Cos’è il Write Blocker e perché è indispensabile nella digital forensics
Quando si parla di indagini informatiche, una delle priorità assolute è garantire che i dati originali non vengano in alcun modo modificati. Ogni minima alterazione, anche involontaria, rischierebbe di compromettere il valore probatorio delle informazioni raccolte. È qui che entra in gioco il Write Blocker.
Che cos’è un Write Blocker
Il Write Blocker è uno strumento, disponibile sia in versione hardware che software, progettato con un obiettivo molto preciso: impedire la scrittura di dati su un supporto di memoria, permettendo esclusivamente la lettura.
In altre parole, consente all’analista di esaminare un hard disk, un SSD o una scheda di memoria senza il rischio che il sistema operativo, un programma o lo stesso utente vadano a modificare i contenuti originali.
Perché è così importante
Nelle attività di digital forensics, la regola principale è preservare l’integrità della prova. Se un file, un log o un metadato vengono alterati, diventa impossibile dimostrare che i dati analizzati corrispondano a quelli realmente presenti sul supporto al momento del sequestro.
Il Write Blocker agisce quindi come una sorta di “scudo protettivo” tra il dispositivo e l’analista, assicurando che l’analisi venga effettuata in sola lettura.
Tipologie di Write Blocker
Esistono due principali categorie di Write Blocker, ciascuna con i propri ambiti di utilizzo:
Hardware Write Blocker
Sono dispositivi fisici che si collegano tra il computer dell’analista e il supporto da acquisire. Bloccano a livello elettronico qualsiasi tentativo di scrittura, garantendo un livello di sicurezza molto elevato. Sono considerati lo standard nelle acquisizioni forensi di hard disk, SSD e supporti rimovibili.
Software Write Blocker
Si tratta di applicazioni o driver che, una volta installati sul sistema, impediscono la scrittura sui dispositivi collegati. Non offrono lo stesso livello di garanzia degli hardware blocker, ma rappresentano un’alternativa pratica e diffusa, spesso integrata nei software di copia forense.
Perché non si usano sugli smartphone
Diverso è il discorso per i dispositivi mobili. Gli smartphone, infatti, non possono essere acquisiti tramite Write Blocker: per estrarre i dati è necessario accendere il dispositivo, abilitare funzioni come il debug USB o inserire credenziali di accesso. In alcuni casi si ricorre addirittura a exploit che interagiscono con il sistema operativo, comportando modifiche inevitabili.
Per questo motivo l’acquisizione forense di un telefono non può mai garantire l’assenza totale di alterazioni.
