SlideShare uma empresa Scribd logo

2009 04-08 uni-mi_jpeg forensics

Davide Gabrini
Davide Gabrini

Docenza tenuta presso la Facoltà di Giurisprudenza dell'Università degli Studi di Milano, durante la tavola rotonda delle Forze dell'Ordine svoltasi nell'ambito del corso di perfezionamento in computer forensics e investigazioni digitali.

Tecnologia
1 de 47
Baixar para ler offline
JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Analisi forense delle immagini digitali Security Farmer
JPEG Forensics Corso di Perfezionamento Chi sono in Computer Forensics MIlano, 8 aprile 2009 Davide Gabrini, aka Rebus Per chi lavoro non è un mistero. Cenni storici Oltre a ciò: Disciplina Consulente Tecnico e Perito forense JPEG Docente di sicurezza informatica e Elaborazioni computer forensics per Corsisoftware srl comuni Metadati Oggi non sono qui in divisa ☺ Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics L’analisi forense delle immagini è una MIlano, 8 aprile 2009 scienza nuova? Cenni storici Il primo caso documentato di forensic Disciplina image authentication risale al 1851 JPEG Dal dagherrotipo al JPEG, però, son Elaborazioni comuni cambiate tante cose… Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Esempi storici in Computer Forensics http://www.cs.dartmouth.edu/farid/research/digitaltampering/ MIlano, 8 aprile 2009 1860 1930 Cenni storici Disciplina JPEG 2002 L.A.Times Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti 2006 Davide Gabrini Reuters Security Farmer
JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics “Forensic image analysis is the application MIlano, 8 aprile 2009 of image science and domain expertise to interpret the content of an image or the Cenni storici Disciplina image itself in legal matters” (SWGIT – www.fbi.gov) JPEG Le principali discipline della Forensic Image Elaborazioni comuni Analysis includono: Metadati Fotogrammetria Tecniche avanzate Comparazione fotografica Contenuti nascosti Analisi dei contenuti Bibliografia Contatti Autenticazione dell’immagine Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Fotogrammetria in Computer Forensics "tecnica di rilievo che permette di acquisire dei MIlano, 8 aprile 2009 dati metrici di un oggetto (forma e posizione) tramite l'acquisizione e l'analisi di immagini fotografiche a Cenni storici prospettiva centrale." (Wikipedia) Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Analisi forense con Photoshop - Apogeo
JPEG Forensics Corso di Perfezionamento Comparazione fotografica in Computer Forensics MIlano, 8 aprile 2009 Comparazione dei soggetti ritratti (un volto, o un oggetto) o degli artefatti Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: SWGIT
JPEG Forensics Corso di Perfezionamento Analisi dei contenuti in Computer Forensics MIlano, 8 aprile 2009 Esame di quanto rappresentato al fine di trarne conclusioni, ad esempio su: Cenni storici Persone o oggetti ritratti Disciplina JPEG Situazione, condizioni o processo Elaborazioni comuni attraverso cui l'immagine è stata creata Metadati Aspetto fisico della scena Tecniche avanzate Contenuti Provenienza dell'immagine nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Autenticazione dell’immagine in Computer Forensics MIlano, 8 aprile 2009 Verifica circa l'integrità e l'attendibilità dell'immagine e di quanto rappresenta Cenni storici Determinare se l'immagine è originale o Disciplina è stata editata JPEG Elaborazioni Conversioni di formato comuni Metadati Alterazioni o distorsioni Tecniche avanzate Aggiunta di elementi Contenuti nascosti Rimozione di parti o dettagli Bibliografia Ecc. ecc. Contatti Determinare se quanto rappresenta Davide Gabrini Security Farmer risponde a realtà
JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Oggi ci occuperemo specificamente di immagini digitali, in particolare del Cenni storici formato JPEG Disciplina L'enorme diffusione di dispositivi ottici JPEG Elaborazioni digitali rende sempre più importanti comuni Metadati analisi di questo tipo Tecniche avanzate Le fasi principali sono sempre tre: Contenuti nascosti Interpretazione Bibliografia Contatti Esame Davide Gabrini Elaborazione Security Farmer
JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Interpretazione: Analisi del contenuto, operata da uno specialista (p.e. medico legale, esperto militare ecc…) Cenni storici Disciplina Esame: JPEG Analisi del contenente, operata da un esperto nel Elaborazioni comuni campo delle immagini digitali (rilievo ed estrazione Metadati di informazioni, watermark, dati steganografati, Tecniche avanzate tracce di alterazione ecc. ecc.) Contenuti nascosti Elaborazione Bibliografia Manipolazioni tecniche volte alla preparazione Contatti dell'immagine per l'interpretazione, l'esame o la Davide Gabrini presentazione. Security Farmer
JPEG Forensics Corso di Perfezionamento Cautele in Computer Forensics MIlano, 8 aprile 2009 Valgono gli stessi principi generali della digital forensics per la trattazione Cenni storici dei reperti digitali Disciplina Preservazione dell'originale JPEG Elaborazioni Acquisizione integra e non ripudiabile comuni Metadati Utilizzo di copie di lavoro Tecniche avanzate Documentazione e ripetibilità Contenuti nascosti In generale, ogni manipolazione tende Bibliografia Contatti ad evidenziare particolari presenti, non Davide Gabrini a cambiare i contenuti dell'immagine Security Farmer
JPEG Forensics Corso di Perfezionamento Obiettivi dell’analisi in Computer Forensics MIlano, 8 aprile 2009 Soprattutto due: Verificare la genuinità Cenni storici Attribuire la paternità Disciplina JPEG Possibili approcci: Elaborazioni comuni Enfatizzare dettagli Metadati Individuare manipolazioni Tecniche avanzate Ritocchi, tagli, fotomontaggi… Contenuti nascosti Determinare la fonte dell'immagine Bibliografia Contatti Tipo di fotocamera Software di editing Davide Gabrini Security Farmer Individuazione camera specifica
JPEG Forensics Corso di Perfezionamento Ambiti di applicazione in Computer Forensics MIlano, 8 aprile 2009 Un caso di particolare interesse: la pedopornografia virtuale Cenni storici Disciplina Legislazione italiana JPEG Elaborazioni Legislazione USA comuni Metadati Tecniche Immagini finte che sembrano vere avanzate Contenuti nascosti Bibliografia Immagini vere che sembrano finte Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Cosa NON si può fare in Computer Forensics MIlano, 8 aprile 2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Cenni storici serie come CSI e RIS? Disciplina Spiacente, ma la realtà, anche JPEG Elaborazioni digitale, somiglia più a Blow Up… comuni Metadati Non si possono "creare" informazioni Tecniche avanzate che non ci sono Contenuti nascosti Bibliografia Si possono però enfatizzare Contatti informazioni che non si vedono, Davide Gabrini Security Farmer ma ci sono
JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 JPEG definisce solo come codificare un'immagine in uno stream di byte Cenni storici JFIF definisce invece come produrre Disciplina un file che contenga lo stream JPEG Elaborazioni Risoluzione comuni Metadati Color space Tecniche avanzate Thumbnail Contenuti nascosti Bibliografia ExIF permette di integrare nel file Contatti ulteriori informazioni Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 Partendo da un'immagine grezza (bitmap, o raster) la conversione JPEG Cenni storici avviene in tre passaggi: Disciplina Trasformazione discreta in coseno JPEG Elaborazioni comuni Quantizzazione Metadati Codifica entropica Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Analisi: Elaborazioni comuni Metadati tecniche, strategie e strumenti Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Alcuni utili tool generici in Computer Forensics MIlano, 8 aprile 2009 Visualizzatori ACDSee Cenni storici Irfanview Disciplina Faststone viewer JPEG Elaborazioni Xnview comuni Metadati Editor Tecniche avanzate Contenuti Adobe Photoshop nascosti Bibliografia The Gimp Contatti Paint Shop Pro Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics Manipolazioni semplici (ingrandimenti, variazioni MIlano, 8 aprile 2009 su contrasto e luminiosità, denoising, deblurring ecc.) possono evidenziare particolari oscuri Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.enigmi.net
JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.hyperreview.net
JPEG Forensics Corso di Perfezionamento Caccia al pedofilo in Computer Forensics MIlano, 8 aprile 2009 Anche manipolazioni più complesse potrebbero rivelarsi invertibili Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.interpol.int
JPEG Forensics Corso di Perfezionamento Analisi dei metadati in Computer Forensics Metadati interni al file (embedded) MIlano, 8 aprile 2009 Dati EXIF Cenni storici Marca, modello, seriale, versione del Disciplina firmware… JPEG Timestamps Elaborazioni comuni Thumbnail Metadati GPS, ecc. ecc. Tecniche avanzate IPTC (International Press Telecommunications Council) Contenuti nascosti Bibliografia XMP (Extensible Metadata Platform) Contatti Camera Raw, History Log, DICOM ecc. Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento ExIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: w ww.tipiloschi.net
JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Dai giornalisti ai ladri di libri ;-) Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Cat Schwartz e il "crop" di PhotoShop E' stato solo un episodio imbarazzante, Cenni storici ma allo stesso modo potrebbero Disciplina scoprirsi ben altre informazioni… JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Immagine: w ww.denisfrati.it Security Farmer Immagini: w ww.pcworld.com
JPEG Forensics Corso di Perfezionamento Thumbnail EXIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Scansione automatica in Computer Forensics MIlano, 8 aprile 2009 Qualcuno ha già pensato a come automatizzare la cosa… Cenni storici http://no.spam.ee/~tonu/exif Disciplina JPEG EXIF Phun by ascii (www.ush.it) Elaborazioni comuni Metadati E' possibile scansionare grandi quantità Tecniche avanzate di immagini per isolare quelle che Contenuti nascosti presentano un thumbnail EXIF difforme Bibliografia Contatti dal contenuto evidente Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics in Computer Forensics MIlano, 8 aprile 2009 I dati EXIF (e non solo loro) sono memorizzati in chiaro e senza alcun Cenni storici meccanismo di firma Disciplina Sono facilmente alterabili con un JPEG Elaborazioni comune editor esadecimale comuni Metadati Appositi tool rendono l'operazione Tecniche avanzate facilmente automatizzabile Contenuti nascosti EXIF Date Changer Bibliografia Contatti jhead Davide Gabrini FastStone Viewer Security Farmer
JPEG Forensics Corso di Perfezionamento Metodi d’analisi più sofisticati in Computer Forensics MIlano, 8 aprile 2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Cenni storici la compressione JPEG Disciplina Ogni software che salva un JPEG lascia JPEG un'impronta che lo rende riconoscibile Elaborazioni comuni Metadati Si può riconoscere così se la foto Tecniche proviene direttamente da una certa avanzate Contenuti fotocamera o se è stata editata da un nascosti Bibliografia certo software Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Strumenti per la lettura in Computer Forensics MIlano, 8 aprile 2009 Un buon hexeditor 010 editor Cenni storici + JPEG template Disciplina JPEG dqtmd5 Elaborazioni comuni JPEGsnoop Metadati Tecniche ACES Metadata avanzate Contenuti Extractor nascosti Bibliografia Hachoir Contatti jpegquality Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Qualcuno potrebbe alterare le matrici per nascondere la sorgente Cenni storici La comparsa di artefatti dovrebbe Disciplina mettere in allarme l'analista JPEG Elaborazioni comuni In ogni caso l'immagine potrebbe Metadati essere convertita in un altro formato… Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://computer.forensikblog.de
JPEG Forensics Corso di Perfezionamento Processi interni alla fotocamera in Computer Forensics MIlano, 8 aprile 2009 Processo di elaborazione, dal segnale luminoso al file digitale Cenni storici Disciplina JPEG Elaborazioni RAW image • Interpolazione • Conversione di Elaborazioni (demosaicing) formato comuni • Correzione colori • Scrittura sul • Bilanciamento device di del bianco memorizzazione Metadati Antialiasing Color Filter A/D • Filtri passa- Lenti Filter Array (CFA) Sensore converter basso Tecniche • Gamma avanzate correction Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Cenni storici vengono corretti dalla fotocamera Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Analisi del rumore E' possibile isolare un'impronta Cenni storici caratteristica nel rumore di fondo Disciplina L'impronta è infatti univoca per ogni JPEG sensore CCD/CMOS Elaborazioni comuni Metadati La carratteristica è indipendente dalle Tecniche condizioni ambientali e stabile nel ciclo avanzate Contenuti di vita dell'apparato nascosti Bibliografia Si può identificare la specifica camera Contatti che ha scattato una determinata foto Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Analisi del rumore in Computer Forensics Il rumore deriva da vari fattori: MIlano, 8 aprile 2009 pixel nonuniformity dust specks on optics Cenni storici Disciplina interference in optical elements JPEG dark currents Elaborazioni comuni Si sottopone l’immagine digitale in esame Metadati ad un denoising filter Tecniche avanzate Contenuti Si “sottrae” l’immagine filtrata dall’originale nascosti Bibliografia Dalla differenza si estrapola il pattern noise Contatti caratteristico della fotocamera Davide Gabrini NFI FIDIS PRNU Compare Security Farmer
JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Spesso è fondamentale scoprire se un'immagine sia stata falsificata Cenni storici I metodi tradizionali sono sempre Disciplina validi e costituiscono un buon inizio JPEG Elaborazioni comuni Per esempio: Metadati Esame dei contorni Tecniche avanzate Coerenza di luci ed ombre Contenuti nascosti Bibliografia Esame dei riflessi Contatti Nel mondo digitale servono però anche Davide Gabrini altri strumenti… Security Farmer
JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Analisi dei livelli di errore jpegana (not public) Cenni storici ErrorLevelAnal (open source) Disciplina JPEG L'immagine viene salvata con un livello Elaborazioni comuni di qualità noto Metadati Il secondo file viene sottratto al primo Tecniche avanzate Contenuti Si evidenzia così ogni pixel cambiato e nascosti Bibliografia l'entità della variazione Contatti Immagini alterate presentano diversi Davide Gabrini livelli di errore Security Farmer
JPEG Forensics Corso di Perfezionamento Esempi in Computer Forensics Neal Krawetz, Black Hat 2007 MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://w ww.hackerfactor.com
JPEG Forensics Corso di Perfezionamento Error Level Analysis in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento DCT Coefficient Analysis in Computer Forensics Detecting Doctored JPEG Images Via DCT MIlano, 8 aprile 2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Contenuti nascosti in Computer Forensics MIlano, 8 aprile 2009 Watermark Possono includere anche timestamp, Cenni storici GPS e persino dati biometrici Disciplina Scarsa diffusione JPEG Elaborazioni Steganografia comuni Metadati Steganalisi diretta sui file Tecniche avanzate Analisi degli artefatti sul sistema Contenuti nascosti Bibliografia Layer nascosti Contatti Non nei JPEG, ma in PNG e altri formati Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Fonti alternative in Computer Forensics MIlano, 8 aprile 2009 Immagini incluse in documenti di altro tipo (embedded) Cenni storici Database e cache delle applicazioni, Disciplina soprattutto dei viewer JPEG Elaborazioni ACDSee comuni Metadati FastStone Tecniche Picasa, Xnview ecc. ecc. avanzate Contenuti nascosti File Thumbs.db Bibliografia Thumbnail, filename, timestamps… Contatti Vinetto estrapola le informazioni e crea un Davide Gabrini report HTML Security Farmer
JPEG Forensics Corso di Perfezionamento Bibliografia in Computer Forensics C. L. T. Brown – ExIF white paper (Thecnology Pathways) MIlano, 8 aprile 2009 G. Reis - Analisi forense con Photoshop (Apogeo) SWGIT - Best Practices for Forensic Image Analysis Cenni storici Lukas,Fridrich,Goljan – Digital “bullet scratches” for images Disciplina AA.VV. - A survey of forensic characterization methods for JPEG physical devices (Digital Investigation, Vol.3 Sup.1) Elaborazioni H.Farid - Digital Image Ballistics from JPEG Quantization comuni (Dartmouth College) Metadati He,Lin,Wang,Tang - Detecting Doctored JPEG Images Via Tecniche avanzate DCT Coefficient Analysis Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Bibliografia (2) in Computer Forensics Jessica Fridrich (http://www.ws.binghamton.edu/fridrich) MIlano, 8 aprile 2009 Neal Krawetz – A picture's worth… (Black Hat 2007) VEGA Project (http://vega.0catch.com) Cenni storici Andreas Schuster - http://computer.forensikblog.de Disciplina FIDIS - http://www.fidis.net JPEG Università di Catania - Image Processing Laboratory Elaborazioni http://iplab.dmi.unict.it comuni Metadati www.jpeg.org Tecniche www.w3.org/Graphics/JPEG avanzate www.exif.org Contenuti nascosti www.wikipedia.org Bibliografia Contatti Davide Gabrini Security Farmer
JPEG Forensics Corso di Perfezionamento Contatti in Computer Forensics MIlano, 8 aprile 2009 Davide Rebus Gabrini e-mail: rebus@mensa.it Cenni storici davide.gabrini@poliziadistato.it Disciplina JPEG GPG Public Key: (available on keyserver.linux.it) Elaborazioni www.tipiloschi.net/rebus.asc comuni www.tipiloschi.net/davidegabrini.asc Metadati KeyID: 0x176560F7 Tecniche avanzate Instant Messaging: Contenuti nascosti MSN therebus@hotmail.com Bibliografia ICQ 115159498 Yahoo! therebus Contatti Skype therebus Davide Gabrini Queste e altre cazzate su www.tipiloschi.net Security Farmer

Recomendados

Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSMAU
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Datapiccimario
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connellCatyC
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...HTLaw
 
Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discoverySilvia Montanari
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiMassimo Farina
 

Recomendados

Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSMAU
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Datapiccimario
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connellCatyC
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...HTLaw
 
Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discoverySilvia Montanari
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiMassimo Farina
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013StroNGER2012
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Sandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanDanilo De Rogatis
 
Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Anastasia K
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMariagrazia Cinti
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti webdalchecco
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoAndrea Rossetti
 

Mais conteúdo relacionado

Destaque

deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013StroNGER2012
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Sandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanDanilo De Rogatis
 
Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Anastasia K
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMariagrazia Cinti
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti webdalchecco
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoAndrea Rossetti
 

Destaque (10)

deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
 
Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devices
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti web
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
 

2009 04-08 uni-mi_jpeg forensics

  • 1. JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Analisi forense delle immagini digitali Security Farmer
  • 2. JPEG Forensics Corso di Perfezionamento Chi sono in Computer Forensics MIlano, 8 aprile 2009 Davide Gabrini, aka Rebus Per chi lavoro non è un mistero. Cenni storici Oltre a ciò: Disciplina Consulente Tecnico e Perito forense JPEG Docente di sicurezza informatica e Elaborazioni computer forensics per Corsisoftware srl comuni Metadati Oggi non sono qui in divisa ☺ Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 3. JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics L’analisi forense delle immagini è una MIlano, 8 aprile 2009 scienza nuova? Cenni storici Il primo caso documentato di forensic Disciplina image authentication risale al 1851 JPEG Dal dagherrotipo al JPEG, però, son Elaborazioni comuni cambiate tante cose… Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 4. JPEG Forensics Corso di Perfezionamento Esempi storici in Computer Forensics http://www.cs.dartmouth.edu/farid/research/digitaltampering/ MIlano, 8 aprile 2009 1860 1930 Cenni storici Disciplina JPEG 2002 L.A.Times Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti 2006 Davide Gabrini Reuters Security Farmer
  • 5. JPEG Forensics Corso di Perfezionamento Image forensics in Computer Forensics “Forensic image analysis is the application MIlano, 8 aprile 2009 of image science and domain expertise to interpret the content of an image or the Cenni storici Disciplina image itself in legal matters” (SWGIT – www.fbi.gov) JPEG Le principali discipline della Forensic Image Elaborazioni comuni Analysis includono: Metadati Fotogrammetria Tecniche avanzate Comparazione fotografica Contenuti nascosti Analisi dei contenuti Bibliografia Contatti Autenticazione dell’immagine Davide Gabrini Security Farmer
  • 6. JPEG Forensics Corso di Perfezionamento Fotogrammetria in Computer Forensics "tecnica di rilievo che permette di acquisire dei MIlano, 8 aprile 2009 dati metrici di un oggetto (forma e posizione) tramite l'acquisizione e l'analisi di immagini fotografiche a Cenni storici prospettiva centrale." (Wikipedia) Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Analisi forense con Photoshop - Apogeo
  • 7. JPEG Forensics Corso di Perfezionamento Comparazione fotografica in Computer Forensics MIlano, 8 aprile 2009 Comparazione dei soggetti ritratti (un volto, o un oggetto) o degli artefatti Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: SWGIT
  • 8. JPEG Forensics Corso di Perfezionamento Analisi dei contenuti in Computer Forensics MIlano, 8 aprile 2009 Esame di quanto rappresentato al fine di trarne conclusioni, ad esempio su: Cenni storici Persone o oggetti ritratti Disciplina JPEG Situazione, condizioni o processo Elaborazioni comuni attraverso cui l'immagine è stata creata Metadati Aspetto fisico della scena Tecniche avanzate Contenuti Provenienza dell'immagine nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 9. JPEG Forensics Corso di Perfezionamento Autenticazione dell’immagine in Computer Forensics MIlano, 8 aprile 2009 Verifica circa l'integrità e l'attendibilità dell'immagine e di quanto rappresenta Cenni storici Determinare se l'immagine è originale o Disciplina è stata editata JPEG Elaborazioni Conversioni di formato comuni Metadati Alterazioni o distorsioni Tecniche avanzate Aggiunta di elementi Contenuti nascosti Rimozione di parti o dettagli Bibliografia Ecc. ecc. Contatti Determinare se quanto rappresenta Davide Gabrini Security Farmer risponde a realtà
  • 10. JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Oggi ci occuperemo specificamente di immagini digitali, in particolare del Cenni storici formato JPEG Disciplina L'enorme diffusione di dispositivi ottici JPEG Elaborazioni digitali rende sempre più importanti comuni Metadati analisi di questo tipo Tecniche avanzate Le fasi principali sono sempre tre: Contenuti nascosti Interpretazione Bibliografia Contatti Esame Davide Gabrini Elaborazione Security Farmer
  • 11. JPEG Forensics Corso di Perfezionamento Digital image forensics in Computer Forensics MIlano, 8 aprile 2009 Interpretazione: Analisi del contenuto, operata da uno specialista (p.e. medico legale, esperto militare ecc…) Cenni storici Disciplina Esame: JPEG Analisi del contenente, operata da un esperto nel Elaborazioni comuni campo delle immagini digitali (rilievo ed estrazione Metadati di informazioni, watermark, dati steganografati, Tecniche avanzate tracce di alterazione ecc. ecc.) Contenuti nascosti Elaborazione Bibliografia Manipolazioni tecniche volte alla preparazione Contatti dell'immagine per l'interpretazione, l'esame o la Davide Gabrini presentazione. Security Farmer
  • 12. JPEG Forensics Corso di Perfezionamento Cautele in Computer Forensics MIlano, 8 aprile 2009 Valgono gli stessi principi generali della digital forensics per la trattazione Cenni storici dei reperti digitali Disciplina Preservazione dell'originale JPEG Elaborazioni Acquisizione integra e non ripudiabile comuni Metadati Utilizzo di copie di lavoro Tecniche avanzate Documentazione e ripetibilità Contenuti nascosti In generale, ogni manipolazione tende Bibliografia Contatti ad evidenziare particolari presenti, non Davide Gabrini a cambiare i contenuti dell'immagine Security Farmer
  • 13. JPEG Forensics Corso di Perfezionamento Obiettivi dell’analisi in Computer Forensics MIlano, 8 aprile 2009 Soprattutto due: Verificare la genuinità Cenni storici Attribuire la paternità Disciplina JPEG Possibili approcci: Elaborazioni comuni Enfatizzare dettagli Metadati Individuare manipolazioni Tecniche avanzate Ritocchi, tagli, fotomontaggi… Contenuti nascosti Determinare la fonte dell'immagine Bibliografia Contatti Tipo di fotocamera Software di editing Davide Gabrini Security Farmer Individuazione camera specifica
  • 14. JPEG Forensics Corso di Perfezionamento Ambiti di applicazione in Computer Forensics MIlano, 8 aprile 2009 Un caso di particolare interesse: la pedopornografia virtuale Cenni storici Disciplina Legislazione italiana JPEG Elaborazioni Legislazione USA comuni Metadati Tecniche Immagini finte che sembrano vere avanzate Contenuti nascosti Bibliografia Immagini vere che sembrano finte Contatti Davide Gabrini Security Farmer
  • 15. JPEG Forensics Corso di Perfezionamento Cosa NON si può fare in Computer Forensics MIlano, 8 aprile 2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Cenni storici serie come CSI e RIS? Disciplina Spiacente, ma la realtà, anche JPEG Elaborazioni digitale, somiglia più a Blow Up… comuni Metadati Non si possono "creare" informazioni Tecniche avanzate che non ci sono Contenuti nascosti Bibliografia Si possono però enfatizzare Contatti informazioni che non si vedono, Davide Gabrini Security Farmer ma ci sono
  • 16. JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 JPEG definisce solo come codificare un'immagine in uno stream di byte Cenni storici JFIF definisce invece come produrre Disciplina un file che contenga lo stream JPEG Elaborazioni Risoluzione comuni Metadati Color space Tecniche avanzate Thumbnail Contenuti nascosti Bibliografia ExIF permette di integrare nel file Contatti ulteriori informazioni Davide Gabrini Security Farmer
  • 17. JPEG Forensics Corso di Perfezionamento Standard JPEG in Computer Forensics MIlano, 8 aprile 2009 Partendo da un'immagine grezza (bitmap, o raster) la conversione JPEG Cenni storici avviene in tre passaggi: Disciplina Trasformazione discreta in coseno JPEG Elaborazioni comuni Quantizzazione Metadati Codifica entropica Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 18. JPEG Forensics Corso di Perfezionamento in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Analisi: Elaborazioni comuni Metadati tecniche, strategie e strumenti Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 19. JPEG Forensics Corso di Perfezionamento Alcuni utili tool generici in Computer Forensics MIlano, 8 aprile 2009 Visualizzatori ACDSee Cenni storici Irfanview Disciplina Faststone viewer JPEG Elaborazioni Xnview comuni Metadati Editor Tecniche avanzate Contenuti Adobe Photoshop nascosti Bibliografia The Gimp Contatti Paint Shop Pro Davide Gabrini Security Farmer
  • 20. JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics Manipolazioni semplici (ingrandimenti, variazioni MIlano, 8 aprile 2009 su contrasto e luminiosità, denoising, deblurring ecc.) possono evidenziare particolari oscuri Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.enigmi.net
  • 21. JPEG Forensics Corso di Perfezionamento Evidenziazione dettagli in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.hyperreview.net
  • 22. JPEG Forensics Corso di Perfezionamento Caccia al pedofilo in Computer Forensics MIlano, 8 aprile 2009 Anche manipolazioni più complesse potrebbero rivelarsi invertibili Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: w ww.interpol.int
  • 23. JPEG Forensics Corso di Perfezionamento Analisi dei metadati in Computer Forensics Metadati interni al file (embedded) MIlano, 8 aprile 2009 Dati EXIF Cenni storici Marca, modello, seriale, versione del Disciplina firmware… JPEG Timestamps Elaborazioni comuni Thumbnail Metadati GPS, ecc. ecc. Tecniche avanzate IPTC (International Press Telecommunications Council) Contenuti nascosti Bibliografia XMP (Extensible Metadata Platform) Contatti Camera Raw, History Log, DICOM ecc. Davide Gabrini Security Farmer
  • 24. JPEG Forensics Corso di Perfezionamento ExIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagine: w ww.tipiloschi.net
  • 25. JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Dai giornalisti ai ladri di libri ;-) Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 26. JPEG Forensics Corso di Perfezionamento EXIF traditori: casi celebri in Computer Forensics MIlano, 8 aprile 2009 Cat Schwartz e il "crop" di PhotoShop E' stato solo un episodio imbarazzante, Cenni storici ma allo stesso modo potrebbero Disciplina scoprirsi ben altre informazioni… JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Immagine: w ww.denisfrati.it Security Farmer Immagini: w ww.pcworld.com
  • 27. JPEG Forensics Corso di Perfezionamento Thumbnail EXIF in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 28. JPEG Forensics Corso di Perfezionamento Scansione automatica in Computer Forensics MIlano, 8 aprile 2009 Qualcuno ha già pensato a come automatizzare la cosa… Cenni storici http://no.spam.ee/~tonu/exif Disciplina JPEG EXIF Phun by ascii (www.ush.it) Elaborazioni comuni Metadati E' possibile scansionare grandi quantità Tecniche avanzate di immagini per isolare quelle che Contenuti nascosti presentano un thumbnail EXIF difforme Bibliografia Contatti dal contenuto evidente Davide Gabrini Security Farmer
  • 29. JPEG Forensics Corso di Perfezionamento Anti-forensics in Computer Forensics MIlano, 8 aprile 2009 I dati EXIF (e non solo loro) sono memorizzati in chiaro e senza alcun Cenni storici meccanismo di firma Disciplina Sono facilmente alterabili con un JPEG Elaborazioni comune editor esadecimale comuni Metadati Appositi tool rendono l'operazione Tecniche avanzate facilmente automatizzabile Contenuti nascosti EXIF Date Changer Bibliografia Contatti jhead Davide Gabrini FastStone Viewer Security Farmer
  • 30. JPEG Forensics Corso di Perfezionamento Metodi d’analisi più sofisticati in Computer Forensics MIlano, 8 aprile 2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Cenni storici la compressione JPEG Disciplina Ogni software che salva un JPEG lascia JPEG un'impronta che lo rende riconoscibile Elaborazioni comuni Metadati Si può riconoscere così se la foto Tecniche proviene direttamente da una certa avanzate Contenuti fotocamera o se è stata editata da un nascosti Bibliografia certo software Contatti Davide Gabrini Security Farmer
  • 31. JPEG Forensics Corso di Perfezionamento Strumenti per la lettura in Computer Forensics MIlano, 8 aprile 2009 Un buon hexeditor 010 editor Cenni storici + JPEG template Disciplina JPEG dqtmd5 Elaborazioni comuni JPEGsnoop Metadati Tecniche ACES Metadata avanzate Contenuti Extractor nascosti Bibliografia Hachoir Contatti jpegquality Davide Gabrini Security Farmer
  • 32. JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Qualcuno potrebbe alterare le matrici per nascondere la sorgente Cenni storici La comparsa di artefatti dovrebbe Disciplina mettere in allarme l'analista JPEG Elaborazioni comuni In ogni caso l'immagine potrebbe Metadati essere convertita in un altro formato… Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 33. JPEG Forensics Corso di Perfezionamento Anti-forensics? in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://computer.forensikblog.de
  • 34. JPEG Forensics Corso di Perfezionamento Processi interni alla fotocamera in Computer Forensics MIlano, 8 aprile 2009 Processo di elaborazione, dal segnale luminoso al file digitale Cenni storici Disciplina JPEG Elaborazioni RAW image • Interpolazione • Conversione di Elaborazioni (demosaicing) formato comuni • Correzione colori • Scrittura sul • Bilanciamento device di del bianco memorizzazione Metadati Antialiasing Color Filter A/D • Filtri passa- Lenti Filter Array (CFA) Sensore converter basso Tecniche • Gamma avanzate correction Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 35. JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Cenni storici vengono corretti dalla fotocamera Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 36. JPEG Forensics Corso di Perfezionamento Camera ballistic in Computer Forensics MIlano, 8 aprile 2009 Analisi del rumore E' possibile isolare un'impronta Cenni storici caratteristica nel rumore di fondo Disciplina L'impronta è infatti univoca per ogni JPEG sensore CCD/CMOS Elaborazioni comuni Metadati La carratteristica è indipendente dalle Tecniche condizioni ambientali e stabile nel ciclo avanzate Contenuti di vita dell'apparato nascosti Bibliografia Si può identificare la specifica camera Contatti che ha scattato una determinata foto Davide Gabrini Security Farmer
  • 37. JPEG Forensics Corso di Perfezionamento Analisi del rumore in Computer Forensics Il rumore deriva da vari fattori: MIlano, 8 aprile 2009 pixel nonuniformity dust specks on optics Cenni storici Disciplina interference in optical elements JPEG dark currents Elaborazioni comuni Si sottopone l’immagine digitale in esame Metadati ad un denoising filter Tecniche avanzate Contenuti Si “sottrae” l’immagine filtrata dall’originale nascosti Bibliografia Dalla differenza si estrapola il pattern noise Contatti caratteristico della fotocamera Davide Gabrini NFI FIDIS PRNU Compare Security Farmer
  • 38. JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Spesso è fondamentale scoprire se un'immagine sia stata falsificata Cenni storici I metodi tradizionali sono sempre Disciplina validi e costituiscono un buon inizio JPEG Elaborazioni comuni Per esempio: Metadati Esame dei contorni Tecniche avanzate Coerenza di luci ed ombre Contenuti nascosti Bibliografia Esame dei riflessi Contatti Nel mondo digitale servono però anche Davide Gabrini altri strumenti… Security Farmer
  • 39. JPEG Forensics Corso di Perfezionamento Rilevare le manipolazioni in Computer Forensics MIlano, 8 aprile 2009 Analisi dei livelli di errore jpegana (not public) Cenni storici ErrorLevelAnal (open source) Disciplina JPEG L'immagine viene salvata con un livello Elaborazioni comuni di qualità noto Metadati Il secondo file viene sottratto al primo Tecniche avanzate Contenuti Si evidenzia così ogni pixel cambiato e nascosti Bibliografia l'entità della variazione Contatti Immagini alterate presentano diversi Davide Gabrini livelli di errore Security Farmer
  • 40. JPEG Forensics Corso di Perfezionamento Esempi in Computer Forensics Neal Krawetz, Black Hat 2007 MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer Immagini: http://w ww.hackerfactor.com
  • 41. JPEG Forensics Corso di Perfezionamento Error Level Analysis in Computer Forensics MIlano, 8 aprile 2009 Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 42. JPEG Forensics Corso di Perfezionamento DCT Coefficient Analysis in Computer Forensics Detecting Doctored JPEG Images Via DCT MIlano, 8 aprile 2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Cenni storici Disciplina JPEG Elaborazioni comuni Metadati Tecniche avanzate Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 43. JPEG Forensics Corso di Perfezionamento Contenuti nascosti in Computer Forensics MIlano, 8 aprile 2009 Watermark Possono includere anche timestamp, Cenni storici GPS e persino dati biometrici Disciplina Scarsa diffusione JPEG Elaborazioni Steganografia comuni Metadati Steganalisi diretta sui file Tecniche avanzate Analisi degli artefatti sul sistema Contenuti nascosti Bibliografia Layer nascosti Contatti Non nei JPEG, ma in PNG e altri formati Davide Gabrini Security Farmer
  • 44. JPEG Forensics Corso di Perfezionamento Fonti alternative in Computer Forensics MIlano, 8 aprile 2009 Immagini incluse in documenti di altro tipo (embedded) Cenni storici Database e cache delle applicazioni, Disciplina soprattutto dei viewer JPEG Elaborazioni ACDSee comuni Metadati FastStone Tecniche Picasa, Xnview ecc. ecc. avanzate Contenuti nascosti File Thumbs.db Bibliografia Thumbnail, filename, timestamps… Contatti Vinetto estrapola le informazioni e crea un Davide Gabrini report HTML Security Farmer
  • 45. JPEG Forensics Corso di Perfezionamento Bibliografia in Computer Forensics C. L. T. Brown – ExIF white paper (Thecnology Pathways) MIlano, 8 aprile 2009 G. Reis - Analisi forense con Photoshop (Apogeo) SWGIT - Best Practices for Forensic Image Analysis Cenni storici Lukas,Fridrich,Goljan – Digital “bullet scratches” for images Disciplina AA.VV. - A survey of forensic characterization methods for JPEG physical devices (Digital Investigation, Vol.3 Sup.1) Elaborazioni H.Farid - Digital Image Ballistics from JPEG Quantization comuni (Dartmouth College) Metadati He,Lin,Wang,Tang - Detecting Doctored JPEG Images Via Tecniche avanzate DCT Coefficient Analysis Contenuti nascosti Bibliografia Contatti Davide Gabrini Security Farmer
  • 46. JPEG Forensics Corso di Perfezionamento Bibliografia (2) in Computer Forensics Jessica Fridrich (http://www.ws.binghamton.edu/fridrich) MIlano, 8 aprile 2009 Neal Krawetz – A picture's worth… (Black Hat 2007) VEGA Project (http://vega.0catch.com) Cenni storici Andreas Schuster - http://computer.forensikblog.de Disciplina FIDIS - http://www.fidis.net JPEG Università di Catania - Image Processing Laboratory Elaborazioni http://iplab.dmi.unict.it comuni Metadati www.jpeg.org Tecniche www.w3.org/Graphics/JPEG avanzate www.exif.org Contenuti nascosti www.wikipedia.org Bibliografia Contatti Davide Gabrini Security Farmer
  • 47. JPEG Forensics Corso di Perfezionamento Contatti in Computer Forensics MIlano, 8 aprile 2009 Davide Rebus Gabrini e-mail: rebus@mensa.it Cenni storici davide.gabrini@poliziadistato.it Disciplina JPEG GPG Public Key: (available on keyserver.linux.it) Elaborazioni www.tipiloschi.net/rebus.asc comuni www.tipiloschi.net/davidegabrini.asc Metadati KeyID: 0x176560F7 Tecniche avanzate Instant Messaging: Contenuti nascosti MSN therebus@hotmail.com Bibliografia ICQ 115159498 Yahoo! therebus Contatti Skype therebus Davide Gabrini Queste e altre cazzate su www.tipiloschi.net Security Farmer