opis

Forensic Email Collector (FEC) to narzędzie przeznaczone do pozyskiwania dowodów e-mail  z lokalnych serwerów poczty oraz chmury. Rozwiązanie łączy się z serwerami metodą “tylko do odczytu” i zbiera z nich dane potrzebne do uwierzytelnienia oraz tworzy szczegółowe dzienniki zawierające całą aktywność na potrzeby dokumentacji danej sprawy. 

funkcjonalności

Informatycy śledczy często zmagają się z problemami związanymi z przerywaniem dużych akwizycji z powodu ograniczania przepustowości serwera i uwierzytelniania wieloskładnikowego. FEC zaprojektowany został w taki sposób, aby ułatwić im życie. 

Wyszukiwanie

FEC umożliwia natychmiastowe wyszukiwanie w Gmailu/Google Workspace, Office 365, lokalnym serwerze Exchange, kontach konsumenckich Microsoft (np. Hotmail, Outlook.com itp.) oraz skrzynkach pocztowych IMAP bezpośrednio na serwerze. 

Kontynuowanie i automatyczne wznawianie

FEC zapewnia, że żadna wiadomość nie umknie akwizycji – w przypadku błędów proces jest automatycznie ponawiany, a rozpoczęte projekty można wznowić w późniejszym czasie. 

Uwierzytelnianie dwuskładnikowe

FEC wspiera uwierzytelnianie dwuskładnikowe przy łączeniu się ze skrzynkami Gmail, Google Workspace, Office 365 i konta Microsoft. Dodatkowo prowadzący sprawy mogą uwierzytelnić własne konta e-mail bez konieczności udostępniania swoich danych do tego niezbędnych.

Delegowanie i personifikacja

FEC umożliwia użycie opcji “delegowania” i podszycia się pod użytkownika w Office 365, serwerach Exchange i na Google Workspace. Dzięki tym opcjom możesz użyć pojedynczego zestawu danych uwierzytelniających, aby zabezpieczyć skrzynki pocztowe.

Google Drive – załączniki i rewizje

FEC umożliwia uzyskanie dostępu do załączników dołączonych do wiadomości jako hiperłącze i ich rewizji podczas akwizycji Gmail oraz Google Workspace. E-maile, ich załączniki oraz załączniki z Google Drive są eksportowane w jednej paczce, co umożliwia pełne zbadanie pozyskanych danych w kontekście.

Nie tylko e-maile

Oprócz e-maili FEC może pozyskiwać Kalendarze Google, a także notatki, kontakty i wydarzenia w kalendarzu z serwerów Exchange.

Pozyskiwanie przy użyciu istniejących sesji logowania

Podczas nakazu przeszukania funkcjonariusze organów ścigania mogą użyć FEC do uwierzytelnienia siebie w skrzynkach pocztowych Gmail/Google Workspace na komputerze podejrzanego, korzystając z istniejącej sesji logowania w przeglądarce internetowej podejrzanego. Dzięki temu mogą szybko przeszukać skrzynkę pocztową i uzyskiwać wyniki na miejscu.

Wiele formatów

FEC pozwala na wyprowadzanie wyników do formatów plików takich jak EML, MSG i PST, umożliwiając tym samym dalszą analizę w innych rozwiązaniach infromatyki śledczej. Oszczędza to czas, który zazwyczaj byłby zużyty na wykonanie konwersji i minimalizowanie potencjalnych problemów z niej wynikających.

Szczegółowa dokumentacja

Szczegółowa dokumentacja ma kluczowe znaczenie dla śledztw. FEC dokumentuje proces akwizycji poprzez prowadzenie szczegółowych logów komunikacji z serwerem oraz wszelkich napotkanych problemów.

Hashowanie wyjścia

FEC automatycznie hashuje zebrane elementy za pomocą algorytmu MD5, SHA-1, SHA-256 lub SHA-512. Hashowanie odbywa się z wykorzystaniem wielu rdzeni procesora.

Metadane serwera

FEC wydobywa metadane serwera, takie jak wewnętrzna data IMAP i atrybuty wiadomości o unikalnym identyfikatorze, identyfikatory wiadomości i wątków Gmaila oraz wartości indeksu wątków. Gwarantuje to wszystkie informacje potrzebne do raportu.

Automatyczne wykrywanie zmiany

FEC umożliwia automatyczne określenie adresu URL usług internetowych Exchange i docelowej wersji serwera przy użyciu adresu e-mail i hasła.

Elastyczność

FEC pozwala na akwizycję danych z Gmaila / Google Workspace, Office 365, hostowanych i lokalnych serwerów Exchange, a także serwerów kompatybilnych z IMAP4 i POP3, takich jak Yahoo, AOL i iCloud.

Opcje licencjonowania

FEC może być używany z kluczem licencyjnym lub sprzętowym kluczem USB, pozbawionym sterowników i przyjaznym dla hipernadzorców oraz rozwiązań wirtualizacyjnych.