OpenText EnCase Endpoint Investigator 8.07

Opentext

OpenText corp., vodilni svetovni ponudnik rešitev, storitev in izobraževanja za digitalne forenzične raziskave in elektronsko odkrivanje podatkov, v Sloveniji uradno zastopa podjetje REAL security d.o.o., predstavljata najnovejši EnCase Endpoint Investigator.

Med nekaterimi ‘manjšimi’ izboljšavami lahko izpostavimo
  • Izvajajočim se opravilom znotraj agentov – Enhanced Agent Jobs – lahko po želji omejimo trajanje na izbrano obdobje.
  • Samodejno osveževanje podatkov znotraj zavihka Enhanced Agent Monitor Tab.
  • Preiskovalni indeks: iskanje po besedah lahko izboljšamo tako, da klasične mejnike med njimi – preslednice in ločila – razširimo z dodatnimi znaki po potrebi.
  • Možnost ponovne namestitve SAFE komponent iz varnostne kopije in ukazne vrstice (command line).
Napredno šifriranje in dešifriranje

EnCase Endpoint Investigator je vodilno forenzično orodje na tem tržišču rešitev, uporablja ga na tisoče digitalnih forenzikov po vsem svetu. Poseben datotečni format znotraj Investigator-ja je pomemben zato, ker se v tej obliki hranijo podatki iz več-tisoč preiskav, kateri so omenjani kot dokazni material v stotinah sodnih procesov.

Investigator zajema podatke iz različnih virov in jih shranjuje v dokazljivo izvorni obliki. Pri tem mora podpirati zajem iz šifriranih okolij in brezskrbno hranjenje brez možnosti korupcije ali poškodbe podatkov, ter tudi brez zamud pri dostopu do vseh zbranih dokazov.

Večina novih različic Investigator-ja implementira najnovejše šifrirne tehnologije, ki omogočajo preiskovalcem zajemati in razumeti za postopke pomembne dokaze iz različnih izvorov. Zadnje različice so skladne s tehnologijami Windows 10 Bitlocker XTS-AES, Dell Data Protection 8.17 ter Symantec PGP v10.3.

Zajem podatkov iz novega datotečnega sistema Apple File System (APFS)

APFS je namenski datotečni sistem za operacijske sisteme macOS High Sierra in novejše, iOS 10.3 in novejše, tvOS 10.2 in novejše, ter watchOS 3.2 in novejše. Predstavljen je bil leta 2017 kot zamenjava za HFS+, ki je bil v rabi skoraj dve desetletji vse od leta 1998.

EnCase Endpoint Investigator 8.07 omogoča sedaj tudi zajem podatkov iz APFS in prenos le teh v datoteko dokazov ali EnCase logical evidence file. To je potrebno zaradi vse večje raznolikosti naprav, ki se pojavljajo v preiskovalnih postopkih. Ena od ključnih, še posebej pa na digitalne preiskave vplivajočih lastnosti novega datotečnega sistema je možnost šifriranja celotnega diska.

Zajem podatkov iz Volume Shadow Copy

Tehnologija Volume Shadow Copy je del operacijskega Sistema Windows, prvič predstavljena v izdajah Windows XP Service Pack 2 ter Windows Server 2003. Skupaj s pripadajočim servisnim opravilom Volume Shadow Copy omogoča ročno ali samodejno izdelavo varnostnih kopij – snapshot – pomembnih datotek ali kare celotnega diskovnega prostora. Tudi delov, ki so trenutno v aktivni uporabi.

Podatki iz varnostnih kopij so lahko pomembni, saj lahko vsebujejo dokaze, ki drugače niso več dostopni. EnCase Endpoint Investigator lahko sedaj bere podatke iz teh varnostnih kopij. Pomeni, da lahko preiskovalec obnovi prejšnje stanje pobrisanih ali spremenjenih datotek ali celega dela trdega diska. Tako lahko ugotovi, kaj se je dogajalo v sistemu še preden je pričel zajemati dokazni material.

Arhitektura SAFE, nadgradnje

SAFE ali Secure Authentication for EnCase je komponenta, namenjena večjim postavitvam različnih distribuiranih EnCase rešitev, varni rabi komponent in izmenjavi podatkov preko omrežja, dostopu do lokacij za hranjenje dokazih materialov in administraciji uporabnikov.

Razvijalci so, da bi izboljšali celotno uporabniško izkušnjo, precej nadgradili to arhitekturo. Med novostmi so fleksibilne uporabniške konfiguracije. Preiskovalci v Windows okoljih se lahko prijavijo s svojimi lastnimi ali skupinskimi identitetami iz Active Directory. Lahko pa uporabljajo tudi pametne kartice. Po novem se da strežnik SAFE namestiti tudi s certifikatom (prej samo s sistemskim ključem machine key), kar lahko poenostavi nameščanje v navidezna okolja in strežniške oblake.

Novo : EnCase Mobile Investigator

Nov dodatek – add-on – za EnCase Endpoint Investigator.

Nov dodatek je v celoti narejen glede na želje in potrebe sodobnih digitalnih preiskovalcev, forenzikov. Preiskovalni postopki vse pogosteje vključujejo vsaj eno, po navadi pa več prenosnih naprav z različnimi operacijskimi sistemi ter množico različnih aplikacij. Vedno pogosteje se prav tukaj, namesto na stacionarnih ali prenosnih računalnikih, skrivajo ključni dokazi, brez katerih kriminalcev ne bi bilo mogoče uspešno sodno preganjati. EnCase Mobile Investigator se lahko integrira s produktoma EnCase Forensics ter EnCase Endpoint Investigator, kjer omogoča preiskovalcem enostaven zajem, pregled, iskanje, analizo in poročanje o dokazih tj. podatkih na prenosnih napravah. Kombinacija rešitev zagotavlja enotnost in celovitost kompletne preiskave od začetka zbiranja dokazov do konca primera ali sodnega postopka.

Več: https://www.guidancesoftware.com/encase-mobile-investigator

EnCase Endpoint Investigator 8 / EnCase Forensic 8

Digitalni forenziki potrebujejo funkcionalnosti za kolikor se le da hitro in učinkovito indeksiranje podatkov in preiskovanje dokaznega materiala. V zadnjih različicah programskih rešitev EnCase so inženirji Guidance Software-a (danes spada pot OpenText) napreden indeksni pogon z zbirko algoritmov za (do 4-krat glede na klasične storitve) pospešeno preiskovanje podatkov. Zadnja generacija produktov lahko močno skrajšuje preiskovalne postopke, s tem pa tudi znižuje povezane stroške. Prednost rešitev EnCase Forensic ter EnCase Investigator pred konkurenco je ravno v tem, da jih avtorji izboljšujejo v največji meri glede na odziv uporabnikov.

Ken Basore, Guidance:

We spent long hours in the field with digital investigators to understand their needs and how we could best solve their challenges. We know they require tools that keep pace with evolving adversaries and that allow them to complete endpoint investigations quickly and effectively. EnCase Endpoint Investigator and EnCase Forensic, which are developed with direct customer feedback, deliver the most powerful investigation products on the market.

Nova linija produktov prinaša bolj poenoten delovni proces, bolj bogato in podrobno poročanje, ter poenostavljeno uvajanje novih preiskovalcev. Med ključnimi novimi funkcionalnostmi so:

  • Vgrajeni preiskovalni postopki za hitrejše učenje – na razpolago so nova orodja za podporo hitremu uvajanju »mladih« digitalnih preiskovalcev v delovni proces. Ti lahko za začetek samo sledijo vnaprej pripravljenim postopkom, korak po korak, katere so avtorji izdelali za najbolj pomembne naloge digitalnega preiskovanja.
  • Samodejno preiskovanje – razvijalci so v nove rešitve vgradili več kot 50 najbolj pogostih preiskav oz. iskanj po digitalnih podatkih, ki lahko preiskovalcem privarčujejo veliko časa.
  • Poenostavljeno poročanje – sproti kreirana ad-hoc HTML poročila za obveščanje o preliminarnih ugotovitvah lahko pospešijo nadaljevanje preiskovalnega postopka v pravilno smer.
  • Hiter predogled (EnCase Endpoint Investigator) – preiskovalcem omogoča hiter predogled oddaljenih naprav brez potrebe po dolgotrajnem zajemanju celotnega pomnilnika.
  • Integracija storitve Project VIC (EnCase Forensic)– preiskovalci organov pregona lahko neposredno v orodje vključijo slikovne identifikacije (hash) iz spletne podatkovne baze VIC projekta in tako poenostavijo in predvsem pospešijo pomembne preiskave.

Domača stran:

https://www.guidancesoftware.com/encase-endpoint-investigator

Avtor: Robert Lubej

O podjetju OpenText corp.

OpenText je leta 1991 nastala Kanadska korporacija, ki je med vodilnimi svetovnimi ponudniki rešitev za upravljanje nestrukturiranih informacij v podjetjih. Leta 2017 je pod njihovo okrilje prišel tudi vodilni svetovni ponudnik forenzičnih tehnologij Guidance Software.

Guidance Software deluje na področju odkrivanja in digitalnih preiskav, njihov EnCase uporabljajo v vladnih organizacijah, pravnih agencijah in komercialnih podjetjih, kot glavno orodje za učinkovito preiskovanje. Pokrivajo področja preprečevanja kraje intelektualne lastnine, upravljanja z incidenti, skladnosti s standardi in elektronskega odkrivanja podatkov. Odkriti in temeljito zavarovani digitalni dokaz so veljavni na sodiščih. EnCase uporablja več kot 100 podjetij iz seznama Fortune 500 in polovica iz Fortune 50.

Podjetje opravlja tudi posebej za stranke prirejene storitve iz omenjenih področij, z ekipo pravnih strokovnjakov z izkušnjami v detektivskih, policijskih in drugih vladnih organizacijah, svetovalcev za področje eDiscovery in sodne procese, specialistov informatike in projektnih vodij z izdatnimi izkušnjami upravljanja projektov digitalnih preiskav. Vsako leto se pri njih izuči okoli 6000 pravnih strokovnjakov, sodelavcev vladnih agencij, policistov, neodvisnih preiskovalcev in drugi. Stranke podjetja so vladne agencije in korporacije iz praktično vseh panog.

Več o podjetju najdete na spletnih straneh: http://www.opentext.com/

Dodatne informacije:

Alen Šalamun, tehnični direktor, alen.salamun@real-sec.com

REAL security d.o.o.

Žolgarjeva ulica 17, 2000 Maribor, tel.: 02 234 74 74

http://www.real-sec.com , info@real-sec.com