori a parte che comunque non sono una spesa eccessiva).

E adesso qualcuno si chiederà:

Ma è stata autorizzata la richiesta di acquisto?“.

NO. L’unica cosa che il PM mi ha detto a conclusione del conferimento dell’incarico è stata: “E’ una cosa MOLTO urgente“.

Quindi, senza pensarci tanto, si anticipa e si vedrà di ammortizzare con i lavori futuri. Io comunque rappresento un caso a parte in quanto mi occupo di C. Forensics per passione e quindi certe spese le faccio a “occhi chiusi”. Capisco perfettamente che ci sono persone che non hanno questa fortuna.

  17 Responses to “Write Blocker, ma quanto mi costi?”

  1. Complimenti ed auguri per il tuo nuovo acquisto ;)
    Cmq, PREMESSO CHE, non ho nulla contro i w.b., continuo a non capire dove sono i rischi dell’uso di Linux?
    Abbiamo dimostrato più volte che le Live Distro non montano nè in lettura nè in scrittura, se tu non gli impartisci il comando, idem per la linux installata su workstation.
    Basta stampare il mount -l per dimostrare che il dispositivo non era montato il giorno della duplicazione, puoi anche filmarlo e poi fai firmare tutto, anche alla controparte…
    Tutto questo per dimostrare che non hai alterato l’originale….e cmq anche se, uno fosse così distratto da montarlo in lettura/scrittura, se ha impostato il “noatime” nel suo Linux, comunque anche sfogliando i files non alteri nulla, nemmeno il superblock….(dim. sperimentalmente).
    Quindi che aria tira in udienza?
    Davvero mi piacerebbe capire meglio…purtroppo su questo argomento, chi asserisce che usare solo Linux è rischioso, poi non ha mai portato a termine la spiegazione “tecnica” o delle motivazioni valide…e rimango con le mie perplessità ;)
    PS: avere un w.b. cmq male non fa! Lo avessi lo userei anch’io…quindi ripeto NON sono contro i w.b.

  2. Avevo acquistato nel 2006 il T4 SCSI su un sito in Inghilterra per 249 sterline (333 euro). Per chi ha la partita IVA conviene acquistare da paesi UE: non si paga l’IVA e le spese di spedizione sono molto basse.
    Ovviamente questo tipo di acquisti, non trattandosi di materiale “di consumo” o da depositare insieme alla consulenza, non può essere autorizzato, anche perché rimane al consulente.

  3. Buongiorno ad entrambi.

    Maurizio ha ragione ma attenzione: bisogna presentare (a seconda delle scadenze che varia in base al volume degli acquisti) il modello INTRASTAT per aver acquistato fra paesi della UE.

    Piccolo esempio: Hard Disk acquistato in UK e pagato (incluse spese di spedizione) 60 Euro. Presentare il modello INTRASTAT mi è costato 25 Euro.

    Consiglio a tutti di informarsi prima dal proprio commercialista sui costi.

    Nanni: dipende dalla situazione e dalla percentuale di errore ammessa. E’ da sempre una vecchia questione come tu ben sai. Lasciamo a tutti la libertà di scelta e indichiamo (come fai tu) tutte le strade disponibili.
    A presto.

  4. Bah, io personalemnte sono titubante dall’acquistare all’estero. Specie l’hardware. è vero che si risparmia, ma al primo problema tra telefonate, spese di spedizione e quant’altro, hai perso tutto il presunto guadagno. Io personalmente compro in italia. In percentuale spendo di più, ma quello che guadagno in consulenza, customer care ed altro è impagabile. Inoltre, per me che lavoro con l’AG è possibile noleggiare, e non lo posso fare ordinando all’estero.

  5. Tra tutte le dichiarazioni, l’Intrastat è la più semplice (l’ho fatta personalmente al costo di una raccomandata ma si può fare anche online).
    Interessante il discorso del noleggio (se si abita in zone dove è praticato diffusamente), in questo modo si possono imputare i costi come spese rimborsabili.
    Aria che tira in udienza: il problema non è dimostrare tecnicamente che con Linux si può fare l’immagine senza alterare l’originale senza bisogno di w.b., ma farlo in modo convincente per il giudice e facendo attenzione ai “trabocchetti” della difesa. Siccome, a differenza di quanto accade ad es. per perizie balistiche o autoptiche o sul DNA, non c’è ancora nei tribunali italiani una consolidata esperienza e pacifica accettazione circa i corretti metodi di acquisizione delle prove digitali, è più facile essere convincenti con l’utilizzo di hardware w.b. che dicendo di avere utilizzato Linux con il mount -l. Psicologicamente, l’hardware infonde più sicurezza del software.
    Saluti a tutti.

  6. Sicuramente l’hw infonde sicurezza…ma qui parliamo di scienza…non di psicologia, altrimenti potremmo pure convincere il giudice che il computer la notte si alza e va in discoteca….:-D
    Alla fine la difesa dimostrasse che il metodo è errato, non si giudica una perizia a “naso” ma con la scienza e la tecnica…IMHO poi non so…
    Questo a prescindere dal discorso w.b. o linux, ma penso per tutto il resto, anche l’analisi, ecc. ecc.
    CMQ detto tra noi…ho sentito di molto peggio…;)

  7. Bassetti… ma che stai a di??? Italiano comprensibile prego!

  8. Ciao a tutti, anche io sono alla ricerca di un buon writeblocker… non perchè non mi fidi di linux, ma proprio per evitare “casini” dalla controparte sull’attendibilità della copia.
    Cercando cercando..
    Alla fine mi sono imbattuto in questo:
    http://www.salvationdata.com/productDetail.asp?pn=00014
    che ve ne pare? il prezzo è moooolto interessante, dato il cambio favorevole…

    Saluti,
    Fabrizio

  9. Stefano cos’è che ti è così oscuro nel mio precedente post?
    IMHO=In MY Humble Opinion (forse questo?)

    In sintesi dicevo che sto sentendo sempre più periti che non usano nemmeno il 50% delle best practices, no hash, no bit a bit, accensioni dei pc in loco, spinti dalla fretta degli inquirenti e PM, perchè l’unica esigenza che hanno è la “fretta” il tempo….ora in uno scenario del genere, discutere in aula di tribunale, se il Linux altera o non altera (peraltro discussione inutile e persa in partenza, quindi non vedo perchè una controparte dovrebbe iniziarla) e che il giudice non crede alle prove tecniche di questo fatto, ma si fa condizionare come un bimbo dalla macchinetta hardware….francamente mi sembra un’esagerazione paranoica e molto irreale…vorrei proprio sapere in che aule di tribunale si è dibattuto un argomento simile? E vorrei proprio leggere un qualcosa su un giudice, che decide lui di rigettare la prova, perchè acquisita senza w.b., ma con linux che secondo lui altera i supporti e vorrei proprio vedere il perito ed il PM che si stanno zitti di fronte a questa infondatezza….qualcuno ha links o pdf da mostrare su questo argomento?
    Grazie ciaoooo

  10. Intervengo subito su questo argomento prima che prenda una brutta “piega”. Caro NANNI, questa tua affermazione:

    “…sto sentendo sempre più periti che non usano nemmeno il 50% delle best practices, no hash, no bit a bit, accensioni dei pc in loco, spinti dalla fretta degli inquirenti e PM, perchè l’unica esigenza che hanno è la “fretta” il tempo…”

    è probabilmente riferita a “colleghi” poco professionali e con scarse competenze.

    Questo genere di comportamento, se non riportato in un fatto specifico con tanto di:
    NOME/COGNOME/PROCEDIMENTO/SENTENZA

    non ci interessa.

    Sulla restante parte del tuo POST, non mi esprimo perché non lo trovo il posto più adatto. Avremmo modo di parlarne davanti un buon caffè.

    Grazie comunque per aver portato il tuo contributo.

    X FABRIZIO ALAMPI: Non conosco quella marca e di solito non mi “sposto” da ICS o TABLEAU. Non mi sembra che siano stati fatti TEST specifici dal NIST su questo WB.

    http://www.cftt.nist.gov/hardware_write_block.htm

  11. Ciao Litiano,
    ti ringrazio sempre per le tue garbate risposte…lo apprezzo molto.
    Come tu dici si dovrebbero fare nomi/cognomi/sentenze….il problema è che quello che ti ho riportato è il “mood” generale che sento, parlando con CTU,Avvocati, ecc. e gente che ne fa tante….loro a me rispondono chiedendomi le sentenze nelle quali un giudice di fronte ad un’evidenza (immagine jpg, file doc, ecc.) l’abbiano rigettata per problemi di best practices …e la realtà che mi descrivono è che se la prova c’è …c’è…punto..Scusatemi tutti ma riporto solamente quello che mi trovo davanti e mi piacerebbe leggere sentenze che possano dimostrare, che il NON uso delle B.P. ha invalidato delle prove…ecco perchè chiedevo i links o i pdf….
    PERSONALMENTE continuerò sempre ad agire secondo Best Practices questo sia chiaro ;)

  12. PS: ma perchè quando si discute di queste cose si rischi di prendere “una brutta piega” ? Non sono attacchi personali, stiamo confrontando pensieri ed esperienze…questo è il bello dei blog e dei forum…fino a che rimianiamo in termini di civiltà ed educazione… IMHO ;)

  13. Giorno a tutti.

    Il discorso è molto semplice: se tutti si buttano giù dal fosso perchè noi/tu dobbiamo seguirli?
    Quello che fanno gli altri a me e a tutti gli altri non dovrebbe interessare, soprattutto perchè la qualità è senza ombra di dubbio discutibile! Se gli altri fanno un lavoro qualititivamente basso io posso solo riderci sopra e trarne vantagio.
    Mi hanno insegnato che si fa in una determinata maniera e o ho studiato che si fa nel modo x e non nel modo y? Perchè allora devo seguire y che paradossalmente è anche il modus operandi scorretto e non lo dico io ma anche libri e paper?

    Questo è tutto.

    Buona giornata a tutti

    Stefano

  14. Stefano sono DACCORDO con te! :) e difendo a spada tratta quello che hai appena scritto…infatti ho chiuso il mio post precedente con:
    “PERSONALMENTE continuerò sempre ad agire secondo Best Practices questo sia chiaro”

    il punto non è convincermi/vi/ci di seguire la cattiva strada, ma capire il perchè, chi non segue la buona NON viene penalizzato…perchè può difendersi con la frase:
    “ma c’è una legge che mi impone come repertare, analizzare e che sw usare?”
    e perchè le sentenze non lo fanno rinsavire…
    Poi ci siamo noi che ci confrontiamo sul miglior hash, sull’w.b. che “psicologicamente” fa più presa sul giudice…insomma sembrano due mondi così distanti, che non si capisce più dov’è la realtà…

    Cmq a me piacerebbe raccogliere materiale per confutare chi non usa le B.P, ma non materiale teorico, ma fatti veri…solo questo ok?
    ciao e grazie per la risposta

  15. Tornando al discorso originale sul wb.. sono riuscito a mettermi in contatto con la casa produttrice e parlare con un tecnico. ho avuto un test report (in inglese) dove ci sono alcuni risultati secondo me interessanti. Inoltre, pur se presente lo switch “bloccoON/bloccoOFF” la ragazza con cui ho parlato mi ha spiegato che anche se lo metti accidentalmente su OFF, lui resta su ON finchè non stacchi e riattacchi la periferica, il che praticamente esclude ogni rischio.
    Per i test del NIST… spero li facciano. sono sempre più tentato nell’acquisto e sinceramente.. tra il non averlo e dover “litigare” con giudice e controparte, e l’averlo anche se non testato dal NIST… preferisco di gran lunga la seconda!

  16. Concordo con te Fabrizio. A questo punto compralo così abbiamo la possibilità di confronto sul campo. Per la cronaca, sono arrivati i WB ordinati.

  17. Conclusione: i WB sono arrivati e perfettamente funzionanti. Naturalmente alla consegna ho dovuto “versare” l’IVA. Piccola nota: il prodotto è così come lo si “vede”. Nessun cavetto o “borsetta” accessoria…

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>