Un Write Blocker è un dispositivo, di natura hardware o un software, progettato per impedire la scrittura di dati su un’unità di archiviazione, consentendo esclusivamente la lettura delle informazioni presenti sul supporto. In pratica, si tratta di un dispositivo/sistema in grado di impedire la scrittura dei dati su un’unità di archiviazione o dispositivo nel momento in cui si opera sullo stesso. Si tratta, questo, di uno strumento fondamentale nell’ambito della digital forensics, poiché garantisce che le prove digitali siano analizzate senza rischio di alterazioni involontarie o intenzionali.

Write Blocker Hardware

Gli Hardware Write Blocker sono dispositivi fisici che si collegano tra il computer dell’analista e il supporto di archiviazione, impedendo qualsiasi scrittura a livello elettronico. Questi strumenti sono fondamentali per l’analisi forense di hard disk, SSD, schede di memoria e altri supporti rimovibili. Poiché agiscono a livello hardware, garantiscono un livello di sicurezza molto elevato, impedendo qualsiasi operazione di scrittura, anche in caso di errori del software o del sistema operativo.

Write Blocker Software

Un Write Blocker è un dispositivo, di natura hardware o un software, progettato per impedire la scrittura di dati su un’unità di archiviazione, consentendo esclusivamente la lettura delle informazioni presenti sul supporto. In pratica, si tratta di un dispositivo/sistema in grado di impedire la scrittura dei dati su un’unità di archiviazione o dispositivo nel momento in cui si opera sullo stesso. Si tratta, questo, di uno strumento fondamentale nell’ambito della digital forensics, poiché garantisce che le prove digitali siano analizzate senza rischio di alterazioni involontarie o intenzionali.
La maggior parte dei write blocker software sono integrati all’interno dei sistemi di copia forense utilizzati o sono disponibili gratuitamente in rete (ad esempio: Linux Write Blocker e USB Write Blocker, entrambi disponibili su GitHub).

Casi eccezionali

A differenza dei dischi rigidi e delle unità di archiviazione tradizionali (come ad esempio chiavette USB o anche addirittura i dischi magnetici utilizzati in contesti di backup di grosse realtà), la copia forense degli smartphone non avviene utilizzato un Write Blocker. Questo perché, affinché sia possibile estrarre i dati, il dispositivo deve necessariamente essere acceso e, spesso, è richiesta la modifica di alcune impostazioni, come l’abilitazione del debug USB o l’inserimento di credenziali di accesso. Inoltre, alcuni metodi di acquisizione implicano l’uso di exploit o procedure che interagiscono direttamente con il sistema operativo del dispositivo, comportando modifiche inevitabili.
Di conseguenza, le operazioni di acquisizione su dispositivi mobili non possono garantire la totale assenza di alterazioni, rendendo impossibile applicare le stesse metodologie utilizzate per le unità di memoria tradizionali.

Proprio per questa impossibilità di garantire un’acquisizione completamente priva di modifiche, le operazioni di digital forensics sui dispositivi mobili vengono classificate come accertamenti tecnici irripetibili, ai sensi dell’art. 360 del Codice di Procedura Penale. Questo implica che l’acquisizione forense deve essere eseguita con la presenza delle parti e nel rispetto di protocolli rigorosi, garantendo la massima trasparenza e riproducibilità dei risultati.