23 mayo 2015

Ghiro: una herramienta forense para el análisis masivo de imágenes

En muchos casos los investigadores forenses necesitan procesar imágenes digitales como evidencia. En un análisis forense en el que se manejan muchas imágenes es difícil manejar tanta información al menos que se utilice una herramienta que facilite el trabajo.

Ghiro es una herramienta capaz de soportar gigas de imágenes, extraer y organizar la información y mostrarla en un informe en un formato agradable.
Todas las tareas están totalmente automatizadas, sólo tienes que cargar las imágenes y dejar que Ghiro haga el trabajo.

Además Ghiro es un entorno multiusuario, que permite diferentes permisos que se pueden asignar a cada usuario. Cada caso permite agrupar imágenes por tema, y elegir lo que cada usuario pueda ver según el esquema de permisos.

Casos de uso

No sólo los investigadores forenses pueden usarlo diariamente en su laboratorio de análisis, Ghiro puede ser utilizado en muchos escenarios. Algunos ejemplos de casos de uso son los siguientes:

- Si necesitas extraer todos los datos y metadatos ocultos en una imagen de una manera totalmente automatizada
- Si es necesario analizar una gran cantidad de imágenes y no tienes mucho tiempo para leer el informe para todos ellos
- Si necesitas buscar algún metadato concreto entre un montón de imágenes
- Si necesitas geolocalizar muchas imágenes y verlas en un mapa
- Si quieres buscar en una lista de hashes de imágenes "especiales"

De todos modos Ghiro está diseñado para ser usado en muchos otros escenarios, la imaginación es el único límite.

Principales características

- Extracción de metadatos: Los metadatos se dividen en varias categorías según el estándar. Los metadatos de la imagen se extraen y se clasifican. Por ejemplo: EXIF, IPTC, XMP.

- Localización GPS: en los metadatos de cada imagen a veces hay una etiqueta geográfica, información GPS que proporciona la longitud y latitud de donde se tomó la foto. Se lee y la posición se muestra en un mapa.

- Información MIME: El tipo de imagen MIME se detecta para conocer el tipo de imagen que se está tratando, de forma simple (ejemplo: image/jpeg) y extendida.

- Análisis del nivel de error: el análisis del nivel de error (ELA) identifica las áreas dentro de una imagen que se encuentran en diferentes niveles de compresión. La imagen completa debe ser de aproximadamente del mismo nivel, si se detecta alguna diferencia, entonces es probable que haya realizado alguna modificación.

- Extracción de miniaturas (thumbnails): Las miniaturas y sus datos relacionados se extraen de los metadatos de la imagen y se almacenan para su revisión.

- Consistencia de las miniaturas: a veces, cuando una foto es editada, la imagen original se edita pero la miniatura no. Ghiro detecta las diferencias entre las miniaturas y sus correspondientes imágenes.

- Motor de firmas: Más de 120 firmas proporcionan evidencia sobre la mayoría de los datos críticos para resaltar los puntos focales y exposiciones comunes.

- Coincidencia de hashes: supón que estas buscando una imagen y tienes sólo el hash. Puedes proporcionar una lista de hashes y se buscarán todas las imágenes en base a ese/esos hashes.

Web oficial: http://www.getghiro.org/

Tomado de: http://www.hackplayers.com/2015/01/ghiro-una-herramienta-forense-para-imagenes.html