Herramienta 4NSEEK
La herramienta 4NSEEK es una herramienta de análisis forense que busca material de abuso a menores en los dispositivos de almacenamiento. Puede descargar la hoja de producto.
El objetivo del trabajo del equipo de Tecnologías de INCIBE en este proyecto ha sido el de aportar un mayor valor a la herramienta 4NSEEK mediante:
- la inclusión de nuevas funcionalidades que faciliten el trabajo de detección de material de abuso a menores (en adelante CSAM).
- la evolución de las funcionalidades existentes con el objetivo de adaptarlas al estado del arte y al entorno cambiante.
Todo ello en colaboración continua con los agentes implicados en esta rama del proyecto: Fuerzas y Cuerpos de Seguridad de Estado (en adelante FCSE) y Universidades (Universidad de Malta, Universidad de Groningen y la Universidad de León, como coordinadora de los trabajos de investigación).
A continuación se presentan los resultados de la herramienta en proyecto: descripción de las principales mejoras de la herramienta, el desarrollo de los módulos de Inteligencia Artificial por parte de los equipos de investigación de las universidades y, por último, los indicadores de acceso a la herramienta por parte de las FCSE:
Mejoras de la herramienta Desarrollo de módulos de IA Indicadores de la herramienta
Mejoras de la herramienta
Plataforma de instalación/actualización
Al inicio del proyecto, INCIBE desplegó en su infraestructura un sistema específico para facilitar a los usuarios la instalación y actualización de la herramienta. Desde la Release 1 y hasta la actualidad, esta ha sido la plataforma utilizada por los usuarios de la herramienta.
Resultados mejorados
Los resultados arrojados por la herramienta 4NSEEK se han mejorado para facilitar aún más el trabajo de los agentes de FCSE. En este sentido, además de incorporar nuevos módulos de análisis basados en herramientas especializadas y en inteligencia artificial, se ha adaptado el modo en que los resultados de dichos módulos se valoran de cara a dar una evaluación final más sencilla y veraz.
Eficiencia y escalabilidad
La estructura y el flujo de acción interno de la herramienta han sido revisados por completo, de cara a lograr un mejor funcionamiento.
Como resultado, las últimas versiones de la herramienta realizan un mejor aprovechamiento del tiempo de análisis, priorizando aquellos ficheros que, a priori, presentan una mayor probabilidad de ser CSAM.
Además, el cambio de estructura permite mayor flexibilidad a la hora de adaptarse a las necesidades del agente o a los requerimientos técnicos de la máquina sobre la que se ejecute 4NSEEK.
Diagnóstico previo
Se ha incluido una funcionalidad de diagnóstico para facilitar a los agentes la priorización de dispositivos a analizar o el análisis parcial de los mismos.
Este diagnóstico aporta una vista preliminar del contenido de cada partición, de modo que el agente puede decidir en base a dicho diagnóstico si es o no interesante.
Análisis de carving
INCIBE ha incorporado a 4NSEEK un módulo de carving. Esta técnica forense permite recuperar de un dispositivo de almacenamiento ficheros borrados previamente.
A pesar de ser una técnica costosa computacionalmente, el usuario podrá seleccionarla para realizar este análisis en profundidad como una funcionalidad adicional de la herramienta 4NSEEK, cuya misión principal es la realización de triages ágiles de dispositivos de almacenamiento.
Mejoras de usabilidad
El interfaz de usuario se ha renovado completamente teniendo en cuenta buenas prácticas de usabilidad, mejoras en la navegación y nuevas funcionalidades que aumentan las posibilidades del usuario en el tratamiento de la información de análisis y el acceso a los resultados.
También se ha incorporado el soporte de múltiples idiomas, muy necesario a la vista de los múltiples países que han solicitado el acceso a la herramienta.
Facilidades de configuración
Se han desarrollado las funcionalidades de la herramienta para que sean altamente configurables:
- La ejecución del análisis forense es configurable en múltiples aspectos a traves del interfaz de la aplicación de una forma sencilla y comprensible.
- La propia herramienta y cada uno de sus módulos son altamente configurables a través de opciones internas que permiten adaptarla a las necesidades del usuario final.
Soporte de Sistema Operativo MacOS
Se han adaptado los análisis existentes en la herramienta al funcionamiento del sistema operativo MacOS. De este modo el agente podrá extraer información de valor también de particiones en las que se encuentre instalado el sistema operativo de Apple.
Análisis de nuevas herramientas
Se han incluido nuevas herramientas interesantes en el análisis forense. Las nuevas herramientas analizadas se han seleccionado como fruto de un análisis del estado del arte junto con Fuerzas y Cuerpos de Seguridad. Ahora, la información extraída de las nuevas herramientas de redes sociales (Twitter y Facebook) y plataformas cloud (DropBox y Google Drive), proporcionan información adicional de los comportamientos del usuario investigado, proporcionando nuevos indicios de actividad criminal e incluso dando acceso a evidencias de delito.
Hot analysis En curso
El análisis en caliente o hot analysis hace referencia a la capacidad de realizar un análisis forense de la información volátil de equipo informático, es decir, aquella información que únicamente se puede recuperar mientras el equipo sigue encendido.
En este ámbito el trabajo de INCIBE se ha centrado en las dos actividades necesarias:
- Adquisición de la memoria. INCIBE ha diseñado y elaborado un dispositivo muy sencillo y barato basado en tecnología de fácil acceso para que cualquier usuario, sin necesidad de conocimientos técnicos avanzados, pueda disponer del mismo. Una vez conectado este dispositivo a un equipo con un sistema Windows en ejecución, el dispositivo extraerá automáticamente una copia de la información contenida en su memoria RAM para su posterior análisis.
- Análisis forense. INCIBE ha adaptado las funcionalidades de 4NSEEK para la detección automática de la memoria extraída en el paso anterior y su posterior análisis, encaminado a la detección de evidencias o indicios de actividad delictiva.
Desarrollo de módulos de IA
El objetivo de los módulos desarrollados por el consorcio de universidades, dentro del proyecto 4NSEEK, es dotar a la herramienta de un valor diferencial a través del uso de Inteligencia Artificial (IA). Más específicamente, desde la Universidad de León (ULE), Universidad de Malta (UoM) y Universidad de Groningen (RUG) se desarrollan módulos basados en Visión Artificial y Aprendizaje Automático, cuya combinación facilita la automatización de la detección de material de abuso sexual a menores (del inglés, Child Sexual Abuse Material – CSAM).
A continuación, se presenta el listado de módulos, junto a la Universidad responsable de los mismos.
Detección de rostros, estimación de género y edad (ULE)
Detección de rostros, estimación de género y edad (ULE)
- Introducción: la visualización y/o posesión de CSAM no está permitida, lo que supone un reto a la hora de trabajar en el problema de la detección del mismo. Por ese motivo, en 4NSEEK se ha abordado el problema de la detección de CSAM a través de la combinación de dos líneas de investigación que trabajan con datos legítimos: (i) la detección de rostros, estimación de género y edad y (ii) la detección de pornografía adulta.
- Objetivo: detectar los rostros presentes en una imagen, y realizar una estimación del género y edad de la persona cuyo rostro ha sido detectado.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
- Publicaciones: http://gvis.unileon.es/publications/
- Chaves, D.; Fidalgo Fernández, E; Alegre, Enrique; Blanco Medina, P. "Improving Speed-Accuracy Trade-off in Face Detectors for Forensic Tools by Image Resizing". V Jornadas Nacionales de Investigación en Ciberseguridad (JNIC), Cáceres. 2019. pp. 1-2.
- Chaves, D.; Fidalgo Fernández, E; Alegre, Enrique; Martino F. J.; Velasco Mata, J. "CPU vs GPU performance of deep learning based face detectors using resized images in forensic applications". 9th International Conference on Imaging for Crime (ICDP-2019), London (UK). 2019. pp. 93-98.
- Chaves, D; Fidalgo Fernández, E; Alegre, Enrique; Martino F. J.; Biswas, R. "Improving Age Estimation in Minors and Young Adults with Occluded Faces to Fight Against Child Sexual Exploitation". In: Proceedings of the 15th International Joint Conference on Computer Vision, Imaging and Computer Graphics Theory and Applications - Volume 5: VISAPP. Malta. 2020. pp. 721-729. DOI: 10.5220/0008945907210729.
- Chaves, D.; Fidalgo, E.; Alegre, E.; Alaiz-Rodríguez, R.; Jáñez-Martino, F.; Azzopardi, G. "Assessment and Estimation of Face Detection Performance Based on Deep Learning for Forensic Applications". Sensors 2020, 20, 4491
Detección de pornografía en adultos (ULE)
Detección de pornografía en adultos (ULE)
- Introducción: la visualización y/o posesión de CSAM no está permitida, lo que supone un reto a la hora de trabajar en el problema de la detección del mismo. Por ese motivo, en 4NSEEK se ha abordado el problema de la detección de CSAM a través de la combinación de dos líneas de investigación que trabajan con datos legítimos: (i) la detección de rostros, estimación de género y edad y (ii) la detección de pornografía adulta.
- Objetivo: detectar contenido de pornografía adulta en imágenes.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
- Publicaciones:
- Al Nabki, W; Fidalgo Fernández, E; Roberto A. Vasco-Carofilis; Martino F. J.; Velasco Mata, J. "Evaluating Performance of an Adult Pornography Classifier for Child Sexual Abuse Detection". arXiv preprint arXiv:2005.08766, (2020).
Detección de CSAM (ULE)
- Introducción: la visualización y/o posesión de CSAM no está permitida, lo que supone un reto a la hora de trabajar en el problema de la detección del mismo. Por ese motivo, en 4NSEEK se ha abordado el problema de la detección de CSAM a través de la combinación de dos líneas de investigación que trabajan con datos legítimos: (i) la detección de rostros, estimación de género y edad y (ii) la detección de pornografía adulta.
- Objetivo: detectar CSAM a través de la combinación de las salidas de un detector de rostros, estimador de edad y detector de pornografía adulta. De modo que, si se detecta un rostro, con una edad inferior a 18 años y se detecta que existe contenido pornográfico, se estima que la imagen contiene CSAM.
Detección de material de abuso sexual a menores a través del nombre del fichero y su ruta (ULE)
Detección de material de abuso sexual a menores a través del nombre del fichero y su ruta (ULE)
- Introducción: el material de abuso sexual a menores habitualmente contiene nombres descriptivos, símbolos o códigos que ayudan a los pedófilos a identificar rápidamente el tipo de contenido que podría contener el fichero en cuestión.
- Objetivo: detectar CSAM utilizando tan solo la ruta donde está almacenada un fichero, así como el nombre de dicho fichero.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
- Publicaciones:
- Al Nabki, W; Fidalgo Fernández, E; Alegre, Enrique; Alaiz Rodríguez, R. "File Name Classification Approach to Identify Child Sexual Abuse". In: Proceedings of the 9th International Conference on Pattern Recognition Applications and Methods - Volume 1: ICPRAM. Valletta, Malta. 2020. pp. 228-234. DOI: 10.5220/0009154802280234.
Detección de órganos sexuales (UoM)
Detección de órganos sexuales (UoM)
- Introducción: el material de abuso sexual a menores habitualmente contiene la presencia de órganos sexuales, tanto de adultos como de niños, que serían otro indicativo a mayores de probabilidad de ser CSAM.
- Objetivo: detectar si una imagen contiene o no órganos sexuales, y qué tipo de órgano.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
- Publicaciones:
- Tabone, A; Bonnici, A; Stefania, C; Farrugia, Re; Alegre, Enrique; Alaiz Rodríguez, R. "Private Body Part Detection using Deep Learning". In: Proceedings of the 9th International Conference on Pattern Recognition Applications and Methods - Volume 1: ICPRAM. Valletta, Malta. 2020. pp. 205-211. DOI: 10.5220/0009101502050211
Resumen de vídeo en base a la presencia de personas (ULE)
Resumen de vídeo en base a la presencia de personas (ULE)
- Introducción: a la hora de analizar CSAM, es habitual encontrar no solo material fotográfico, sino también archivos multimedia en formato de video. Su análisis requiere de un enfoque alternativo al utilizado en las imágenes, dado que primero convendría identificar aquellas partes del video donde podría haber presencia de personas, para luego analizar únicamente esas partes del video.
- Objetivo: proporcionar un resumen del video, en forma de múltiples frames, donde solo aparezcan personas.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
Detección del patrón de ruido de una cámara (RUG)
Detección del patrón de ruido de una cámara (RUG)
- Introducción: cualquier dispositivo de adquisición de imágenes (cámara de fotos, smartphone, etc.) deja en todas las imágenes que toma una huella digital, en forma de ruido y artefactos. La extracción de dicha huella o firma digital permitiría identificar si múltiples imágenes han sido tomadas por el mismo dispositivo, y con ello aportar información adicional a la hora de determinar el origen de determinado CSAM incautado.
- Objetivo: extracción de la firma digital de una imagen y agrupamiento de imágenes con firmas digitales similares, con el objetivo de determinar si múltiples imágenes se han hecho con la misma cámara.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior.
- Publicaciones:
- Bennabhaktula, G;Alegre, E ; Karastoyanova, D; Azzopardi, G . "Device-based Image Matching with Similarity Learning by Convolutional Neural Networks that Exploit the Underlying Camera Sensor Pattern Noise". In: Proceedings of the 9th International Conference on Pattern Recognition Applications and Methods - Volume 1: ICPRAM. Valletta, Malta. 2020. pp. 578-584. DOI: 10.5220/0009101502050211
Capa de decisión para la detección de CSAM (ULE)
Capa de decisión para la detección de CSAM (ULE)
- Introducción: en la herramienta 4NSEEK, la combinación de las salidas de los anteriores módulos software, se combinan utilizando una serie de reglas manuales para asignar una puntuación de relevancia a cada evidencia incautada. Cuanto mayor sea dicha puntuación, más probabilidad hay de que el fichero contenga CSAM. La herramienta 4NSEEK, además, en esta entrega software realizará el cálculo de dicha puntuación de relevancia por fichero utilizando aprendizaje automático. Dicha puntuación será proporcional a la probabilidad de que el fichero analizado contenga CSAM.
- Objetivo: Realizar un entrenamiento con las salidas de las librerías (detección de rostros, estimación de género y edad, detección de pornografía adulta, detección de órganos sexuales y detección de CSAM a través del nombre y ruta del fichero) junto con CSAM real, generando un sistema inteligente que permitirá asignar de un modo automático una puntuación a cada fichero analizado.
- Resultados:
- Entrega de librería SW al proyecto 4NSEEK para la consecución del objetivo anterior (en proceso).
Indicadores de la herramienta
A continuación se incluye un mapa de los países cuyas Fuerzas y Cuerpos de Seguridad ya han solicitado el acceso a la herramienta del proyecto:
- Países con acceso a la herramienta: Alemania, Argentina, Austria, Bélgica, Brasil, Canadá, Colombia, Croacia, Ecuador, El Salvador, Eslovenia, España, Francia, Irlanda, Italia, Liechtenstein, Lituania, Malta, Nicaragua, Noruega, Nueva Zelanda, Países Bajos, Polonia, Portugal, Reino Unido, República Dominicana, Rumanía, Suecia y Suiza.
- Países en proceso de solicitud de la herramienta: Australia, Barbados, Belice, Bosnia y Herzegovina, Chile, Costa Rica, Dinamarca, Eslovaquia, Estonia, Filipinas, Gambia, Grecia, Guatemala, Honduras, India, Israel, Kenia, Marruecos, México, Moldavia, Paraguay, Perú,Turquía y Uruguay.
También se pueden consultar los indicadores de solicitudes de la herramienta en el siguiente poster.
