INSTALANDO IPED NO LINUX

Introdução

No meu dia a dia utilizo o Linux como estação de trabalho, e ficava frustrado ter que usar o Windows para utilizar o IPED. Para quem não sabe, o IPED é um indexador de evidências digitais desenvolvido pela Polícia Federal do Brasil, que alias, tive o enorme prazer de conversar com os desenvolvedores. Voltando ao assunto, decidi colocar o IPED para funcionar no Linux, porem, com a falta de documentação foi bem custoso, o qual decidi montar este artigo para ajudar quem queira utilizar o IPED no Linux (Debian)

Para utilização do IPED foi necessário instalar algumas dependência, instalar ORACLE-JAVA, compilar o libewf, sleuthkit e alterar as configurações do IPED.

Instalação

Este guia foi baseado para distribuições DEBIAN. Primeiramente vamos instalar algumas dependências que serão necessárias para utilização do IPED e para compilação de alguns Softwares.

sudo apt-get update

sudo apt-get install build-essential curl zlib1g-dev git libfuse-dev vim autoconf automake autopoint libtool pkg-config flex byacc libcrypto++-dev testdisk tesseract-ocr tesseract-ocr-por tesseract-ocr-osd mplayer libparse-win32registry-perl libesedb-utils imagemagick libmsiecf-utils libafflib-dev libewf-dev libvmdk-dev libxtst6 libxi6 libpff1 openjfx

Instalando o Java

Faça o download do JAVA versão 8. No comando abaixo já faz o download e aceita a licença.

curl -L -b "oraclelicense=a" -O https://download.oracle.com/otn-pub/java/jdk/8u191-b12/2787e4a523244c269598db4e85c51e0c/jdk-8u191-linux-x64.tar.gz

sudo mkdir /usr/local/oracle-java-8
sudo tar -zxf jdk-8u191-linux-x64.tar.gz -C /usr/local/oracle-java-8/
sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/java" 1500
sudo update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javac" 1500
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/oracle-java-8/jdk1.8.0_191/bin/javaws" 1500

Download dos aplicativos

Faça o download do libewf, sleuthkit e do IPED:

curl -L -O https://github.com/sleuthkit/sleuthkit/releases/download/sleuthkit-4.6.0/sleuthkit-4.6.0.tar.gz
wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-3.14.5-with-extra-tools.zip
wget https://servicos.dpf.gov.br/ferramentas/IPED/3.14.5/IPED-Manual_pt-BR.pdf
git clone https://github.com/libyal/libewf.git

Após o Download de todos os programas, vamos descompactar tudo que iremos utilizar.

tar -xvf sleuthkit-4.6.0.tar.gz
unzip IPED-3.14.5-with-extra-tools.zip

Compilando libewf

Proceder com a compilação do libewf, atenção com os comandos pois é um pré requisito pro sleuthkit.

cd libewf/
sudo ./synclibs.sh 
sudo ./autogen.sh
sudo ./configure
sudo make
sudo make install
sudo ldconfig

Durante a compilação, poderá ter apresentado alguns warnings, dos quais não serão impedimentos para a compilação e instalação das librarias.

Compilando sleuthkit

Antes de compilar o sleuthkit é necessário alterar o termo “libewf_handle_read_random” por “libewf_handle_read_buffer_at_offset” no arquivo arquivo fonte “ewf.c” em /tsk/img.

Se preferir pode utilizar o comando “sed” abaixo

cd sleuthkit-4.6.0/tsk/img/
sed -i 's/libewf_handle_read_random/libewf_handle_read_buffer_at_offset/' ewf.c

Após a edição do código fonte, proceda com a compilação. Agora proceda com a compilação.

cd sleuthkit-4.6.0/
sudo ./configure
sudo make
sudo make install
sudo ldconfig

Instalando a última dependência.

Para funcionar o tsk_loaddb (complemento de leitura de imagens do Sleuthkit) precisa da seguinte dependência: libtsk-dev

Comentário: Esta dependência não foi informado no inicia do guia propositalmente, visto que se já estiver instalado na maquina, a compilação do sleuthkit será problemática.

Proceda com a instalação:

sudo apt-get install libtsk-dev
sudo ldconfig

Testando algumas coisas.

O IPED utiliza alguns softwares aparte, se é necessário verificar se estão sendo executados (se estão no PATH) e se não apresentam algum erro por falta de dependência. Então, teste os seguintes programas:

mplayer
tsk_loaddb -V

Se não houve erros, estamos quase terminando.

Alterando configurações do IPED

Após a compilação do sleuthkit, deverá estar em sua maquina o seguinte arquivo: /usr/local/share/java/sleuthkit-4.6.0.jar confirme, se estiver de acordo edite o arquivo LocalConfig.txt do IPED e acrescente a linha:

tskJarPath = /usr/local/share/java/sleuthkit-4.6.0.jar

Executando o IPED pela primeira vez

Utilizar o IPED no Linux é o mesmo que no Windows, com a exceção do resultado (mais abaixo explico), então, para executar basta:

sudo java -jar iped.jar -d /home/leforense/cfreds_rm.E01 -o /home/leforense/caseXYZ/iped/ --nogui

NOTA!

O IPED funciona tanto em linha de comando como em interface gráfica conforme exemplos:

Executando o Processador de Evidência do IPED

Quando termina a execução do IPED, ele gera um arquivo .EXE no diretorio criado, que é um atalho para o JAVA, em ambiente LINUX é necessário executar na mão. Lembre-se que o diretório “/home/leforense/caseXYZ….’ se refere na minha maquina, então deverá referenciar o do seu caso.

sudo java -jar /home/leforense/caseXYZ/iped/indexador/lib/iped-search-app.jar 

Conclusão

Este guia foi baseado para distribuições DEBIAN, em breve farei o mesmo para distribuição CentOS.

Durante a execução do IPED ele referência a aplicar uns PATCH no código fonte do sleuthkit e depois compilar novamente, eu tentei algumas vezes e deu muito errado. Quando entender melhor farei a atualização deste post.

Qualquer dúvida ou ajuda para instalar o IPED pode me procurar. Também já deixo logo um excelente vídeo explicativo do IPED desenvolvido pelo Marcos Monteiro, pode assistir aqui no Youtube.

Referências

Pagina oficial do IPED

Readme do IPED no Github

Repositório do Atila Romero no Github

Agradecimentos

O sucesso deste artigo, devo agradecer primeiramente a Deus por me guiar e me dar a persistência das várias tentativas. Em seguida agradeço enormemente a Luis Nassif, Atila Romero e Gabriel, da PF que estão a frente do desenvolvimento do IPED.