Informa(on Assurance in a Distributed Forensic Cluster - PowerPoint PPT Presentation

Informa(on ¡Assurance ¡ in ¡a ¡ Distributed ¡Forensic ¡ Cluster ¡ ¡ • Nick ¡Pringle a *, ¡Mikhaila ¡Burgess a ¡ a ¡University ¡of ¡South ¡Wales ¡(formerly ¡University ¡of ¡Glamorgan), ¡Treforest, ¡CF37 ¡1DL, ¡UK ¡ •

• This ¡is ¡a ¡short ¡presenta(on ¡of ¡the ¡work ¡ presented ¡at ¡DFRWS ¡Europe ¡2014 ¡ • www.fcluster.org.uk ¡ • PhD ¡published ¡at ¡the ¡end ¡of ¡the ¡year ¡

Complex Opera(on ¡Big ¡Wing, ¡24 th ¡April ¡2014 ¡ Highly Skilled 3,300 ¡Metropolitan ¡Police ¡Officers ¡ Small Quantity Targe(ng ¡Co-‑ordinated ¡arrests ¡of ¡630 ¡persons ¡ across ¡London ¡as ¡burglary ¡and ¡theS ¡crackdown ¡ ¡ Na(onal ¡Crime ¡Agency ¡ Opera(on ¡Notorise ¡resulted ¡in ¡660 ¡persons ¡ Simple arrested ¡in ¡regards ¡child ¡abuse. ¡ ¡ Basic Skills Specifically ¡9,172 ¡devices ¡seized. ¡ Large Quantity

Chain ¡of ¡Evidence ¡ Wait ¡ Wait ¡ Wait ¡ Image ¡on ¡ Wait ¡ Artefact ¡ Analysis ¡ Results ¡ Local ¡ Our ¡ ¡ Write ¡ extrac(on ¡ Copy ¡ Repor(ng ¡ Source ¡media ¡ Database ¡ Protected ¡ Media ¡ harddisk ¡ Processing ¡ Copy ¡ 2 ¡MBytes/sec ¡per ¡core ¡ Analysis ¡ Our ¡ ¡ i7 ¡ Results ¡ 8GB ¡USB ¡2 ¡ SATA ¡III ¡but ¡ Copy ¡ 2 ¡minutes ¡ Write ¡ Protected ¡ 20 ¡minutes ¡ Repor(ng ¡ 2 ¡minutes ¡ Media ¡ 12 ¡cores ¡ Database ¡ S(ck ¡ HD ¡85MB/s ¡ Copy ¡ 2 ¡MBytes/sec ¡per ¡core ¡ Analysis ¡ Results ¡ Our ¡ ¡ i7 ¡ SATA ¡III ¡but ¡ Write ¡ 3TB ¡hard ¡Disk ¡ Copy ¡ 70 ¡hours ¡ 11 ¡hours ¡ Repor(ng ¡ Protected ¡ Database ¡ Media ¡ 12 ¡cores ¡ HD ¡85MB/s ¡ 11 ¡hours ¡ 75 ¡Mbyte/s ¡ Copy ¡ All ¡Cores ¡at ¡100% ¡ No ¡Control ¡over ¡Source ¡device ¡speed ¡ S7ll ¡2 ¡MBytes/sec ¡per ¡core ¡ Analysis ¡ Results ¡ i7 ¡ SATA ¡III ¡but ¡ 3TB ¡hard ¡Disk ¡ 11 ¡hours ¡ S7ll ¡70 ¡hours ¡ Repor(ng ¡ Direct ¡Write ¡Protected ¡Copy ¡ Database ¡ 12 ¡cores ¡ HD ¡85MB/s ¡ 75 ¡Mbyte/s ¡ S7ll ¡2 ¡MBytes/sec ¡per ¡core ¡ Results ¡ Analysis ¡ i7 ¡ SATA ¡III ¡SSD ¡at ¡ 3TB ¡hard ¡Disk ¡ 11 ¡hours ¡ S7ll ¡70 ¡hours ¡ Database ¡ Repor(ng ¡ Direct ¡Write ¡Protected ¡Copy ¡ 12 ¡cores ¡ 450 ¡MB/s ¡ 75 ¡Mbyte/s ¡ $$$$ ¡Expensive ¡ Processor ¡Bound ¡

2 ¡MBytes/sec ¡per ¡core ¡ Analysis ¡ 11 ¡hours ¡ Results ¡ 13 ¡hours ¡ Repor(ng ¡ SATA ¡III ¡SSD ¡at ¡450 ¡ Xeon ¡ Database ¡ 3TB ¡hard ¡Disk ¡ MB/s ¡ Direct ¡Write ¡Protected ¡ 75 ¡Mbyte/s ¡ 64 ¡cores ¡ Copy ¡ $$$$ ¡Expensive! ¡$150,000? ¡Unacceptable ¡ SGI ¡Al(x ¡4700? ¡ 11 ¡hours ¡ 2 ¡MBytes/sec ¡per ¡core ¡ i7 ¡ SATA ¡III ¡SSD ¡at ¡450 ¡ 3TB ¡hard ¡Disk ¡ 25 ¡x ¡i7 ¡= ¡300 ¡cores ¡ 12 ¡cores ¡ i7 ¡ MB/s ¡ Direct ¡Write ¡Protected ¡ 75 ¡Mbyte/s ¡ 12 ¡cores ¡ Copy ¡ 2 ¡hours ¡ ¡ i7 ¡ Gigabit ¡Network ¡ 12 ¡cores ¡ i7 ¡ 12 ¡cores ¡ 100 ¡MB/s ¡= ¡10 ¡hours ¡ i7 ¡ i7 ¡ 12 ¡cores ¡ 12 ¡cores ¡ i7 ¡ 10 ¡Gigabit ¡Network ¡ Analysis ¡ Results ¡ 12 ¡cores ¡ i7 ¡ Repor(ng ¡ 1000 ¡MB/s ¡ Database ¡ 12 ¡cores ¡ i7 ¡ $$$ ¡Expensive ¡ 12 ¡cores ¡ i7 ¡ 12 ¡cores ¡ For ¡25 ¡W/S ¡$25,000 ¡

This ¡problem ¡is ¡not ¡going ¡away. ¡It’s ¡going ¡to ¡get ¡worse! ¡ RCFL ¡ 2004 ¡ 2012 ¡ % ¡ 2020? ¡ Figures ¡ Examinations 1304 ¡ 8566 ¡ 657 ¡ 56270 ¡ 229TB ¡ 5886 ¡TB ¡ 2570 ¡ Total Volume 151 ¡EB ¡ Examined Average Case 175GB ¡ 680 ¡GB ¡ 300 ¡ 2.6 ¡TB ¡

Latency, ¡Mul(-‑threading ¡ ¡ and ¡Parallel ¡Processing ¡ Task ¡setup ¡ Processing ¡ Task ¡closure ¡ Linear ¡Processing ¡ Mul(-‑Threading/ ¡ Parallel/ ¡ Distributed ¡Processing ¡

Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Source ¡ Write ¡ extrac(on ¡ media ¡ Protect ¡ Hard ¡Disk ¡ Processing ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ extrac(on ¡ Hard ¡Disk ¡ Processing ¡ Results ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Database ¡ Write ¡ Source ¡ extrac(on ¡ Hard ¡Disk ¡ Protect ¡ media ¡ Processing ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ extrac(on ¡ Hard ¡Disk ¡ Processing ¡ Analysis ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Repor(ng ¡ extrac(on ¡ Write ¡ Source ¡ Hard ¡Disk ¡ Processing ¡ Protect ¡ media ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ extrac(on ¡ Hard ¡Disk ¡ Processing ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Write ¡ Source ¡ extrac(on ¡ Protect ¡ media ¡ Hard ¡Disk ¡ Processing ¡

Source ¡ Write ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ extrac(on ¡ media ¡ Protect ¡ Hard ¡Disk ¡ Processing ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ Artefact ¡ DEB ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ DEB ¡ extrac(on ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ Results ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Source ¡ Write ¡ Database ¡ extrac(on ¡ DEB ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ media ¡ Protect ¡ Processing ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ extrac(on ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ DEB ¡ DEB ¡ Analysis ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ Write ¡ Source ¡ DEB ¡ Repor(ng ¡ extrac(on ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ DEB ¡ Processing ¡ Protect ¡ media ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ extrac(on ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ DEB ¡ DEB ¡ Write ¡ Source ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ extrac(on ¡ Protect ¡ media ¡ Hard ¡Disk ¡ Processing ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡

We ¡lose ¡“Chain ¡of ¡Evidence” ¡ • We’re ¡not ¡longer ¡using ¡a ¡simple ¡system ¡ ¡ ¡ ¡with ¡one ¡file ¡store ¡and ¡a ¡few ¡PCs ¡ • In ¡this ¡world ¡of ¡distributed ¡storage ¡and ¡processing ¡ ¡ ¡we ¡need ¡to ¡revisit ¡and ¡re-‑establish ¡ ¡ ¡“Chain ¡of ¡Evidence” ¡within ¡the ¡computer ¡system ¡ • We’re ¡back ¡a ¡decade ¡and ¡can’t ¡move ¡on ¡un(l ¡we ¡do ¡

“Jigsaw” ¡Imaging ¡ Data ¡Acquisi7on ¡Triage ¡ Source ¡ Write ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ extrac(on ¡ FClusterfs ¡ media ¡ Protect ¡ Hard ¡Disk ¡ Processing ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ Artefact ¡ DEB ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ DEB ¡ extrac(on ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ Results ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ Source ¡ Write ¡ Database ¡ extrac(on ¡ DEB ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ media ¡ Protect ¡ Processing ¡ (Hadoop?) ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ extrac(on ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ DEB ¡ DEB ¡ Analysis ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ Write ¡ Source ¡ DEB ¡ Repor(ng ¡ extrac(on ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ DEB ¡ Processing ¡ Protect ¡ media ¡ DEB ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ extrac(on ¡ DEB ¡ Hard ¡Disk ¡ DEB ¡ Processing ¡ DEB ¡ DEB ¡ Write ¡ Source ¡ Artefact ¡ I7 ¡-‑ ¡12 ¡cores ¡ DEB ¡ DEB ¡ extrac(on ¡ Protect ¡ media ¡ Hard ¡Disk ¡ Processing ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡ DEB ¡

Informa(on Assurance in a Distributed Forensic Cluster - PowerPoint PPT Presentation

Informa(on Assurance in a Distributed Forensic Cluster Nick Pringle a *, Mikhaila Burgess a a University of South Wales (formerly University of Glamorgan),

Evolving Assurance going where? Collaborative, distributed, and generalized assurance beyond

Vassil Roussev The Current Forensic Workflow Forensic Target (3TB) Clone Process @150MB/s

Why This Workshop? In 2009 the Research Council of the National Academy of Sciences issues a

Challenges in Crime Scene Investigation Technical challenges in forensic STR profiling

Objectives 1. Articulate the rationale for restructuring forensic evaluation reports 2. Identify

T and Science of Forensic Monitoring Forensic Monitor may be employed by one Board or a

Forensic Challenge V2.0 UNAM-CERT RedIRIS Topics * Forensic Challenge V1.0 * Forensic

Specialized Topics in Ethical Forensic Practice, Part 3: Bias in Forensic Evaluations November 18,

Tiresias A GPU Cluster Manager for Distributed Deep Learning Ju Junchen eng g Gu , Mosharaf

Taskerman A Distributed Cluster Task Manager Raghavendra D Prabhu rprabhu@yelp.com

THE NEW FORENSIC PATIENT Learning Objectives Review the epidemiology of forensic populations

Distributed Shared Memory History, fundamentals and a few examples Coming up Cluster Computing

Forensic Voice Comparison and Forensic Acoustics 1 Value and Interpretation of Biometric

Regional Forensic Trainings 2013 Pathways to Conditional Release: An Overview of the Forensic

T and Science of Forensic Monitoring Has your boss just told you? You are our New Forensic

Current Forensic DNA Typing o Forensic cases -- matching suspect with evidence Involves generation

Distributed Shared Memory 1 Distributed Shared Memory Making the main memory of a cluster of

10. Forensic Issues I A MERICAN P SYCHOLOGICAL A SSOCIATION Forensic Issues For people with SMI,

Resilient Distributed Datasets: A Fault-Tolerant Abstraction for In-Memory Cluster Computing

Resilient Distributed Datasets: A Fault-Tolerant Abstraction for In-Memory Cluster Computing M.

MATERIALS AND TESTING QUALITY ASSURANCE QUALITY ASSURANCE What is Quality Assurance? Why

GOJ Audit Commission Conference 2016 PRESENTS : FORENSIC Forensic Audits-Help for Todays

Forensic and I nvestigative Speaker Recognition: Situation BKA Odyssey 2016 June 21-24, Bilbao,

Cannabis Some Challenges with Determining Impairment - A Forensic Toxicologists