Prof. Sebastiano Battiato

battiato@dmi.unict.it 1

Limiti e Potenzialità

Software Image/Video

Forensics

Prof. Sebastiano Battiato Dipartimento di Matematica e Informatica,

Università di Catania

Image Processing LAB – http://iplab.dmi.unict.it

battiato@dmi.unict.it

Che tool usare?

• General Purpose

– Photoshop (GIMP, ImageJ)

• Problemi di learning e di documentazione

• High-level (ci si scrive da se il codice che

serve..solo per esperti )

– Matlab

– OpenCV library

• Forensics Software

Prof. Sebastiano Battiato

battiato@dmi.unict.it 2

Tools per tutti

• Visualizzatori

– ACDSee

– Irfanview

– Faststone viewer

– Xnview

• Editor

– Adobe Photoshop

– The Gimp

– Paint Shop Pro

– ImageJ

Software dedicati - AMPED Five (http://ampedsoftware.com )

- dTective di Avid e Ocean Systems ClearID (http://www.oceansystems.com/dtective/form/ )

- LucisPro (http://www.LucisPro.com)

- Ikena Reveal di MotionDSP (http://www.motiondsp.com/products/IkenaReveal/form )

- Video Focus di Salient Stills (http://www.salientstills.com/products/videofocus/purchase.html)

- Impress di Imix (http://www.imix.nl/impress/impress_contact.htm )

- Video Investigator di Cognitech (http://www.cognitech.com/content/blogcategory/24/28/ )

- StarWitness di SignalScape (http://www.starwitnessinfo.com/ )

- VideoAnalyst di Intergraph (http://www.intergraph.com/learnmore/sgi/public-safety/forensic-video-analysis.xml )

- CrimeVision di Imagine Products (www.crimevision.net )

- Adroit Photo Forensics (http://digital-assembly.com/products/adroit-photo-forensics/ )

- Image Error Level analyzer (http://errorlevelanalysis.com/)

- JpegSnoop (http://www.impulseadventure.com/photo/jpeg-snoop.html )

- NFI PRNU Compare (http://sourceforge.net/projects/prnucompare/)

- Image Forensics Search System (http://www.cse.ust.hk/image_forensics/ )

- Videntifier (http://www.eff2.net )

Prof. Sebastiano Battiato

battiato@dmi.unict.it 3

Today

• AMPED5

• ImageJ + Forensics Plugin

• Adroit

• Videntifier

• Exif Analyzer

• GIMP

• Demo

http://ampedsoftware.com/it/

Prof. Sebastiano Battiato

battiato@dmi.unict.it 4

AMPED5

• http://ampedsoftware.com/

http://rsb.info.nih.gov/ij

Prof. Sebastiano Battiato

battiato@dmi.unict.it 5

Prof. Sebastiano Battiato

battiato@dmi.unict.it 6

Progetto Open source Due Modalità di Scripting: - Java Plugins - Macro Vengono rilasciati periodicamente degli upgrade Migliaia di utenti in differenti contesti

Prof. Sebastiano Battiato

battiato@dmi.unict.it 7

Image Menu

Process Menu

Prof. Sebastiano Battiato

battiato@dmi.unict.it 8

Analyze Menu

Plugins Menu

Prof. Sebastiano Battiato

battiato@dmi.unict.it 9

Help Menu

Prof. Sebastiano Battiato

battiato@dmi.unict.it 10

Progetti degli studenti di Informatica per

il corso di Computer Forensics

tenutosi presso l’Università di Catania

nel 2010

svg.dmi.unict.it/iplab/imagej/index.htm

Image Forensics

ADROIT Photo Forensics 2011 – Digital Assembly

digital-assembly.com/products/adroit-photo-forensics/

Prof. Sebastiano Battiato

battiato@dmi.unict.it 11

Confronti

Demo…

Prof. Sebastiano Battiato

battiato@dmi.unict.it 12

Content Filtering

• Metadata - timeline, model

• Skintones

• Faces

• Similar images

• Objects

Prof. Sebastiano Battiato

battiato@dmi.unict.it 13

(http://www.eff2.net/ )

Prof. Sebastiano Battiato

battiato@dmi.unict.it 14

Classical Hashing on Images:

Some Sources of Variability

Original Rotation Scale Crop Light Context

Image: MD5

Original: 5972FB15A2FDFA7215134B5BACD4D032

Rotation: 6B0BC6F3DBD450EF3E9BE8CCBDB2480F

Scale: D3CFFA588D5B4CF3395A69AC6EDAB4A5

Crop: 6CF3D1FD20388DE3F8D1858C4D7A53C7

Light: 38B5E48E46898E1E5E7207AEB4255518

Pose: 9030E506156664E0BBD6AA76F3CA1748

Context: 0F3055E092C73155690C822D6BA18BAD

Pose

Distance( , )=HIGH

Image Matching

Distance( , )=LOW

Prof. Sebastiano Battiato

battiato@dmi.unict.it 15

Altre soluzioni

• Photo DNA

(http://www.microsoftphotodna.com/ )

• VideoGenome

(http://v-nome.org/ )

Main Idea: Matching tra signature

Prof. Sebastiano Battiato

battiato@dmi.unict.it 16

Exif Informations • ExIF allows to integrate further information into

the file. • The information usually contained into a

standard ExIF are: • Dimensions of the image • Date and Time of Acquisition • Features about acquisition:

• Exposure-time , Exposure Bias, F-Number, Aperture, ISO, Focal lenght, GPS coordinates etc.

• Thumbnail preview (a small picture which would be equal to the original picture).

• The ExIF information checking has demonstrated

the possibility of immediate forgery detection. • In effect if the constructor is known several ExIF

data must match to fixed values.

Prof. Sebastiano Battiato

battiato@dmi.unict.it 17

Thumbnails Analysis • Using the following image we can extract the thumbnail

through simple ExiF tools, web sites or open source codes, like:

• Opanda IExif (http://www.opanda.com)

• Camera Summary (http://camerasummary.com/ ) • Jeffrey's Exif Viewer (http://regex.info/exif.cgi ) • JPEGSnoop (http://www.impulseadventure.com/photo/jpeg-snoop.html ) • Jhead version (http://www.sentex.net/~mwandel/jhead/ )

• These tools permit to identify data that have not been removed by inexpert users.

Casi Famosi Cat Schwartz

http://www.welcometowallyworld.com/cat-schwartz/

Prof. Sebastiano Battiato

battiato@dmi.unict.it 18

GIMP

• PLUGINS (elsamuko)

• sites.google.com/site/elsamuko/forensics

Ricerca delle Immagini via web

• Utilizzo di tecniche avanzate per la ricerca

automatica di immagini via TAG (o

metadata).

• Siti come Flickr/Google/Bing/TinEye

permettono di effettuare ricerca di

immagini utilizzando dettagli riguardanti

particolari delle fotografie

• E’ possibile interrogare automaticamente

database online attraverso script.

Prof. Sebastiano Battiato

battiato@dmi.unict.it 19

Contraffazione di Immagini Digitali

sulla Rete: il caso della “Mozzarella Blu”

Prof. Sebastiano Battiato

battiato@dmi.unict.it 20

- Il motore di ricerca “Google Immagini”

(http://www.google.it/imghp ) che consente di

ricercare sul Web le immagini mediante parole

chiave o immagini.

- Il motore di ricerca “Bing Immagini”

(http://it.bing.com/?scope=images ) che

consente di ricercare sul Web le immagini

mediante parole chiave.

- Il servizio Tineye (http://www.tineye.com/ )

Valutazione preliminare: Web Tools

Prof. Sebastiano Battiato

battiato@dmi.unict.it 21

Analisi (1/2)

L’acquisizione forense dei reperti digitali su una serie di

siti/domini web (WireShark+Vmware workstation);

Per ciascun articolo è stato quindi reperita la data di

pubblicazione (tipicamente presente nella pagina stessa) e per

ciascuna immagine in esso presente si è provveduto ad

estrapolare il campo LastModified che riporta la data ultima di

manipolazione o creazione dell’immagine sul server prima della

pubblicazione.

Per ciascuna immagine acquisita secondo le modalità di cui

sopra è stato calcolato il corrispondente hash SHA1

Analisi 2/2

- Analisi mediante il software JSNOOP ver.1.5.2, in grado di verificare

la “signature digitale” del file .jpg corrispondente, restituendo un

indicazione di massima, circa la possibile manipolazione

dell’immagine analizzata. In pratica il software verifica che i

parametri di codifica siano coerenti e che non siano presenti

eventuali tracce di software di fotoritocco.

- Analisi dei metadati estratti mediante il software OPAnda IEXIF2

- Ricostruzione della timeline temporale della pubblicazione degli

articoli e delle corrispondenti immagini correlando ove possibile la

data di pubblicazione dell’articolo, la data dell’immagine così come

riportata dal campo “LastModified” e la data di acquisizione

presente nei dati EXIF qualora presenti.

Prof. Sebastiano Battiato

battiato@dmi.unict.it 22

Evidenze sulle manipolazioni

Le tre alterazioni cromatiche

presentate in Figura sono state

ottenute mediante l’utilizzo del

software ImageJ per il ritaglio

manuale del particolare grazie allo

strumento “Polygonal Selection”, e

facendo uso del software AMPED5

2010 per l’applicazione della

variazione di tinta

Prof. Sebastiano Battiato

battiato@dmi.unict.it 23

Final Tips

• Ogni singolo caso va attenzionato in

maniera “dedicata”

• E’ frequente anche il caso in cui non si

riesca ad estrarre alcuna info utile

• Evitare approcci approssimativi ;)

Referenze • S. Battiato, G. Messina, R. Rizzo - Image Forensics -

Contraffazione Digitale e Identificazione della Camera di Acquisizione: Status e Prospettive - Chapter in IISFA Memberbook 2009 DIGITAL FORENSICS - Eds. G. Costabile, A. Attanasio - Experta, Italy 2009;

• S. Battiato, G.M. Farinella, G. Messina, G. Puglisi - Digital Video Forensics: Status e Prospettive -Chapter in IISFA Memberbook 2010 DIGITAL FORENSICS - Eds. G. Costabile, A. Attanasio -Experta, Italy 2010.

• S. Battiato, G.M. Farinella, G. Puglisi - mage/Video Forensics: Casi di Studio -Chapter in IISFA Memberbook 2011 DIGITAL FORENSICS - Eds. G. Costabile, A. Attanasio -Experta, Italy 2011 (In press).

• R.C. Gonzalez, R.E. Woods - Elaborazione delle Immagini Digitali - ISBN: 9788871925066 Pearson Italia (2008) - Supervised by S.Battiato and F. Stanco.

• http://www.dmi.unict.it/~battiato/CF1011/sw%20Image%20Forensics%20esistenti.pdf