2009 04-08 uni-mi_jpeg forensics

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di

Perfezionamento in Computer

Forensics

MIlano, 8 aprile 2009

Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Analisi forense delle immagini digitali

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Chi sono

Davide Gabrini, aka Rebus

Per chi lavoro non è un mistero.

Oltre a ciò:

Consulente Tecnico e Perito forense

Docente di sicurezza informatica e

computer forensics per Corsisoftware srl

Oggi non sono qui in divisa ☺

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Image forensics

L’analisi forense delle immagini è una

scienza nuova?

Il primo caso documentato di forensic

image authentication risale al 1851

Dal dagherrotipo al JPEG, però, son cambiate tante cose…

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Esempi storici

http://www.cs.dartmouth.edu/farid/research/digitaltampering/1860

1930

2002

L.A.Times

2006

Reuters

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Image forensics

“Forensic image analysis is the application

of image science and domain expertise to

interpret the content of an image or the

image itself in legal matters” (SWGIT – www.fbi.gov)

Le principali discipline della Forensic Image

Analysis includono:

Fotogrammetria

Comparazione fotografica

Analisi dei contenuti

Autenticazione dell’immagine

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Fotogrammetria

"tecnica di rilievo che permette di acquisire dei

dati metrici di un oggetto (forma e posizione) tramite

l'acquisizione e l'analisi di immagini fotografiche a

prospettiva centrale." (Wikipedia)

Analisi forense con Photoshop - Apogeo

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Comparazione fotografica

Comparazione dei soggetti ritratti (un

volto, o un oggetto) o degli artefatti

Immagine: SWGIT

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Analisi dei contenuti

Esame di quanto rappresentato al fine

di trarne conclusioni, ad esempio su:

Persone o oggetti ritratti

Situazione, condizioni o processo

attraverso cui l'immagine è stata creata

Aspetto fisico della scena

Provenienza dell'immagine

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Autenticazione dell’immagine

Verifica circa l'integrità e l'attendibilità

dell'immagine e di quanto rappresenta

Determinare se l'immagine è originale o

è stata editata

Conversioni di formato

Alterazioni o distorsioni

Aggiunta di elementi

Rimozione di parti o dettagli

Ecc. ecc.

Determinare se quanto rappresenta risponde a realtà

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Digital image forensics

Oggi ci occuperemo specificamente di

immagini digitali, in particolare del

formato JPEG

L'enorme diffusione di dispositivi ottici

digitali rende sempre più importanti

analisi di questo tipo

Le fasi principali sono sempre tre:

Interpretazione

Esame

Elaborazione

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Digital image forensics

Interpretazione:Analisi del contenuto, operata da uno specialista

(p.e. medico legale, esperto militare ecc…)

Esame:Analisi del contenente, operata da un esperto nel

campo delle immagini digitali (rilievo ed estrazione

di informazioni, watermark, dati steganografati,

tracce di alterazione ecc. ecc.)

ElaborazioneManipolazioni tecniche volte alla preparazione

dell'immagine per l'interpretazione, l'esame o la

presentazione.

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Cautele

Valgono gli stessi principi generali

della digital forensics per la trattazione

dei reperti digitali

Preservazione dell'originale

Acquisizione integra e non ripudiabile

Utilizzo di copie di lavoro

Documentazione e ripetibilità

In generale, ogni manipolazione tende

ad evidenziare particolari presenti, non

a cambiare i contenuti dell'immagine

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Obiettivi dell’analisi

Soprattutto due:

Verificare la genuinità

Attribuire la paternità

Possibili approcci:

Enfatizzare dettagli

Individuare manipolazioni

Ritocchi, tagli, fotomontaggi…

Determinare la fonte dell'immagine

Tipo di fotocamera

Software di editing

Individuazione camera specifica

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Ambiti di applicazione

Un caso di particolare interesse:

la pedopornografia virtuale

Legislazione italiana

Legislazione USA

Immagini finte che sembrano vere

Immagini vere che sembrano finte

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Cosa NON si può fare

Avete visto come si ingrandiscono le

foto in film come Blade Runner o in

serie come CSI e RIS?

Spiacente, ma la realtà, anche

digitale, somiglia più a Blow Up…

Non si possono "creare" informazioni

che non ci sono

Si possono però enfatizzare

informazioni che non si vedono, ma ci sono

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Standard JPEG

JPEG definisce solo come codificare un'immagine in uno stream di byte

JFIF definisce invece come produrre

un file che contenga lo stream

Risoluzione

Color space

Thumbnail

ExIF permette di integrare nel file

ulteriori informazioni

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Standard JPEG

Partendo da un'immagine grezza

(bitmap, o raster) la conversione JPEG

avviene in tre passaggi:

Trasformazione discreta in coseno

Quantizzazione

Codifica entropica

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Analisi:tecniche, strategie e strumenti

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Alcuni utili tool generici

Visualizzatori

ACDSee

Irfanview

Faststone viewer

Xnview

Editor

Adobe Photoshop

The Gimp

Paint Shop Pro

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Evidenziazione dettagli

Manipolazioni semplici (ingrandimenti, variazioni

su contrasto e luminiosità, denoising, deblurring

ecc.) possono evidenziare particolari oscuri

Immagini: w ww.enigmi.net

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Evidenziazione dettagli

Immagini: w ww.hyperreview.net

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Caccia al pedofilo

Anche manipolazioni più complesse

potrebbero rivelarsi invertibili

Immagini: w ww.interpol.int

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Analisi dei metadati

Metadati interni al file (embedded)

Dati EXIF

Marca, modello, seriale, versione del

firmware…

Timestamps

Thumbnail

GPS, ecc. ecc.

IPTC (International Press Telecommunications Council)

XMP (Extensible Metadata Platform)

Camera Raw, History Log, DICOM ecc.

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

ExIF

Immagine: www.tipiloschi.net

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

EXIF traditori: casi celebri

Dai giornalisti ai ladri di libri ;-)

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

EXIF traditori: casi celebri

Cat Schwartz e il "crop" di PhotoShop

E' stato solo un episodio imbarazzante,

ma allo stesso modo potrebbero

scoprirsi ben altre informazioni…

Immagini: w ww.pcworld.comImmagine: www.denisfrati.it

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Thumbnail EXIF

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Scansione automatica

Qualcuno ha già pensato a come

automatizzare la cosa…

http://no.spam.ee/~tonu/exif

EXIF Phun by ascii (www.ush.it)

E' possibile scansionare grandi quantità

di immagini per isolare quelle che

presentano un thumbnail EXIF difforme dal contenuto evidente

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Anti-forensics

I dati EXIF (e non solo loro) sono

memorizzati in chiaro e senza alcun

meccanismo di firma

Sono facilmente alterabili con un

comune editor esadecimale

Appositi tool rendono l'operazione

facilmente automatizzabile

EXIF Date Changer

jhead

FastStone Viewer

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Metodi d’analisi più sofisticati

Define Quantization Table (DQT)

Matrici di quantizzazione utilizzate per

la compressione JPEG

Ogni software che salva un JPEG lascia un'impronta che lo rende riconoscibile

Si può riconoscere così se la foto

proviene direttamente da una certa fotocamera o se è stata editata da un

certo software

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Strumenti per la lettura

Un buon hexeditor

010 editor + JPEG template

dqtmd5

JPEGsnoop

ACES Metadata

Extractor

Hachoir

jpegquality

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Anti-forensics?

Qualcuno potrebbe alterare le matrici

per nascondere la sorgente

La comparsa di artefatti dovrebbe

mettere in allarme l'analista

In ogni caso l'immagine potrebbe

essere convertita in un altro formato…

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Anti-forensics?

Immagini: http://computer.forensikblog.de

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Processi interni alla fotocamera

Processo di elaborazione, dal segnale

luminoso al file digitale

LentiAntialiasing

FilterColor FilterArray (CFA) Sensore

A/D converter

Elaborazioni

• Interpolazione (demosaicing)

• Correzione colori

• Bilanciamento del bianco

• Filtri passa-basso

• Gamma correction

RAW image

• Conversione di formato

• Scrittura sul device di memorizzazione

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Camera ballistic

Identificazione dei difetti (hot e dead pixel)

Inefficace se non ci sono difetti o se

vengono corretti dalla fotocamera

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Camera ballistic

Analisi del rumore

E' possibile isolare un'impronta

caratteristica nel rumore di fondo

L'impronta è infatti univoca per ogni sensore CCD/CMOS

La carratteristica è indipendente dalle

condizioni ambientali e stabile nel ciclo di vita dell'apparato

Si può identificare la specifica camera

che ha scattato una determinata foto

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Analisi del rumore

Il rumore deriva da vari fattori:

pixel nonuniformity

dust specks on optics

interference in optical elements

dark currents

Si sottopone l’immagine digitale in esame

ad un denoising filter

Si “sottrae” l’immagine filtrata dall’originale

Dalla differenza si estrapola il pattern noise

caratteristico della fotocamera

NFI FIDIS PRNU Compare

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Rilevare le manipolazioni

Spesso è fondamentale scoprire se

un'immagine sia stata falsificata

I metodi tradizionali sono sempre

validi e costituiscono un buon inizio

Per esempio:

Esame dei contorni

Coerenza di luci ed ombre

Esame dei riflessi

Nel mondo digitale servono però anche

altri strumenti…

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Rilevare le manipolazioni

Analisi dei livelli di errore

jpegana (not public)

ErrorLevelAnal (open source)

L'immagine viene salvata con un livello

di qualità noto

Il secondo file viene sottratto al primo

Si evidenzia così ogni pixel cambiato e l'entità della variazione

Immagini alterate presentano diversi

livelli di errore

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Esempi

Neal Krawetz, Black Hat 2007

Immagini: http://w ww.hackerfactor.com

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Error Level Analysis

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

DCT Coefficient Analysis

Detecting Doctored JPEG Images Via DCT

Coefficient AnalysisJunfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Contenuti nascosti

Watermark

Possono includere anche timestamp,

GPS e persino dati biometrici

Scarsa diffusione

Steganografia

Steganalisi diretta sui file

Analisi degli artefatti sul sistema

Layer nascosti

Non nei JPEG, ma in PNG e altri formati

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Fonti alternative

Immagini incluse in documenti di

altro tipo (embedded)

Database e cache delle applicazioni,

soprattutto dei viewerACDSee

FastStone

Picasa, Xnview ecc. ecc.

File Thumbs.dbThumbnail, filename, timestamps…

Vinetto estrapola le informazioni e crea un

report HTML

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Bibliografia

C. L. T. Brown – ExIF white paper (Thecnology Pathways)

G. Reis - Analisi forense con Photoshop (Apogeo)

SWGIT - Best Practices for Forensic Image Analysis

Lukas,Fridrich,Goljan – Digital “bullet scratches” for images

AA.VV. - A survey of forensic characterization methods for

physical devices (Digital Investigation, Vol.3 Sup.1)

H.Farid - Digital Image Ballistics from JPEG Quantization

(Dartmouth College)

He,Lin,Wang,Tang - Detecting Doctored JPEG Images Via

DCT Coefficient Analysis

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Bibliografia (2)

Jessica Fridrich (http://www.ws.binghamton.edu/fridrich)

Neal Krawetz – A picture's worth… (Black Hat 2007)

VEGA Project (http://vega.0catch.com)

Andreas Schuster - http://computer.forensikblog.de

FIDIS - http://www.fidis.net

Università di Catania - Image Processing Laboratory

http://iplab.dmi.unict.it

www.jpeg.org

www.w3.org/Graphics/JPEG

www.exif.org

www.wikipedia.org

JPEG Forensics

Davide Gabrini

Security Farmer

Corso di


Forensics


Cenni storici

Disciplina

JPEG

Elaborazioni

comuni

Metadati

Tecniche

avanzate

Contenuti

nascosti

Bibliografia

Contatti

Contatti

Davide Rebus Gabrini

e-mail:[email protected]

[email protected]

GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.asc

www.tipiloschi.net/davidegabrini.ascKeyID: 0x176560F7

Instant Messaging:MSN [email protected]

ICQ 115159498

Yahoo! therebus

Skype therebus

Queste e altre cazzate su www.tipiloschi.net

2009 04-08 uni-mi_jpeg forensics

Technology

Transcript of 2009 04-08 uni-mi_jpeg forensics