Herramienta forense digital IPED
IPED es un software de código abierto que se puede usar para procesar y analizar evidencia digital, a menudo incautada en la escena del crimen por la policía o en una investigación corporativa por examinadores privados.
Introducción
IPED – Procesador e Indexador de Evidencia Digital (traducido del portugués) es una herramienta implementada en java y originalmente y aún desarrollada por expertos forenses digitales de la Policía Federal de Brasil desde 2012. Aunque siempre fue de código abierto recién en 2019 se publicó oficialmente su código.
Desde el principio el objetivo de la herramienta fue el procesamiento eficiente de datos y la estabilidad. Algunas características clave de la herramienta son:
- Procesamiento de datos de línea de comandos para la creación de casos por lotes
- Soporte multiplataforma probado en sistemas Windows y Linux
- Casos portátiles sin instalación puede ejecutarlos desde unidades extraíbles
- Interfaz de análisis integrada e intuitiva
- Alto rendimiento multiproceso y soporte para casos grandes: hasta 135 millones de artículos a partir del 12/12/2019
Actualmente, IPED usa Sleuthkit Library solo para decodificar imágenes de disco y sistemas de archivos por lo que se admiten los mismos formatos de imagen: RAW/DD, E01, ISO9660, AFF, VHD, VMDK. Además, hay soporte para formatos UDF (ISO), AD1 (AccessData) y UFDR (Cellebrite). Recientemente se agregó soporte para APFS gracias a la implementación de BlackBag para Sleuthkit.
Características
Algunas de las características de IPED se enumeran a continuación:
- Hashes admitidos: md5, sha-1, sha-256, sha-512 y edonkey. PhotoDNA también está disponible para la aplicación de la ley (contáctese con iped@dpf.gov.br )
- Deduplicación rápida de hash, NIST NSRL, ProjectVIC y búsqueda de hashset LED
- Análisis de firma
- Categorización por tipo de archivo y propiedades
- Expansión recursiva de contenedores de docenas de formatos de archivo
- Galería de imágenes y videos para cientos de formatos
- Georreferenciación de datos GPS (necesita la clave API de Javascript de Google Maps)
- Búsquedas regulares con validación de script opcional para tarjetas de crédito, correos electrónicos, direcciones URL, valores de dinero, bitcoin, ethereum, billeteras onduladas…
- Hexadecimal incrustado, texto Unicode, metadatos y visores nativos
- Indexación de contenido de archivos y metadatos y búsqueda rápida, incluidos archivos desconocidos y espacio no asignado
- Motor de tallado de datos eficiente (toma < 10 % del tiempo de procesamiento) que escanea mucho más que los no asignados, con soporte para más de 40 formatos de archivo, incluidos videos, extensible mediante secuencias de comandos
- Reconocimiento óptico de caracteres impulsado por tesseract 4
- Detección de cifrado para formatos conocidos y uso de prueba de entropía
- Perfiles de procesamiento: forense, pedo (csam), triaje, modo rápido (vista previa) y ciego (para extracción automática de datos)
- Detección de +70 idiomas
- Reconocimiento de entidad nombrada (necesita que se descarguen los modelos Stanford CoreNLP)
- Filtros personalizables basados en los metadatos de cualquier archivo
- Búsqueda de documentos similares con umbral configurable
- Búsqueda de imágenes similares, usando una imagen interna o externa
- Potente agrupación de archivos (agrupación) basada en CUALQUIER metadato
- Compatibilidad con casos múltiples de hasta 135 millones de artículos
- Extensible con secuencias de comandos javascript y python (incluidas las extensiones CPython)
- Integración de herramientas de línea de comandos externas para la decodificación de archivos
- Historial del navegador para Edge, Firefox, Chrome y Safari
- Analizadores personalizados para Emule, Shareaza, Ares, WhatsApp, Skype, Telegram, Bittorrent, ActivitiesCache y más…
- Detección rápida de desnudos para imágenes y videos utilizando el algoritmo de bosques aleatorios (gracias a su autor Wladimir Leite)
- Detección de desnudos utilizando el modelo de aprendizaje profundo de Yahoo open-nsfw (necesita Keras y jep)
- Transcripción de audio, implementaciones con servicios Azure y Google Cloud
- Análisis gráfico para comunicaciones (llamadas, emails, mensajería instantánea…)
- Procesamiento estable con decodificación y análisis de archivos fuera del proceso del sistema de archivos
- Reanudación o reinicio de un procesamiento detenido o cancelado (opciones –continuar/–reiniciar)
- API web para buscar casos remotos, obtener metadatos de archivos, contenido sin procesar, texto decodificado, miniaturas y publicar marcadores
- Creación de marcadores/etiquetas para datos interesantes
- Informes HTML, CSV y casos portátiles con datos etiquetados
Instalar y usar
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.