Computer forensics: et nærmere kig på tre værktøjer
I dag taler vi primært om digital forensics. Med fremkomsten af mobilteknologi synes efterforskningen af computerdata at træde mere og mere i baggrunden. Men er det virkelig tilfældet? Den følgende analyse af tre førende softwareværktøjer til digital efterforskning viser, at dette ikke er tilfældet.
For at kunne gennemføre en grundig og forensic forsvarlig efterforskning er det vigtigt, at efterforskere har de rigtige værktøjer til rådighed. Disse værktøjer kan hjælpe eksperter med at finde nyttige beviser i cloud og på mobile enheder. Computere og bærbare computere bliver også jævnligt fundet under efterforskningen. Det er ikke altid let at afgøre, hvilket værktøj der skal bruges og hvornår. Eksperterne hos DataExpert Investigations vil gerne rådgive dig om dette. De har et efterforskningslaboratorium, der er udstyret med forskellige forensic software- og hardwareløsninger med hver sin specialitet og styrke. Hvilket værktøj der anvendes afhænger af efterforskningstypen, de datamedier, der anvendes, det anvendte styresystem og formålet med efterforskningen. F.eks. anvendes EnCase, FTK og Intella til digital efterforskning af computere og bærbare computere. I det følgende forklarer vi, hvordan disse tre løsninger bidrager til en effektiv efterforskning.
EnCase
EnCase er den mest kendte softwareløsning til computer efterforskninger, udviklet af Guidance Software, som nu er en del af OpenText porteføljen. EnCase er en kraftfuld og effektiv løsning til gendannelse og filtrering af data på en computer. EnCase kan bruge filtre og betingelser til hurtigt at vise, hvilke filer der er relevante. Det er derefter muligt nemt at vælge disse data og se nærmere på dem ved hjælp af betingelser. Betingelserne er angivet i EnCase og bruges til at vælge filer efter dokumenttype eller sti. Betingelserne kan nemt oprettes i EnCase selv. Dette gør det nemt for efterforsker eller DataExperts eksperter at sammensætte en værktøjskasse til hver enkelt efterforskning, som opfylder kravene til den pågældende efterforskning. Figuren nedenfor viser et eksempel på de mulige betingelser i EnCase.
Det er også muligt i EnCase at udvælge datoer og tidspunkter, hvor en handling/incident har fundet sted. Endelig giver EnCase mulighed for at registrere fundne beviser i klare rapporter.
FTK
Forensic Toolkit (FTK) er produceret af Exterro Exterro og er bedst kendt for FTK Imager, som bruges af mange digital efterforskere til at kopiere computerdata. Forensic Toolkit giver mulighed for at indeksere fundne data på en computer. Indeksering af data er et krav i FTK for at løse en sag. Hvert ord, der forekommer i et datasæt, findes således i en database. Hvis der indtastes søgeord, søger FTK automatisk i databasen og viser alle varianter, der svarer til de indtastede søgeord.
Desuden tilbyder FTK en effektiv tidslinjefunktion, som kan bruges til at søge efter en bestemt dato eller et bestemt tidspunkt i en computers e-mail-trafik. Denne tidslinje er oprettet på baggrund af e-mails. Afsendelses- og/eller modtagelsestidspunkterne er ordnet kronologisk efter år, måned eller endog dag. Det gør det nemmere at vælge en tidsperiode og søge inden for den valgte tidsperiode. Et eksempel på denne tidslinje er vist i følgende figur.
Intella
Et effektivt værktøj til e-mail-søgning er Intella. Dette værktøj er ikke kun begrænset til e-mails, da Office-data og data fra skyen også kan søges nemt. Grænsefladen gør Intella meget brugervenlig og behagelig at arbejde med. Intella anbefales især til ikke-tekniske efterforskere og personer med lidt eller ingen erfaring.
I de seneste år er Intella blevet videreudviklet af Vound Software, som har skabt det. Softwaren er meget kraftfuld, når det gælder analyse af store e-mail-miljøer, og den kan også bruges til at udtrække data fra skyen, som det er nødvendigt for Office 365-miljøer. Inden for e-mail-trafikken er det muligt at søge efter forbindelser, f.eks. hvem der har været i kontakt med hvem. Bevismateriale, der kan frikende beviser, bliver også gennemsigtigt, da hele e-mailkonversationen er tilgængelig.
Intella giver også mulighed for at knytte de beviser, der er fundet i en sag, til en person med identiteter. Når Intella har indekseret dataene, kan en Insight Report nemt deles med teamet. Det giver et godt overblik over, hvilke data der er fundet, og styrer dem samtidig i den retning, de ønsker at søge. Et eksempel på denne rapport er vist nedenfor.
Ud over de værktøjer, der er beskrevet ovenfor, findes der mange andre software- og hardwareløsninger, der er velegnede til digital efterforskning. Vi rådgiver dig gerne om dette eller fjerner alle dine bekymringer ved at udføre den forensic efterforskning for dig. Har du stadig spørgsmål? Så tag kontakt med os.