Forensisch onderzoekers die licht willen reizen en toch Windows-tools zoals enCase en FTK willen gebruiken kunnen ook een MacBook Air overwegen. Dat stelt forensisch onderzoeker Kevin Long van het Verizon Risk Team. Een aantal forensisch onderzoekers van het bedrijf wilden met een zo'n klein mogelijke 'footprint' reizen, zeker vanwege de controles op vliegvelden.

Verizon startte daarom een onderzoek of de MacBook Air, en dan met naam de Boot Camp mogelijkheden om Windows te gebruiken, een geschikte forensische laptop zou zijn. In het verleden liepen de onderzoekers tegen problemen aan met Apple's ExpressCard implementatie en apparaten die hier in Boot Camp gebruik van maakten.

Boot Camp
Rond 2009 was de ExpressCard volgens Long de beste manier om eSATA-apparaten via een Mac-laptop te benaderen, maar dat gold niet voor Windows. Door de toevoeging van Thunderbolt in de nieuwste generatie MacBook Air wilde de forensisch onderzoeker kijken of de machine probleemloos met de standaard gebruikte forensische software en apparaten kon werken.

En dat blijkt nu ook in Boot Camp het geval te zijn. Forensische programma's en tools zoals EnCase 6.19, FTK 4.0.2, Seagate GoFlex Thunderbolt, Addonics CipherChain, Tableau write blockers en LaCie Thunderbolt/eSATA hub bleken probleemloos te werken.

Ruimte
Long vindt met name de LaCie Thunderbolt hub interessant, omdat die vrij klein is, maar toch twee eSATA-verbindingen naar exterene apparaten mogelijk maakt. Tijdens een test werden er twee Ciphertex Ranger encrypted RAID arrays aangesloten, waardoor de Air over 20 terabyte opslag beschikte. "Dat zou genoeg voor een aantal forensische images moeten zijn." Wel zorgen twee arrays voor een iets grotere footprint.

Inmiddels gebruiken de forensisch onderzoekers van Verizon de MacBook Air en de eerste resultaten zouden goed zijn. "Het lijkt erop dat we een goede forensische oplossing voor het moment hebben gevonden", besluit Long.