際際滷

際際滷Share a Scribd company logo

2009 04-08 uni-mi_jpeg forensics

Davide Gabrini
Davide Gabrini

Docenza tenuta presso la Facolt di Giurisprudenza dell'Universit degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.

1 of 47
Downloaded 53 times
JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Analisi forense delle immagini digitali Security Farmer
JPEG Forensics Corso di Perfezionamento Chi sono in Computer Forensics MIlano, 8 aprile 2009 Davide Gabrini, aka Rebus Per chi lavoro non 竪 un mistero. Cenni storici Oltre a ci嘆: Disciplina Consulente Tecnico e Perito forense JPEG Docente di sicurezza informatica e Elaborazioni computer forensics per Corsisoftware srl comuni Metadati Oggi non sono qui in divisa Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics Lanalisi forense delle immagini 竪 una MIlano, 8 aprile 2009 scienza nuova? Cenni storici Il primo caso documentato di forensic Disciplina image authentication risale al 1851 JPEG Dal dagherrotipo al JPEG, per嘆, son Elaborazioni comuni cambiate tante cose Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Esempi storici in Computer Forensics http://www.cs.dartmouth.edu/farid/research/digitaltampering/ MIlano, 8 aprile 2009 1860 1930 Cenni storici Disciplina JPEG 2002 L.A.Times Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti 2006 Davide Gabrini Reuters Security Farmer
JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics Forensic image analysis is the application MIlano, 8 aprile 2009 of image science and domain expertise to interpret the content of an image or the Cenni storici Disciplina image itself in legal matters (SWGIT www.fbi.gov) JPEG Le principali discipline della Forensic Image Elaborazioni comuni Analysis includono: Metadati Fotogrammetria Tecniche avanzate Comparazione fotografica Contenuti nascosti Analisi dei contenuti Bibliografia Contatti Autenticazione dellimmagine Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Fotogrammetria in Computer Forensics "tecnica di rilievo che permette di acquisire dei MIlano, 8 aprile 2009 dati metrici di un oggetto (forma e posizione) tramite l'acquisizione e l'analisi di immagini fotografiche a Cenni storici prospettiva centrale." (Wikipedia) Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Analisi forense con Photoshop - Apogeo
JPEG Forensics Corso di Perfezionamento Comparazione fotografica in Computer Forensics MIlano, 8 aprile 2009 Comparazione dei soggetti ritratti (un volto, o un oggetto) o degli artefatti Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: SWGIT
JPEG Forensics Corso di Perfezionamento Analisi dei contenuti in Computer Forensics MIlano, 8 aprile 2009 Esame di quanto rappresentato al fine di trarne conclusioni, ad esempio su: Cenni storici Persone o oggetti ritratti Disciplina JPEG Situazione, condizioni o processo Elaborazioni comuni attraverso cui l'immagine 竪 stata creata Metadati Aspetto fisico della scena Tecniche avanzate Contenuti Provenienza dell'immagine nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Autenticazione dellimmagine in Computer Forensics MIlano, 8 aprile 2009 Verifica circa l'integrit e l'attendibilit dell'immagine e di quanto rappresenta Cenni storici Determinare se l'immagine 竪 originale o Disciplina 竪 stata editata JPEG Elaborazioni Conversioni di formato comuni Metadati Alterazioni o distorsioni Tecniche avanzate Aggiunta di elementi Contenuti nascosti Rimozione di parti o dettagli Bibliografia Ecc. ecc. Contatti Determinare se quanto rappresenta Davide Gabrini Security Farmer risponde a realt
JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Oggi ci occuperemo specificamente di immagini digitali, in particolare del Cenni storici formato JPEG Disciplina L'enorme diffusione di dispositivi ottici JPEG Elaborazioni digitali rende sempre pi湛 importanti comuni Metadati analisi di questo tipo Tecniche avanzate Le fasi principali sono sempre tre: Contenuti nascosti Interpretazione Bibliografia Contatti Esame Davide Gabrini Elaborazione Security Farmer
JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Interpretazione: Analisi del contenuto, operata da uno specialista (p.e. medico legale, esperto militare ecc) Cenni storici Disciplina Esame: JPEG Analisi del contenente, operata da un esperto nel Elaborazioni comuni campo delle immagini digitali (rilievo ed estrazione Metadati di informazioni, watermark, dati steganografati, Tecniche avanzate tracce di alterazione ecc. ecc.) Contenuti nascosti Elaborazione Bibliografia Manipolazioni tecniche volte alla preparazione Contatti dell'immagine per l'interpretazione, l'esame o la Davide Gabrini presentazione. Security Farmer
JPEG Forensics Corso di Perfezionamento Cautele in Computer Forensics MIlano, 8 aprile 2009 Valgono gli stessi principi generali della digital forensics per la trattazione Cenni storici dei reperti digitali Disciplina Preservazione dell'originale JPEG Elaborazioni Acquisizione integra e non ripudiabile comuni Metadati Utilizzo di copie di lavoro Tecniche avanzate Documentazione e ripetibilit Contenuti nascosti In generale, ogni manipolazione tende Bibliografia Contatti ad evidenziare particolari presenti, non Davide Gabrini a cambiare i contenuti dell'immagine Security Farmer
JPEG Forensics Corso di Perfezionamento Obiettivi dellanalisi in Computer Forensics MIlano, 8 aprile 2009 Soprattutto due: Verificare la genuinit Cenni storici Attribuire la paternit Disciplina JPEG Possibili approcci: Elaborazioni comuni Enfatizzare dettagli Metadati Individuare manipolazioni Tecniche avanzate Ritocchi, tagli, fotomontaggi Contenuti nascosti Determinare la fonte dell'immagine Bibliografia Contatti Tipo di fotocamera Software di editing Davide Gabrini Security Farmer Individuazione camera specifica
JPEG Forensics Corso di Perfezionamento Ambiti di applicazione in Computer Forensics MIlano, 8 aprile 2009 Un caso di particolare interesse: la pedopornografia virtuale Cenni storici Disciplina Legislazione italiana JPEG Elaborazioni Legislazione USA comuni Metadati Tecniche Immagini finte che sembrano vere avanzate Contenuti nascosti Bibliografia Immagini vere che sembrano finte Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Cosa NON si pu嘆 fare in Computer Forensics MIlano, 8 aprile 2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Cenni storici serie come CSI e RIS? Disciplina Spiacente, ma la realt, anche JPEG Elaborazioni digitale, somiglia pi湛 a Blow Up comuni Metadati Non si possono "creare" informazioni Tecniche avanzate che non ci sono Contenuti nascosti Bibliografia Si possono per嘆 enfatizzare Contatti informazioni che non si vedono, Davide Gabrini Security Farmer ma ci sono
JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 JPEG definisce solo come codificare un'immagine in uno stream di byte Cenni storici JFIF definisce invece come produrre Disciplina un file che contenga lo stream JPEG Elaborazioni Risoluzione comuni Metadati Color space Tecniche avanzate Thumbnail Contenuti nascosti Bibliografia ExIF permette di integrare nel file Contatti ulteriori informazioni Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 Partendo da un'immagine grezza (bitmap, o raster) la conversione JPEG Cenni storici avviene in tre passaggi: Disciplina Trasformazione discreta in coseno JPEG Elaborazioni comuni Quantizzazione Metadati Codifica entropica Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Analisi: Elaborazioni comuni Metadati tecniche, strategie e strumenti Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Alcuni utili tool generici in Computer Forensics MIlano, 8 aprile 2009 Visualizzatori ACDSee Cenni storici Irfanview Disciplina Faststone viewer JPEG Elaborazioni Xnview comuni Metadati Editor Tecniche avanzate Contenuti Adobe Photoshop nascosti Bibliografia The Gimp Contatti Paint Shop Pro Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics Manipolazioni semplici (ingrandimenti, variazioni MIlano, 8 aprile 2009 su contrasto e luminiosit, denoising, deblurring ecc.) possono evidenziare particolari oscuri Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.enigmi.net
JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.hyperreview.net
JPEG Forensics Corso di Perfezionamento Caccia al pedofilo in Computer Forensics MIlano, 8 aprile 2009 Anche manipolazioni pi湛 complesse potrebbero rivelarsi invertibili Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.interpol.int
JPEG Forensics Corso di Perfezionamento Analisi dei metadati in Computer Forensics Metadati interni al file (embedded) MIlano, 8 aprile 2009 Dati EXIF Cenni storici Marca, modello, seriale, versione del Disciplina firmware JPEG Timestamps Elaborazioni comuni Thumbnail Metadati GPS, ecc. ecc. Tecniche avanzate IPTC (International Press Telecommunications Council) Contenuti nascosti Bibliografia XMP (Extensible Metadata Platform) Contatti Camera Raw, History Log, DICOM ecc. Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento ExIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: w ww.tipiloschi.net
JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Dai giornalisti ai ladri di libri ;-) Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Cat Schwartz e il "crop" di PhotoShop E' stato solo un episodio imbarazzante, Cenni storici ma allo stesso modo potrebbero Disciplina scoprirsi ben altre informazioni JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Immagine: w ww.denisfrati.it Security Farmer Immagini: w ww.pcworld.com
JPEG Forensics Corso di Perfezionamento Thumbnail EXIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Scansione automatica in Computer Forensics MIlano, 8 aprile 2009 Qualcuno ha gi pensato a come automatizzare la cosa Cenni storici http://no.spam.ee/~tonu/exif Disciplina JPEG EXIF Phun by ascii (www.ush.it) Elaborazioni comuni Metadati E' possibile scansionare grandi quantit Tecniche avanzate di immagini per isolare quelle che Contenuti nascosti presentano un thumbnail EXIF difforme Bibliografia Contatti dal contenuto evidente Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics in Computer Forensics MIlano, 8 aprile 2009 I dati EXIF (e non solo loro) sono memorizzati in chiaro e senza alcun Cenni storici meccanismo di firma Disciplina Sono facilmente alterabili con un JPEG Elaborazioni comune editor esadecimale comuni Metadati Appositi tool rendono l'operazione Tecniche avanzate facilmente automatizzabile Contenuti nascosti EXIF Date Changer Bibliografia Contatti jhead Davide Gabrini FastStone Viewer Security Farmer
JPEG Forensics Corso di Perfezionamento Metodi danalisi pi湛 sofisticati in Computer Forensics MIlano, 8 aprile 2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Cenni storici la compressione JPEG Disciplina Ogni software che salva un JPEG lascia JPEG un'impronta che lo rende riconoscibile Elaborazioni comuni Metadati Si pu嘆 riconoscere cos狸 se la foto Tecniche proviene direttamente da una certa avanzate Contenuti fotocamera o se 竪 stata editata da un nascosti Bibliografia certo software Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Strumenti per la lettura in Computer Forensics MIlano, 8 aprile 2009 Un buon hexeditor 010 editor Cenni storici + JPEG template Disciplina JPEG dqtmd5 Elaborazioni comuni JPEGsnoop Metadati Tecniche ACES Metadata avanzate Contenuti Extractor nascosti Bibliografia Hachoir Contatti jpegquality Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Qualcuno potrebbe alterare le matrici per nascondere la sorgente Cenni storici La comparsa di artefatti dovrebbe Disciplina mettere in allarme l'analista JPEG Elaborazioni comuni In ogni caso l'immagine potrebbe Metadati essere convertita in un altro formato Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://computer.forensikblog.de
JPEG Forensics Corso di Perfezionamento Processi interni alla fotocamera in Computer Forensics MIlano, 8 aprile 2009 Processo di elaborazione, dal segnale luminoso al file digitale Cenni storici Disciplina JPEG Elaborazioni RAW image Interpolazione Conversione di Elaborazioni (demosaicing) formato comuni Correzione colori Scrittura sul Bilanciamento device di del bianco memorizzazione Metadati Antialiasing Color Filter A/D Filtri passa- Lenti Filter Array (CFA) Sensore converter basso Tecniche Gamma avanzate correction Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Cenni storici vengono corretti dalla fotocamera Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Analisi del rumore E' possibile isolare un'impronta Cenni storici caratteristica nel rumore di fondo Disciplina L'impronta 竪 infatti univoca per ogni JPEG sensore CCD/CMOS Elaborazioni comuni Metadati La carratteristica 竪 indipendente dalle Tecniche condizioni ambientali e stabile nel ciclo avanzate Contenuti di vita dell'apparato nascosti Bibliografia Si pu嘆 identificare la specifica camera Contatti che ha scattato una determinata foto Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Analisi del rumore in Computer Forensics Il rumore deriva da vari fattori: MIlano, 8 aprile 2009 pixel nonuniformity dust specks on optics Cenni storici Disciplina interference in optical elements JPEG dark currents Elaborazioni comuni Si sottopone limmagine digitale in esame Metadati ad un denoising filter Tecniche avanzate Contenuti Si sottrae limmagine filtrata dalloriginale nascosti Bibliografia Dalla differenza si estrapola il pattern noise Contatti caratteristico della fotocamera Davide Gabrini NFI FIDIS PRNU Compare Security Farmer
JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Spesso 竪 fondamentale scoprire se un'immagine sia stata falsificata Cenni storici I metodi tradizionali sono sempre Disciplina validi e costituiscono un buon inizio JPEG Elaborazioni comuni Per esempio: Metadati Esame dei contorni Tecniche avanzate Coerenza di luci ed ombre Contenuti nascosti Bibliografia Esame dei riflessi Contatti Nel mondo digitale servono per嘆 anche Davide Gabrini altri strumenti Security Farmer
JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Analisi dei livelli di errore jpegana (not public) Cenni storici ErrorLevelAnal (open source) Disciplina JPEG L'immagine viene salvata con un livello Elaborazioni comuni di qualit noto Metadati Il secondo file viene sottratto al primo Tecniche avanzate Contenuti Si evidenzia cos狸 ogni pixel cambiato e nascosti Bibliografia l'entit della variazione Contatti Immagini alterate presentano diversi Davide Gabrini livelli di errore Security Farmer
JPEG Forensics Corso di Perfezionamento Esempi in Computer Forensics Neal Krawetz, Black Hat 2007 MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://w ww.hackerfactor.com
JPEG Forensics Corso di Perfezionamento Error Level Analysis in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento DCT Coefficient Analysis in Computer Forensics Detecting Doctored JPEG Images Via DCT MIlano, 8 aprile 2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Contenuti nascosti in Computer Forensics MIlano, 8 aprile 2009 Watermark Possono includere anche timestamp, Cenni storici GPS e persino dati biometrici Disciplina Scarsa diffusione JPEG Elaborazioni Steganografia comuni Metadati Steganalisi diretta sui file Tecniche avanzate Analisi degli artefatti sul sistema Contenuti nascosti Bibliografia Layer nascosti Contatti Non nei JPEG, ma in PNG e altri formati Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Fonti alternative in Computer Forensics MIlano, 8 aprile 2009 Immagini incluse in documenti di altro tipo (embedded) Cenni storici Database e cache delle applicazioni, Disciplina soprattutto dei viewer JPEG Elaborazioni ACDSee comuni Metadati FastStone Tecniche Picasa, Xnview ecc. ecc. avanzate Contenuti nascosti File Thumbs.db Bibliografia Thumbnail, filename, timestamps Contatti Vinetto estrapola le informazioni e crea un Davide Gabrini report HTML Security Farmer
JPEG Forensics Corso di Perfezionamento Bibliografia in Computer Forensics C. L. T. Brown ExIF white paper (Thecnology Pathways) MIlano, 8 aprile 2009 G. Reis - Analisi forense con Photoshop (Apogeo) SWGIT - Best Practices for Forensic Image Analysis Cenni storici Lukas,Fridrich,Goljan Digital bullet scratches for images Disciplina AA.VV. - A survey of forensic characterization methods for JPEG physical devices (Digital Investigation, Vol.3 Sup.1) Elaborazioni H.Farid - Digital Image Ballistics from JPEG Quantization comuni (Dartmouth College) Metadati He,Lin,Wang,Tang - Detecting Doctored JPEG Images Via Tecniche avanzate DCT Coefficient Analysis Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Bibliografia (2) in Computer Forensics Jessica Fridrich (http://www.ws.binghamton.edu/fridrich) MIlano, 8 aprile 2009 Neal Krawetz A picture's worth (Black Hat 2007) VEGA Project (http://vega.0catch.com) Cenni storici Andreas Schuster - http://computer.forensikblog.de Disciplina FIDIS - http://www.fidis.net JPEG Universit di Catania - Image Processing Laboratory Elaborazioni http://iplab.dmi.unict.it comuni Metadati www.jpeg.org Tecniche www.w3.org/Graphics/JPEG avanzate www.exif.org Contenuti nascosti www.wikipedia.org Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Contatti in Computer Forensics MIlano, 8 aprile 2009 Davide Rebus Gabrini e-mail: rebus@mensa.it Cenni storici davide.gabrini@poliziadistato.it Disciplina JPEG GPG Public Key: (available on keyserver.linux.it) Elaborazioni www.tipiloschi.net/rebus.asc comuni www.tipiloschi.net/davidegabrini.asc Metadati KeyID: 0x176560F7 Tecniche avanzate Instant Messaging: Contenuti nascosti MSN therebus@hotmail.com Bibliografia ICQ 115159498 Yahoo! therebus Contatti Skype therebus Davide Gabrini Queste e altre cazzate su www.tipiloschi.net Security Farmer

More Related Content

2009 04-08 uni-mi_jpeg forensics

  • 1. JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Analisi forense delle immagini digitali Security Farmer
  • 2. JPEG Forensics Corso di Perfezionamento Chi sono in Computer Forensics MIlano, 8 aprile 2009 Davide Gabrini, aka Rebus Per chi lavoro non 竪 un mistero. Cenni storici Oltre a ci嘆: Disciplina Consulente Tecnico e Perito forense JPEG Docente di sicurezza informatica e Elaborazioni computer forensics per Corsisoftware srl comuni Metadati Oggi non sono qui in divisa Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 3. JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics Lanalisi forense delle immagini 竪 una MIlano, 8 aprile 2009 scienza nuova? Cenni storici Il primo caso documentato di forensic Disciplina image authentication risale al 1851 JPEG Dal dagherrotipo al JPEG, per嘆, son Elaborazioni comuni cambiate tante cose Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 4. JPEG Forensics Corso di Perfezionamento Esempi storici in Computer Forensics http://www.cs.dartmouth.edu/farid/research/digitaltampering/ MIlano, 8 aprile 2009 1860 1930 Cenni storici Disciplina JPEG 2002 L.A.Times Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti 2006 Davide Gabrini Reuters Security Farmer
  • 5. JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics Forensic image analysis is the application MIlano, 8 aprile 2009 of image science and domain expertise to interpret the content of an image or the Cenni storici Disciplina image itself in legal matters (SWGIT www.fbi.gov) JPEG Le principali discipline della Forensic Image Elaborazioni comuni Analysis includono: Metadati Fotogrammetria Tecniche avanzate Comparazione fotografica Contenuti nascosti Analisi dei contenuti Bibliografia Contatti Autenticazione dellimmagine Davide Gabrini Security Farmer
  • 6. JPEG Forensics Corso di Perfezionamento Fotogrammetria in Computer Forensics "tecnica di rilievo che permette di acquisire dei MIlano, 8 aprile 2009 dati metrici di un oggetto (forma e posizione) tramite l'acquisizione e l'analisi di immagini fotografiche a Cenni storici prospettiva centrale." (Wikipedia) Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Analisi forense con Photoshop - Apogeo
  • 7. JPEG Forensics Corso di Perfezionamento Comparazione fotografica in Computer Forensics MIlano, 8 aprile 2009 Comparazione dei soggetti ritratti (un volto, o un oggetto) o degli artefatti Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: SWGIT
  • 8. JPEG Forensics Corso di Perfezionamento Analisi dei contenuti in Computer Forensics MIlano, 8 aprile 2009 Esame di quanto rappresentato al fine di trarne conclusioni, ad esempio su: Cenni storici Persone o oggetti ritratti Disciplina JPEG Situazione, condizioni o processo Elaborazioni comuni attraverso cui l'immagine 竪 stata creata Metadati Aspetto fisico della scena Tecniche avanzate Contenuti Provenienza dell'immagine nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 9. JPEG Forensics Corso di Perfezionamento Autenticazione dellimmagine in Computer Forensics MIlano, 8 aprile 2009 Verifica circa l'integrit e l'attendibilit dell'immagine e di quanto rappresenta Cenni storici Determinare se l'immagine 竪 originale o Disciplina 竪 stata editata JPEG Elaborazioni Conversioni di formato comuni Metadati Alterazioni o distorsioni Tecniche avanzate Aggiunta di elementi Contenuti nascosti Rimozione di parti o dettagli Bibliografia Ecc. ecc. Contatti Determinare se quanto rappresenta Davide Gabrini Security Farmer risponde a realt
  • 10. JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Oggi ci occuperemo specificamente di immagini digitali, in particolare del Cenni storici formato JPEG Disciplina L'enorme diffusione di dispositivi ottici JPEG Elaborazioni digitali rende sempre pi湛 importanti comuni Metadati analisi di questo tipo Tecniche avanzate Le fasi principali sono sempre tre: Contenuti nascosti Interpretazione Bibliografia Contatti Esame Davide Gabrini Elaborazione Security Farmer
  • 11. JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Interpretazione: Analisi del contenuto, operata da uno specialista (p.e. medico legale, esperto militare ecc) Cenni storici Disciplina Esame: JPEG Analisi del contenente, operata da un esperto nel Elaborazioni comuni campo delle immagini digitali (rilievo ed estrazione Metadati di informazioni, watermark, dati steganografati, Tecniche avanzate tracce di alterazione ecc. ecc.) Contenuti nascosti Elaborazione Bibliografia Manipolazioni tecniche volte alla preparazione Contatti dell'immagine per l'interpretazione, l'esame o la Davide Gabrini presentazione. Security Farmer
  • 12. JPEG Forensics Corso di Perfezionamento Cautele in Computer Forensics MIlano, 8 aprile 2009 Valgono gli stessi principi generali della digital forensics per la trattazione Cenni storici dei reperti digitali Disciplina Preservazione dell'originale JPEG Elaborazioni Acquisizione integra e non ripudiabile comuni Metadati Utilizzo di copie di lavoro Tecniche avanzate Documentazione e ripetibilit Contenuti nascosti In generale, ogni manipolazione tende Bibliografia Contatti ad evidenziare particolari presenti, non Davide Gabrini a cambiare i contenuti dell'immagine Security Farmer
  • 13. JPEG Forensics Corso di Perfezionamento Obiettivi dellanalisi in Computer Forensics MIlano, 8 aprile 2009 Soprattutto due: Verificare la genuinit Cenni storici Attribuire la paternit Disciplina JPEG Possibili approcci: Elaborazioni comuni Enfatizzare dettagli Metadati Individuare manipolazioni Tecniche avanzate Ritocchi, tagli, fotomontaggi Contenuti nascosti Determinare la fonte dell'immagine Bibliografia Contatti Tipo di fotocamera Software di editing Davide Gabrini Security Farmer Individuazione camera specifica
  • 14. JPEG Forensics Corso di Perfezionamento Ambiti di applicazione in Computer Forensics MIlano, 8 aprile 2009 Un caso di particolare interesse: la pedopornografia virtuale Cenni storici Disciplina Legislazione italiana JPEG Elaborazioni Legislazione USA comuni Metadati Tecniche Immagini finte che sembrano vere avanzate Contenuti nascosti Bibliografia Immagini vere che sembrano finte Contatti Davide Gabrini Security Farmer
  • 15. JPEG Forensics Corso di Perfezionamento Cosa NON si pu嘆 fare in Computer Forensics MIlano, 8 aprile 2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Cenni storici serie come CSI e RIS? Disciplina Spiacente, ma la realt, anche JPEG Elaborazioni digitale, somiglia pi湛 a Blow Up comuni Metadati Non si possono "creare" informazioni Tecniche avanzate che non ci sono Contenuti nascosti Bibliografia Si possono per嘆 enfatizzare Contatti informazioni che non si vedono, Davide Gabrini Security Farmer ma ci sono
  • 16. JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 JPEG definisce solo come codificare un'immagine in uno stream di byte Cenni storici JFIF definisce invece come produrre Disciplina un file che contenga lo stream JPEG Elaborazioni Risoluzione comuni Metadati Color space Tecniche avanzate Thumbnail Contenuti nascosti Bibliografia ExIF permette di integrare nel file Contatti ulteriori informazioni Davide Gabrini Security Farmer
  • 17. JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 Partendo da un'immagine grezza (bitmap, o raster) la conversione JPEG Cenni storici avviene in tre passaggi: Disciplina Trasformazione discreta in coseno JPEG Elaborazioni comuni Quantizzazione Metadati Codifica entropica Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 18. JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Analisi: Elaborazioni comuni Metadati tecniche, strategie e strumenti Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 19. JPEG Forensics Corso di Perfezionamento Alcuni utili tool generici in Computer Forensics MIlano, 8 aprile 2009 Visualizzatori ACDSee Cenni storici Irfanview Disciplina Faststone viewer JPEG Elaborazioni Xnview comuni Metadati Editor Tecniche avanzate Contenuti Adobe Photoshop nascosti Bibliografia The Gimp Contatti Paint Shop Pro Davide Gabrini Security Farmer
  • 20. JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics Manipolazioni semplici (ingrandimenti, variazioni MIlano, 8 aprile 2009 su contrasto e luminiosit, denoising, deblurring ecc.) possono evidenziare particolari oscuri Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.enigmi.net
  • 21. JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.hyperreview.net
  • 22. JPEG Forensics Corso di Perfezionamento Caccia al pedofilo in Computer Forensics MIlano, 8 aprile 2009 Anche manipolazioni pi湛 complesse potrebbero rivelarsi invertibili Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.interpol.int
  • 23. JPEG Forensics Corso di Perfezionamento Analisi dei metadati in Computer Forensics Metadati interni al file (embedded) MIlano, 8 aprile 2009 Dati EXIF Cenni storici Marca, modello, seriale, versione del Disciplina firmware JPEG Timestamps Elaborazioni comuni Thumbnail Metadati GPS, ecc. ecc. Tecniche avanzate IPTC (International Press Telecommunications Council) Contenuti nascosti Bibliografia XMP (Extensible Metadata Platform) Contatti Camera Raw, History Log, DICOM ecc. Davide Gabrini Security Farmer
  • 24. JPEG Forensics Corso di Perfezionamento ExIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: w ww.tipiloschi.net
  • 25. JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Dai giornalisti ai ladri di libri ;-) Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 26. JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Cat Schwartz e il "crop" di PhotoShop E' stato solo un episodio imbarazzante, Cenni storici ma allo stesso modo potrebbero Disciplina scoprirsi ben altre informazioni JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Immagine: w ww.denisfrati.it Security Farmer Immagini: w ww.pcworld.com
  • 27. JPEG Forensics Corso di Perfezionamento Thumbnail EXIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 28. JPEG Forensics Corso di Perfezionamento Scansione automatica in Computer Forensics MIlano, 8 aprile 2009 Qualcuno ha gi pensato a come automatizzare la cosa Cenni storici http://no.spam.ee/~tonu/exif Disciplina JPEG EXIF Phun by ascii (www.ush.it) Elaborazioni comuni Metadati E' possibile scansionare grandi quantit Tecniche avanzate di immagini per isolare quelle che Contenuti nascosti presentano un thumbnail EXIF difforme Bibliografia Contatti dal contenuto evidente Davide Gabrini Security Farmer
  • 29. JPEG Forensics Corso di Perfezionamento Anti-forensics in Computer Forensics MIlano, 8 aprile 2009 I dati EXIF (e non solo loro) sono memorizzati in chiaro e senza alcun Cenni storici meccanismo di firma Disciplina Sono facilmente alterabili con un JPEG Elaborazioni comune editor esadecimale comuni Metadati Appositi tool rendono l'operazione Tecniche avanzate facilmente automatizzabile Contenuti nascosti EXIF Date Changer Bibliografia Contatti jhead Davide Gabrini FastStone Viewer Security Farmer
  • 30. JPEG Forensics Corso di Perfezionamento Metodi danalisi pi湛 sofisticati in Computer Forensics MIlano, 8 aprile 2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Cenni storici la compressione JPEG Disciplina Ogni software che salva un JPEG lascia JPEG un'impronta che lo rende riconoscibile Elaborazioni comuni Metadati Si pu嘆 riconoscere cos狸 se la foto Tecniche proviene direttamente da una certa avanzate Contenuti fotocamera o se 竪 stata editata da un nascosti Bibliografia certo software Contatti Davide Gabrini Security Farmer
  • 31. JPEG Forensics Corso di Perfezionamento Strumenti per la lettura in Computer Forensics MIlano, 8 aprile 2009 Un buon hexeditor 010 editor Cenni storici + JPEG template Disciplina JPEG dqtmd5 Elaborazioni comuni JPEGsnoop Metadati Tecniche ACES Metadata avanzate Contenuti Extractor nascosti Bibliografia Hachoir Contatti jpegquality Davide Gabrini Security Farmer
  • 32. JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Qualcuno potrebbe alterare le matrici per nascondere la sorgente Cenni storici La comparsa di artefatti dovrebbe Disciplina mettere in allarme l'analista JPEG Elaborazioni comuni In ogni caso l'immagine potrebbe Metadati essere convertita in un altro formato Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 33. JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://computer.forensikblog.de
  • 34. JPEG Forensics Corso di Perfezionamento Processi interni alla fotocamera in Computer Forensics MIlano, 8 aprile 2009 Processo di elaborazione, dal segnale luminoso al file digitale Cenni storici Disciplina JPEG Elaborazioni RAW image Interpolazione Conversione di Elaborazioni (demosaicing) formato comuni Correzione colori Scrittura sul Bilanciamento device di del bianco memorizzazione Metadati Antialiasing Color Filter A/D Filtri passa- Lenti Filter Array (CFA) Sensore converter basso Tecniche Gamma avanzate correction Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 35. JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Cenni storici vengono corretti dalla fotocamera Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 36. JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Analisi del rumore E' possibile isolare un'impronta Cenni storici caratteristica nel rumore di fondo Disciplina L'impronta 竪 infatti univoca per ogni JPEG sensore CCD/CMOS Elaborazioni comuni Metadati La carratteristica 竪 indipendente dalle Tecniche condizioni ambientali e stabile nel ciclo avanzate Contenuti di vita dell'apparato nascosti Bibliografia Si pu嘆 identificare la specifica camera Contatti che ha scattato una determinata foto Davide Gabrini Security Farmer
  • 37. JPEG Forensics Corso di Perfezionamento Analisi del rumore in Computer Forensics Il rumore deriva da vari fattori: MIlano, 8 aprile 2009 pixel nonuniformity dust specks on optics Cenni storici Disciplina interference in optical elements JPEG dark currents Elaborazioni comuni Si sottopone limmagine digitale in esame Metadati ad un denoising filter Tecniche avanzate Contenuti Si sottrae limmagine filtrata dalloriginale nascosti Bibliografia Dalla differenza si estrapola il pattern noise Contatti caratteristico della fotocamera Davide Gabrini NFI FIDIS PRNU Compare Security Farmer
  • 38. JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Spesso 竪 fondamentale scoprire se un'immagine sia stata falsificata Cenni storici I metodi tradizionali sono sempre Disciplina validi e costituiscono un buon inizio JPEG Elaborazioni comuni Per esempio: Metadati Esame dei contorni Tecniche avanzate Coerenza di luci ed ombre Contenuti nascosti Bibliografia Esame dei riflessi Contatti Nel mondo digitale servono per嘆 anche Davide Gabrini altri strumenti Security Farmer
  • 39. JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Analisi dei livelli di errore jpegana (not public) Cenni storici ErrorLevelAnal (open source) Disciplina JPEG L'immagine viene salvata con un livello Elaborazioni comuni di qualit noto Metadati Il secondo file viene sottratto al primo Tecniche avanzate Contenuti Si evidenzia cos狸 ogni pixel cambiato e nascosti Bibliografia l'entit della variazione Contatti Immagini alterate presentano diversi Davide Gabrini livelli di errore Security Farmer
  • 40. JPEG Forensics Corso di Perfezionamento Esempi in Computer Forensics Neal Krawetz, Black Hat 2007 MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://w ww.hackerfactor.com
  • 41. JPEG Forensics Corso di Perfezionamento Error Level Analysis in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 42. JPEG Forensics Corso di Perfezionamento DCT Coefficient Analysis in Computer Forensics Detecting Doctored JPEG Images Via DCT MIlano, 8 aprile 2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 43. JPEG Forensics Corso di Perfezionamento Contenuti nascosti in Computer Forensics MIlano, 8 aprile 2009 Watermark Possono includere anche timestamp, Cenni storici GPS e persino dati biometrici Disciplina Scarsa diffusione JPEG Elaborazioni Steganografia comuni Metadati Steganalisi diretta sui file Tecniche avanzate Analisi degli artefatti sul sistema Contenuti nascosti Bibliografia Layer nascosti Contatti Non nei JPEG, ma in PNG e altri formati Davide Gabrini Security Farmer
  • 44. JPEG Forensics Corso di Perfezionamento Fonti alternative in Computer Forensics MIlano, 8 aprile 2009 Immagini incluse in documenti di altro tipo (embedded) Cenni storici Database e cache delle applicazioni, Disciplina soprattutto dei viewer JPEG Elaborazioni ACDSee comuni Metadati FastStone Tecniche Picasa, Xnview ecc. ecc. avanzate Contenuti nascosti File Thumbs.db Bibliografia Thumbnail, filename, timestamps Contatti Vinetto estrapola le informazioni e crea un Davide Gabrini report HTML Security Farmer
  • 45. JPEG Forensics Corso di Perfezionamento Bibliografia in Computer Forensics C. L. T. Brown ExIF white paper (Thecnology Pathways) MIlano, 8 aprile 2009 G. Reis - Analisi forense con Photoshop (Apogeo) SWGIT - Best Practices for Forensic Image Analysis Cenni storici Lukas,Fridrich,Goljan Digital bullet scratches for images Disciplina AA.VV. - A survey of forensic characterization methods for JPEG physical devices (Digital Investigation, Vol.3 Sup.1) Elaborazioni H.Farid - Digital Image Ballistics from JPEG Quantization comuni (Dartmouth College) Metadati He,Lin,Wang,Tang - Detecting Doctored JPEG Images Via Tecniche avanzate DCT Coefficient Analysis Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 46. JPEG Forensics Corso di Perfezionamento Bibliografia (2) in Computer Forensics Jessica Fridrich (http://www.ws.binghamton.edu/fridrich) MIlano, 8 aprile 2009 Neal Krawetz A picture's worth (Black Hat 2007) VEGA Project (http://vega.0catch.com) Cenni storici Andreas Schuster - http://computer.forensikblog.de Disciplina FIDIS - http://www.fidis.net JPEG Universit di Catania - Image Processing Laboratory Elaborazioni http://iplab.dmi.unict.it comuni Metadati www.jpeg.org Tecniche www.w3.org/Graphics/JPEG avanzate www.exif.org Contenuti nascosti www.wikipedia.org Bibliografia Contatti Davide Gabrini Security Farmer
  • 47. JPEG Forensics Corso di Perfezionamento Contatti in Computer Forensics MIlano, 8 aprile 2009 Davide Rebus Gabrini e-mail: rebus@mensa.it Cenni storici davide.gabrini@poliziadistato.it Disciplina JPEG GPG Public Key: (available on keyserver.linux.it) Elaborazioni www.tipiloschi.net/rebus.asc comuni www.tipiloschi.net/davidegabrini.asc Metadati KeyID: 0x176560F7 Tecniche avanzate Instant Messaging: Contenuti nascosti MSN therebus@hotmail.com Bibliografia ICQ 115159498 Yahoo! therebus Contatti Skype therebus Davide Gabrini Queste e altre cazzate su www.tipiloschi.net Security Farmer