představení nástroje nuix
TRANSCRIPT
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
RAC Digital Forensics InfoDay 2014 vol. II
Nuix IntroMarián Svetlík
Erpet Golf Centrum Praha
19. 11. 2014
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 2
Představení nového analytického nástroje jako alternativy k EnCase a FTK:
• patentovaný parallel proscessing engine
• funguje nativně i pod Linux a Mac OS, je to Java aplikace
• sdílení dílčích výsledků přes webové rozhraní
Úvod
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 3
• Základní struktura Nuix systému
Proč nuix
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 4
• licencování dle využitých procesorů… rychlost
Proč nuix
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 5
• Škálování výkonu
Proč nuix
Workers can scale Vertically as the number of Cores increases
Workers can also scale Horizontally across several Nuix boxes
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 6
• licencování dle využitých procesorů… rychlost
Proč nuix
0.240.48
0.720.96
1.21.44
1.68
3.36
5.04
6.72
8.4
0
1
2
3
4
5
6
7
8
9
2 4 6 8 10 12 14 28 42 56 70
Workers
Vertical & Horizontal ScalingProcessing @ 5GB/worker/hour
TB/Day
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 7
nuix workbench
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 8
filtry
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 9
možnosti dokumentů
textověx
nativně
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 10
možnosti zpracování emailů
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 11
možnosti zpracování emailů
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 12
možnosti zpracování emailů
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 13
možnosti exportu emailů
tohle konkurence neumí
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 14
Skin tone analýza
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 15
hledání klíčových slov
možnost filtrace výsledků
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 16
Pojmenované entity
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 17
Pojmenované entity
Nuix has the ability to allow Investigators to transport intelligence items between cases.
This items can include but are not limited to:Word ListsSearch Methodologies Workflows
This means that users can build up a library of useful techniques and intelligence.
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 18
Podobnost
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 19
funguje to?
Porovnání FTK x nuix
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 20
funguje to?
Porovnání FTK x nuix – první výsledky:
• čas zpracování (AMD 8 x 4.0GHz, 32 GB RAM, 64bit) • FTK cca 10 hod• nuix cca 16 hod při využití 2 jader (licenční politika)• (EnCase cca 9,5 hod – není dokončeno testování výsledků)
• výsledky filtrování dle typů dokumentů i dle výsledků vyhledávání klíčových slov jsou v zásaděsrovnatelné
• ač ve výstupech existují rozdíly v (ne)prospěch obou produktů, podstatné rozdíly nebyly doposud zjištěny
1001100111111100110011111001
11110010101011111010011001100100111100100111001110
111100110110
BEST PRACTICES
3. 12. 2014 RAC Digital Forensics InfoDay 2014 vol. II 21
funguje to?
Potencionální výhody nuix:
• výrazně rychlejší čas zpracování při využití více jader
• větší stabilita při zpracování většího objemu dat
• jednodušší uživatelské rozhraní pro základní forenzní analýzu a ediscovery
• podpora více formátů pro export