Rosnąca stale, niemalże zgodnie z prawem Moore’a pojemność dysków twardych, malejące każdego roku ceny za gigabajt ich pojemności, zwiększająca się różnorodność nośników danych i urządzeń elektronicznych – te kwestie z pewnością mniej lub bardziej frasują każdego specjalistę informatyki śledczej. Żaby usprawnić pracę specjaliści poszukują rozwiązań, które pozwolą im współdzielić czynności analityczne. Czy Magnet AXIOM jest właśnie takim rozwiązaniem?
Już dawno szarą codziennością stała się obecność kilku dysków twardych, jak również urządzeń mobilnych typu telefon, czy tablet, w prowadzonych sprawach. Zgromadzone informacje z wielu źródeł danych muszą zostać poddane efektywnej i rzetelnej analizie. Często rodzi to potrzebę współdziałania w danej sprawie z innymi specjalistami, bądź przekazania uzyskanych danych do interesariuszy celem samodzielnej analizy. To właśnie ułatwienie współpracy nad dochodzeniem pomiędzy specjalistami, również spoza dziedziny informatyki, takimi jak prawnicy, adwokaci, tłumacze, było jednym z głównych założeń przyjętych przez firmę Magnet Forensics przy tworzeniu nowej cyfrowej platformy dochodzeniowej Axiom.
Nowy AXIOM czerpie to co najlepsze od swoich poprzedników
Axiom został zbudowany na bazie poprzedniego flagowego produktu o nazwie Internet Evidence Finder (IEF). Po swoim prekursorze przejął łatwy i przyjazny interfejs oraz prostotę obsługi. Dodano natomiast możliwość pozyskania danych z szerokiej gamy nośników i urządzeń (za pomocą modułu o nazwie Axiom Process), zwiększono liczbę wykrywanych artefaktów, dokładność i szybkość procesowania oraz rozszerzono możliwości analityczne narzędzia (moduł Axiom Examine).
Jedną z takich możliwości, która została zaczerpnięta z Internet Evidence Finder i usprawniona jest tworzenie Portable Case (Rys. 1-3). Funkcjonalność ta pozwala na szybkie utworzenie pakietu składającego się z narzędzia analitycznego oraz całości bądź wybranej części uzyskanych danych należących do sprawy. Po utworzeniu wystarczy przenieść katalog główny naszego pakietu na przykład na pamięć przenośną i przekazać innej osobie.
W tym momencie na pewno można sobie wyobrazić różne scenariusze zastosowania powyższej funkcjonalności. Przykładowo możemy podzielić uzyskane dane ze względu na rodzaj zawartości: jeden ze współpracowników otrzyma do analizy tylko pliki graficzne, inny natomiast wszystkie pliki video, korespondencja mailowa zostanie osobno wydzielona i przekazana adwokatom do sprawdzenia. Dodatkowo brak konieczności posiadania kolejnych licencji zwiększa elastyczność tego rozwiązania. Portable Case może być uruchamiany na dowolnej liczbie komputerów, zachowując jednocześnie większość funkcji systemu licencjonowanego.
Osoby pracujące nad sprawą, dokonujące przeglądu danych, mogą kategoryzować swoje znaleziska dzięki profili, dodawać tagi oraz komentarze (Rys. 4). Po przeprowadzeniu przeglądu, sprawa w formie przenośnej może zostać zaimportowana do sprawy źródłowej, z uwzględnieniem wszystkich profili, tagów i komentarzy utworzonych przez drugą osobę (Rys. 5). Zarządzający sprawą źródłową ma podgląd w zamieszczone przez współpracownika informacje, między innymi dzięki oznaczeniu zaimportowanych komentarzy specjalnym prefiksem, identyfikującym ich autora. Pomimo dołączania kolejnych spraw, utrzymanie jasnego, klarownego obrazu wykonanych czynności nie jest trudne.
Możliwość prostego rozdystrybuowania czynności analitycznych pomiędzy grupą osób, znacząco zmniejsza czas potrzebny do wykonania pełnej opinii. Widzimy zatem obecny w oprogramowaniu przemyślany, zamknięty cykl postępowania dający niewątpliwy atut w erze niezmiernie gwałtownie rosnącej objętości danych do przeglądu.
Raportowanie
Dotychczas omówione zostały kwestie pracy zespołowej nad analizą i przeglądem danych. Większość specjalistów także skupia się głównie na części analitycznej, podczas gdy jeden z najważniejszych etapów każdego dochodzenia, jakim jest raportowanie, wykonywany jest często w pośpiechu. Nie należy go lekceważyć, ponieważ nieważne jak rewelacyjne byłyby nasze odkrycia, jeżeli odpowiednio ich nie zaprezentujemy, na pewno spotkamy się z niezrozumieniem i niezbyt entuzjastycznymi reakcjami drugiej strony.
Poza intuicyjnym i innowacyjnym rozwiązaniem jakim jest Portable Case, mogący służyć do prezentacji wyników analizy, Axiom oferuje również tworzenie klasycznych raportów w wielu formatach. Raporty charakteryzują się czytelnością oraz prostą formą, tak aby również osoby nietechniczne mogły się z nimi z powodzeniem zapoznać. Szczególnie interesujący jest raport w formacie HTML (Rys. 6), odwzorowujący w pewien sposób interfejs programu poprzez panel nawigacyjny, w którym wymienione są poszczególne grupy artefaktów. Lista obiektów wraz z opcjami filtrowania, sortowania, wyszukiwania i możliwością przejścia do szczegółowych informacji dotyczących każdego obiektu znajduje się tuż obok.
Podsumowując – Axiom to interesujące narzędzie, dobrze uzupełniające się z pozostałym rozwiązaniami, obecnymi w każdym laboratorium informatyki śledczej. Prosta obsługa i przyjazny interfejs dały w efekcie pakiet będący miłą odskocznią od bardziej „niskopoziomowych” programów, wymagających doświadczenia i sporej dozy rozwagi w obsłudze. Gdy istnieje potrzeba zaangażowania większej liczby osób do sprawy, czy to z powodu czasu bądź ilości danych, warto zastanowić się nad skorzystaniem właśnie z tej platformy.