Área do Aluno
Área do Aluno

O sistema IPED Forense

O sistema IPED Forense: Processador e Indexador de Evidências Digitais da Polícia Federal

Introdução

Em primeiro lugar, nesse artigo iremos fazer uma introdução sobre o Sistema IPED Forense que é uma ferramenta extremamente versátil e que permite inúmeras possibilidades de uso. Com parametrizações avançadas e configurações extremamente específicas. Nesta pesquisa nós faremos a apresentação inicial e, além disso, daremos dicas de uso básico desta incrível ferramenta forense.

O IPED (Indexador e Processador de Evidências Digitais), ou ainda, IPED Digital Forensics Tool , é uma ferramenta forense brasileira desenvolvida em meados de 2012, pelo Perito Criminal Federal Luís Filipe Nassif . Quando o Brasil passou por um volume estarrecedor de combate contra a trâmite e os assuntos digitais passou a fazer parte do cotidiano de diversos segmentos de investigação e perícia, tanto na área criminal como cível e trabalhista.

Nassif em sua página do GitHub informa hoje ser o Líder do Projeto IPED, Membro do projeto Apache Tika, Apache e ProjectVIC, bem como membro do Centro de Inovação da Interpol – Organização Internacional de Polícia Criminal.

Portanto, apesar de ter sido usado pela Polícia Federal Brasileira desde o ano de 2012, o IPED Indexador só foi disponibilizado para o público em geral no ano de 2019. Usuários quando o projeto foi autorizado a sair da Polícia Federal para se tornar um projeto de código aberto público e disponibilizado no GitHub da Polícia Federal Brasileira (‘https://github.com/sepinf-inc’).

Figura 1 – Captura de tela da página GitHub do departamento de Serviço de Perícias em Informática da Polícia Federal Brasileira

 

Você vai gostar de ver também: Introdução Ao IPED Forense, Com o Prof. e Diretor Renan Cavalheiro.

 

Assim, consta nas informações do GitHub do departamento de Perícias em Informática da Polícia Federal Brasileira, a ferramenta o sistema IPED Forense foi desenvolvida com o objetivo de ser um Processador de Evidências Digitais eficiente. Ou seja, com foco em velocidade de processamento.

Já a questão de velocidade de processamento sempre foi um ponto importante para os profissionais das diversas áreas de atuação da Forense Digital. No entanto, no ano de 2012 as ferramentas disponíveis eram totalmente primitivas.

Indexação

Sendo assim, o termo indexação se refere à etapa de processamento de prova. Após os arquivos terem sido lidos e processados, a plataforma forense cria um catálogo contendo cada palavra identificada e sua localização na prova. Ela permite a busca por palavras-chave com resultado instantâneo eficaz e eficiente. Mas na época a maioria das plataformas forenses realizava apenas buscas por palavras-chave sem indexação. Ou seja, sem a criação de um banco de dados de palavras. Isso faz com que cada busca seja realizada do zero em cada área da prova, portanto, retardando o tempo de resposta das perguntas.

Neste contexto, o sistema IPED Forense da Polícia Federal foi concebido para trazer a agilidade necessária para dar vazão ao grande volume de evidências digitais que não paravam de chegar nos Laboratórios da Polícia Federal em meio a grandes escândalos de investigação. Tais como o inquérito contra o Banco Oportunity , operação Miquéias, Caixa de Pandora, Mensalão e a famigerada Operação Lava Jato logo em breve nos horizontes da Polícia Federal.

De acordo com nossa equipe de pesquisadores, a ferramenta IPED Forense se constitui da seguinte estrutura, sendo que é uma ferramenta extremamente versátil e de alto desempenho.

Figura 2 – Estrutura da ferramenta IPED conforme abstração do Professor Renan Cavalheiro – Academia de Forense Digital

Então, com sua disponibilização aberta ao público, rapidamente o IPED Forense se tornou uma das melhores e mais populares ferramentas de processamento de recebimento digital no cenário mundial. Ganhou diversas referências de sua aplicação no FBI, Interpol, Forças Armadas, dentre outras instituições nacionais e mundiais importantes.

Configurando o Java antes de usar a ferramenta IPED

É importante também realizar o download do Java Development Toolkit – JDK. Para isso, nossa equipe foi aconselhada por um dos membros da equipe de desenvolvimento, Thiago Figueiredo – https://github.com/thiagofuer – a utilizar a biblioteca JDK da Bellsoft. Para baixar, acesse https://bell-sw.com/pages/downloads/#/java-11-lts e efetue o download do Java 11 LTS. Sendo assim, instale o JDK 11 da Bellsoft e reinicie seu sistema antes de aceitar.

IPED Download – Fazendo o download do sistema IPED

A forma mais usual de realizar o download da Ferramenta IPED, por exemplo, é através da seção “ releases ” no GitHub, localizada no canto superior direito da página, ou ainda, clicando aqui para fazer o download direto da ferramenta versão 4.0.6.

Figura 3 – Página GitHub do Projeto IPED

 

Após o acesso à área de release , vá até a seção “assets” na página seguinte.

Figura 4 – Indicação do arquivo contendo o IPED Forense para download

Depois do download, extraia o conteúdo do arquivo zip do IPED obtido no GitHub do projeto em alguma pasta de fácil acesso. A partir desse documento, crie uma pasta em C:\IPED.

Você vai gostar de ver também: Introdução Ao IPED Forense, Com o Prof. e Diretor Renan Cavalheiro.

A primeira visão que se após a originada do arquivo zip da ferramenta IPED, é a estrutura de 4 pastas:

  • Regripper
  • MPplayer
  • Plugins
  • Iped-06

Sendo assim, estas massas representam, respectivamente, módulos de processamento terceirizados, plugins e pastas efetivamente da ferramenta IPED. Conforme mencionado acima, o sistema IPED Forense é certificado em duas classes. A primeira se refere ao módulo de processamento e indexação de comprovantes. A segunda é o módulo de análise denominado IPED SearchApp .

Para usar o processador IPED, podemos fazer uso do binário para Windows ou diretamente a biblioteca Java. Para utilizar o binário do Windows, basta executá-lo via linha de comando com o PowerShell . Na tela abaixo, utilizamos o comando “iped.exe -h” para demonstrar seu funcionamento.

Figura 5 – Linha de comando para exibição da página de ajuda do IPED Forense através da compilação do arquivo binário para Windows

 O mesmo funcionamento pode ser obtido quando utilizado a biblioteca Java, através do comando “java -jar iped.jar -h”.

Figura 6 – Linha de comando para exibição da página de ajuda do IPED Forense através do uso da biblioteca iped.jar

 

Operando o sistema IPED Forense: Indexador e Processador de Evidências Digitais

O módulo de processamento e indexação de evidência do IPED permite inúmeras configurações e parametrizações específicas. Conforme mencionado no início deste documento, o objetivo deste trabalho é apresentar o uso básico, deixando espaço para outros trabalhos mais avançados.

A sintaxe básica do sistema IPED Forense exige pelo menos 3 parâmetros:

  1. Dados de origem para processamento, geralmente uma imagem forense
  2. Pasta de saída do projeto onde serão salvos os arquivos resultantes do processamento
  3. Perfil de processamento a ser usado

Item 1

Dados de origem, são controlados através do parâmetro “-data” ou “-d” seguido do endereço do objeto que será protegido a processamento. Isso permite ser uma unidade de processamento físico, uma imagem forense física ou lógica, e ainda arquivos ou pastas individuais.

Os formatos legíveis pelo sistema IPED Forense, segundo consta na página oficial da ferramenta, são discos físicos e virtuais imagens raw (dd, 001, ISSO, etc), E01, EX01, AD1, segmentadas ou sequenciais 2 .

Item 2

Pasta de saída do projeto, consulte o local onde o projeto de saída será salvo. É neste local onde você irá executar uma interface de análise posteriormente ao processamento. Sendo assim, você perceberá que nele também estão salvos os bancos de dados da indexação, arquivos exportados, dentre diversos outros itens. A pasta de saída deve ser indicada através do parâmetro “-output” ou “-o”.

item 3

Perfil de processamento se refere ao conjunto de parametrizações que serão utilizados no processamento da imagem. Isso dá, inclusive, a possibilidade de criação de perfis personalizados. Eles se baseiam na parametrização dos arquivos LocalConfig.txt, IPEDConfig.txt e dos diversos arquivos de configuração contidos na pasta “conf”.

Para indicar o perfil desejado, utilize-se o parâmetro “-p” seguido do nome do perfil, exemplo: “-p forensic”, para indicar a utilização do perfil forensic . Por padrão, a ferramenta IPED contém 5 perfis de processamento. Eles são os sentidos abaixo conforme o manual de ajuda disponível na página oficial GitHub da ferramenta IPED. Bem como na interpretação dos parâmetros de conteúdo de configuração na pasta “perfis” do projeto IPED 3 .

a) Padrão

O padrão é usado automaticamente quando nenhum perfil é indicado pelo usuário. Este perfil fará uso dos parâmetros de processamento padrão, ativando o calculador de função Hash MD5, SHA-1 e SHA-256 em todos os arquivos processados. Expande arquivos compostos, realiza indexação de dados e metadados, gera miniaturas de imagens e conduz a busca por alguns padrões de uso de expressões regulares de texto. Este perfil não realiza recuperação de dados “ data carving ”, e não faz indexação da área não alocada e espaços de folga (“ slackspaces ”).

b) Cego

Já o perfil blind , como o nome sugere, foi criado para extrações “cegas”. Quando o Perito recebe a incumbência de realizar a garantia apenas de dados relevantes para o processo, antes de analisar o conteúdo do dispositivo. Para fazer isso, o IPED tem o recurso de Exportar Arquivos de acordo com alguns recursos. Seja por categoria do arquivo, seja por incidência de uma palavra-chave pré-configurada.

Por padrão, o blind irá exportar arquivos categorizados como e-mails, documentos de texto, PDF, RTF, XML, bases de dados, planilhas, apresentações, cartões de contato, conversas e mensagens ou arquivos resultantes de busca por palavras-chave indicadas no arquivo “KeywordsToExport” localizado na pasta conf.

c) Modo rápido

Fastmode visa dar agilidade ao Perito em situações de campo. Ele possibilita uma pré-visualização rápida de dados, sem uma necessidade de processamentos demorados. Principalmente porque este perfil irá exibir uma estrutura de pastas e organizar os arquivos por categorias.

d) Forense

Forense é o mais completo dos perfis pré-configurados. Ele realiza tudo o que foi descrito no perfil padrão, somando a realização de escavação de dados “data carving” , indexação dos espaços de folga “slackspace” e da área não alocada . A lém de ativar a comparação dos hashes dos arquivos com as bibliotecas de hash , caso tenham sido configurados.

e) Pedo

O pedo foi desenvolvido para agilizar a busca por fotografias relacionadas a crimes contra criança e adolescente. Ele permite uma identificação de imagens de forma eficiente através da verificação com diversas bibliotecas de hashes . A maioria de uso fechado das forças de prisão.

f) Triagem

Triagem, ou “triagem”, é semelhante ao perfil fastmode. Porém realiza a indexação de arquivos de algumas categorias, tais como arquivos office, pdf, emails, arquivos de texto, dentre outros.

A sintaxe básica de uso, por fim, será entendida de pelo menos estes três parâmetros apresentados. Por exemplo, ficando assim: “Java -jar iped.jar -d imagemForense.E01 -o ProjetoIPED -p forensic”. Para demonstração nesta pesquisa, usaremos a imagem do caso Mantooth.

Figura 7 – Sintaxe básica de execução da ferramenta IPED

Pós o processamento, se tudo ocorreu bem, o sistema IPED Forense terá criado uma pasta com o nome do projeto de saída indicado pelo parâmetro de saída “-o”. Nele contém a pasta do projeto, o binário para executar o IPED SearchApp , o banco de dados do sleuthkit e alguns arquivos seguidores que seguem conforme o perfil de processamento utilizado.

Figura 8 – Arquivos resultantes do processamento com IPED Forense

 Para iniciar a análise das evidências processadas pela ferramenta IPED, basta executar o IPED SearchAPp.

 

Alavanque sua carreira com o Treinamento Perícia Judicial na Prática

g) Analisando Evidências com o IPED SearchApp

Logo, assim como o IPED Processador, a ferramenta IPED SearchApp é extraordinária. Ela permite a realização de uma análise forense extremamente eficiente, através da aplicação de diversos filtros. Tais como filtros por recurso de processamento, filtro por categoria, filtro por estrutura de massas, filtros por metadados ou filtros por palavras-chave. Isso faz com que todos eles sejam combinados gerando um efeito de funil resultante da aplicação de diversos filtros em conjunto.

 

Você vai gostar de ver também: Introdução Ao IPED Forense, Com o Prof. e Diretor Renan Cavalheiro.

 

Figura 9 – Layout da ferramenta IPED SearchApp

 

1. Filtro por características resultantes do processamento

Através deste filtro, localizado no canto superior esquerdo da ferramenta IPED SearchApp, é feita a filtragem de arquivos com base em características identificadas pós-processamento. Como é o caso dos arquivos ativos, arquivos recuperados por escavação de dados, arquivos deletados a nível de sistema de arquivos, arquivos com hashes conhecidos, dentre outros.

Figura 10 – Filtros por recurso de processamento da ferramenta IPED SearchApp

 

2. Filtro de Categorias

Este permite isolar arquivos com base em sua categorização, a qual é dividido em arquivos derivados de internet, bases de dados, documentos, arquivos compactados, e-mails, arquivos multimídia, dentre outros.

Figura 11 – Filtros por categorias da ferramenta IPED SearchApp

 

3. Filtro de evidência

O de evidência permite não navegar apenas na estrutura de pastas do sistema de arquivos de evidência. Como também utilizar esta navegação para filtrar os conteúdos de cada pasta em conjunto com os demais filtros, tais como os de processamento, de metadados ou resultados de buscas por palavras-chave.

Figura 12 – Filtros por árvore de diretórios da ferramenta IPED SearchApp

 

4. Área de Resultados

Porque a área de resultados permite a visualização da listagem de arquivos resultantes da aplicação ou não dos diversos filtros, podendo assim exibir os itens em formato de tabela de metadados, galeria de multimídia, mapas de geolocalização ou ainda por vínculos de relacionamento.

Figura 13 – Resultados em formato de Tabela

 

Figura 14 – Resultados em formato de Galeria de Imagens

 

Figura 15 – Resultados em formato de Mapeamento GPS

 

Figura 16 – Área de Resultados em formato de vínculos

 

5. Área de busca

Na região central superior da ferramenta IPED SearchApp, você encontra uma área de busca. Ou seja, é ela que permite a realização de buscas por palavras-chave e que atua em conjunto com os demais filtros. Por exemplo, seguindo a exibição de resultados por determinada palavra-chave, somente em determinada categoria de arquivos.

Figura 17 – Área de buscas por palavras-chave na ferramenta IPED SearchApp

 

6.Filtro por Marcadores

Conforme uma análise forense é realizada, é comum que o profissional responsável pela investigação ou perícia forense queira marcar alguns arquivos relevantes para seu objeto de análise. E o sistema IPED Forense dá suporte a esta metodologia de trabalho. Ou seja, não apenas permitindo a criação de marcadores personalizados, como também de filtro por arquivos marcados.

Figura 18 – Filtro por arquivos marcados na ferramenta IPED SearchApp

 

7.Filtro por metadados

Já o de metadados é um dos recursos mais poderosos e inovadores da ferramenta IPED SearchApp. Ele permite uma identificação rápida por metadados, como nome, hash, carimbos de tempo, dentre outras categorias de metadados.

Figura 19 – Filtro de Metadados na ferramenta IPED SearchApp

 

8.Painel Auxiliar

Através dele, é possível identificar alguns sinais importantes durante a condução das análises. Como a quantidade de incidências resultantes de uma busca por uma palavra-chave, arquivos anexos, itens duplicados ou referências em relação ao arquivo selecionado na tabela de resultados.

Figura 20 – Auxiliar na ferramenta IPED Search App

 

9.Painel de Conteúdo

Sendo assim, é possível visualizar efetivamente, através do painel de conteúdo, o conteúdo dos arquivos. Seja em formato hexadecimal, em formato de texto decodificado com diversos formatos de formação de caracteres. Seja com a visualização dos metadados específicos ou uma pré-visualização do item selecionado na tabela de resultados .

 

Figura 21 – Conteúdo do IPED SearchApp

9. Treinamento de IPED Forense

Você sabia que a AFD foi pioneira em curso focado na ferramenta IPED Forense? O Prof. Renan Cavalheiro criou este treinamento com foco em detalhar cada funcionalidade desta incrível ferramenta, veja mais detalhes sobre o Treinamento de IPED Forensics – do Zero ao Avançado.

10.Painel de Conteúdo

De fato, este projeto de pesquisa protege a utilização básica do IPED Digital Forensics Tool. Ele é um dos melhores sistemas a nível mundial para processamento, indexação e análise de evidências digitais. Além de que capaz de processar grandes volumes de dados e permitir uma análise inteligente e eficiente nos mais diversos tipos de dados casos de Investigação e Perícia de dispositivos eletrônicos.

Referências

  • BRASIL. Policia Federal. Departamento de Serviços de Perícias em Informática. Github do Projeto IPED. 2022. Disponível em: https://github.com/sepinf-inc/IPED/. Acesso em: 30 nov. 2022.
  • BRASIL . Policia Federal. Departamento de Serviços de Perícia em Informática. Guia do Iniciante: projeto iped. Projeto IPED. 2022. Disponível em: https://github.com/sepinf-inc/IPED/wiki/Beginner’s-Start-Guide. Acesso em: 30 nov. 2022

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement

logotipo

Contato

Atendimento Comercial

Seg – Sex: 09:00 – 18:00

Endereço:

Rua São Bento, 365, 8º andar, Centro, São Paulo-SP

Telefone:

+55 11 98594-6809

Menu

  • Copyright © 2023. Todos os direitos reservados