Forensic Falcon-NEO

Fonctionnalités

Extraction de données extrêmement rapide
Avec 20Go/mn, le Falcon est la solution d’imagerie forensic la plus rapide. Le Falcon respecte déjà les augmentations de vitesse des disques durs prévues par le SAS-SATA-3, 6Go/s, avec une vitesse maximale enregistrée de 37Go/mn.

Les différents formats d’image
Le Falcon traite et vérifie les formats suivants : copie native ou miroir, image dd, e01, ex01 et copie fichiers. Niveaux de compression sélectionnables par l’utilisateur pour e01 et ex01. Authentification par empreintes SHA1, SHA256 ou MD5.

Les ports sources sont bloqués en écriture, ils comprennent : 

• 2 SAS/SATA
• 1 USB 3.0 (peut être converti en SATA avec l’adaptateur optionnel USB vers SATA)
• 1 Firewire
• 1 SCSI (module optionnel SCSI)

Les ports destination :

• 2 SAS/SATA
• 2 USB 3.0 (peut être converti en SATA avec l’adaptateur optionnel USB vers SATA)
• 1 Firewire
• 1 SCSI (module optionnel SCSI)

Le port Gigabit Ethernet pour la connexion réseau est natif. Une carte d’interfaçage optionnelle PCI express est prévue pour les technologies à venir comme le Thunderbolt. Le Falcon comprend aussi un port USB 3.0 pour les pré-visualisations des drives et deux ports hôtes USB 2.0. 

Multi-tâches
Opérer plusieurs tâches simultanément réduit le temps d’acquisition des preuves, en permettant d’effacer un disque destination tout en écrivant sur un second disque, ou bien d’acquérir des données de plusieurs sources et de les transférer vers plusieurs destinations. 5 tâches peuvent fonctionner ensemble.

Interface utilisateur via browser web
Une interface agréable et intuitive permet de vous connecter sur le Falcon à partir d’un browser web et de l’actionner à distance. Le browser fonctionne sur les périphériques de type iPad.

De nombreuses interfaces périphériques
Support natif pour les périphériques SAS/SATA/USB/Firewire. Adaptateurs fournis pour  1,8″/2,5″/3,5″ IDE et 1,8″ IDE ZIF et microSATA. Adaptateurs optionnels pour eSATA, mSATA et flash drives.

Effacement
Effacement aux spécifications DoD (Department of Defense) ou bien avec la fonction Secure Erase.

Transfert des données vers un système de stockage externe
Le Falcon permet de transférer les données vers un système de stockage type NAS au moyen du port Ethernet Gigabit, du port USB 3.0 ou de la connectique SAS/SATA.

Module Optionnel SCSI
Le module SCSI permet l’acquisition et le transfert de données, de et vers des drives SCSI. Le module se connecte au Falcon et procure un port SCSI source protégé en écriture et un port SCSI destination. Toutes les fonctions du Falcon sont supportées avec ce module.

Pack batterie (optionnel)
Une option  à venir proposera une batterie rechargeable.

Disque interne amovible
Le système d’exploitation et les logs sont stockés sur un drive interne. Ce drive est amovible pour transfert vers des lieux sécurisés/classifiés.

Ecran tactile 7″
Un écran tactile 7” avec une interface agréable procure une navigation aisée à travers toutes les fonctions. Un clavier est aussi disponible sur l’écran.

Extractions HPA et DCO
Il est possible de détecter et d’extraire des données des zones protégées (HPA : Host Protected Areas) et des zones cachées (DCO : Device Configuration Overlay) sur le drive suspect (source).

Compact 
Le Falcon est léger, 1,09 kg (2.5lbs), et peu encombrant, L 21.6cm X H 7.6cm X P 15.9cm (8.5″W X 3″H X 6.25″D).

Copie de fichiers filtrée
Les utilisateurs peuvent définir un filtre, puis acquérir les données selon l’extension des fichiers (.PDF, .xls, .JPEG, .mov etc.).

Chiffrement
Il est possible de sécuriser les données de preuve par un chiffrement complet du disque AES 256 bits. Le déchiffrement se fait soit sur le Falcon soit avec un logiciel libre comme TrueCrypt ou FreeOTFE (On the Fly encryption).

Fonctionnement parallèle
Réalise simultanément plusieurs tâches d’une même source vers différentes destinations en utilisant différents formats. Par exemple, copie vers un emplacement réseau ou un drive destination en format natif de la copie, tout en transférant vers un drive destination différent en format e01.

Acquisition+vérification simultanées (Brevet en cours)
Acquérir et vérifier simultanément permet de profiter de la vitesse du disque destination qui peut être supérieure à celle du disque source. La durée totale du processus peut être divisée par deux.

Acquisition/transfert vers un emplacement réseau
Utilisez le Falcon vers un emplacement réseau avec le protocole CIFS et/ou acquerrez les données d’un emplacement réseau en iSCSI. Le Falcon utilise le protocole CIFS pour donner un accès au système de fichiers et le plus haut niveau de sécurité et de contrôle. Les utilisateurs peuvent aussi utiliser l’iSCSI comme drive source ou destination.

Profiles utilisateurs/Configurations
Une prochaine mise à jour permettra que les administrateurs puissent sauvegarder les paramètres de configuration et définir des profiles utilisateurs protégés par mot de passe.

Pré-visualisation du drive
Le Falcon dispose de ports bloqués en écriture. Il peut être utilisé comme un bloqueur d’écriture externe au moyen du port périphérique USB 3.0 pour une pré-visualisation ou un transfert sécurisés. Les drives sources peuvent aussi être pré-visualisés sur le réseau au moyen d’un initiateur iSCSI.

Baie pour drive destination
Une future mise à jour prévoit, sur option, une baie pour un drive destination avec porte fermant à clé. 

Task Macro
Permet la définition de tâches qui s’exécuteront séquentiellement. Automatise vos travaux pour optimiser et simplifier les opérations. Par exemple, effacement, puis acquisition, puis vérification d’un drive. Cinq Macros sont disponibles avec 9 opérations/tâches par macro.

Acquisition de trames réseau (mise à jour à venir)
Acquerrez les trames réseau en format PCPAP. Décodez en utilisant des outils du marché comme WireShark.

Fonction réseau “Push”
Envoyez les fichiers preuves des drives destination connectés au Falcon ou d’une base Falcon vers un emplacement réseau. La fonction Push est une méthode plus sécurisée que la simple copie vers l’ordinateur d’analyse car elle met en œuvre un contrôle MD5 ou SHA pendant le transfert. Les utilisateurs peuvent aussi utiliser la fonction de vérification pour s’assurer de l’intégrité des données. Les utilisateurs réseau peuvent alors rapidement pré-visualiser les données ou les copier sur un drive local ou vers un quelconque autre répertoire sur le réseau. Le Falcon produit un fichier log à chaque utilisation de la fonction Push.

Drive Spanning
Fonction extraction d’un drive pour transfert vers deux drives de plus petite capacité.

Ports hôtes USB
Le Falcon possède deux ports hôtes USB 2.0 pour clavier, souris ou imprimante.

Port HDMI
Un port HDMI est situé à l’arrière du Falcon. Ce port peut être utilisé pour connecter le Falcon à un projecteur.

Rapports d’audit
Générez et écrivez sur le drive interne pour relecture et impression. Le rapport est horo-daté.