3. Tipologie di manipolazione

Di seguito sono descritte diverse metodologie che sfruttano le correlazioni a livello di pixel al fine di individuare eventuali contraffazioni.

Copia e Incolla (Cut & Paste)

La più elementare delle manomissioni, al fine di eliminare oggetti o persone all’interno di un’immagine, consiste nel clonare intere regioni della stessa immagine, mediante operazioni di copia e incolla. Quando questa operazione è effettuata con una certa meticolosità, può essere veramente arduo identificare visualmente la zona alterata. Inoltre, potrebbe risultare proibitivo, da un punto di vista computazionale, individuare tali zone, poiché le aree clonate possono essere di qualsiasi dimensione e/o forma all’interno dell’immagine.

Gli autori[1] applicano inizialmente una trasformata Discreta del Coseno (DCT) a blocchi, quindi effettuando un’analisi lessicografica, e ordinando i blocchi DCT, individuano i blocchi duplicati (che risulteranno essere vicini nell’ordinamento applicato). In un approccio simile, effettuando un’analisi delle componenti principali (PCA) su blocchi di pixel, gli stessi autori ricorrono ad un’analoga analisi lessicografica, ordinando i gruppi di blocchi stimati mediante la PCA. Sia la DCT che la PCA sono utilizzate per semplificare i calcoli da effettuare per l’individuazione delle zone simili, e per rendere gli approcci più robusti alle variazioni introdotte da eventuali compressioni e/o inserimento di rumore.

[1] J. Fridrich, D. Soukal, and J. Lukás, “Detection of copy move forgery in digital images,” in Proc. Digital Forensic Research Workshop, Aug. 2003.

Ricampionamento

Al fine di generare una contraffazione convincente, molto spesso si ricorre ad operazioni di ridimensionamento, rotazioni, oppure deformazioni di porzioni di immagini. Per esempio quando si crea un fotomontaggio con due persone, una delle due deve essere manipolata per raggiungere dimensioni compatibili con la risoluzione dell’altra. Questo procedimento richiede di ricampionare l’immagine di partenza in una nuova griglia di destinazione, generando in questo modo delle correlazioni periodiche nei dintorni dei pixel manomessi. La presenza di queste correlazioni, normalmente inesistenti, è utilizzata per individuare questo tipo di manomissione[2].

Fusione

Un altro metodo, di uso comune, per la manipolazione delle immagini è la fusione di due o più scatti. Quando è fatta a dovere, la zona di divisione tra le due immagini è difficilmente individuabile. Un esempio di fusione di immagini è dato dalla creazione di immagini in formato Panorama, ottenute mediante la fusione di diversi scatti di un paesaggio (di solito) al fine di ottenere una vista d’insieme più ampia.

Statistica

Ci sono 256^nxn possibili immagini a scale di grigio di dimensioni nxn. Supponendo di fissare n=10, abbiamo 10²⁴⁰ possibili immagini (più del numero stimato di atomi presenti dell’universo). Analizzando nel dettaglio questo sterminato insieme di immagini è evidente che non saranno tutte immagini significative. Questa osservazione porta alla conclusione che esiste sicuramente qualche proprietà statistica che permette di razionalizzare le fotografie. Gli autori dello studio[3] sfruttano le regolarità statistiche delle scene naturali al fine di individuare eventuali manomissioni.

[2] A. C. Popescu and H. Farid, “Exposing digital forgeries by detecting traces of re-sampling,” IEEE Trans. Signal Processing, vol. 53, no. 2, pp. 758–767, 2005

[3] S. Bayram, I. Avcibas, B. Sankur, and N. Memon, “Image manipulation detection with binary similarity measures,” in Proc. European Signal Processing Conf., Turkey, 2005.

2003. Farid and S. Lyu, “Higher-order wavelet statistics and their application to digital forensics,” in Proc. IEEE Workshop on Statistical Analysis in Computer Vision (in conjunction with CVPR), Madison, WI, 2003.
2004. Bayram, I. Avcibas, B. Sankur, and N. Memon, “Image manipulation detection,” J. Electron. Imaging, vol. 15, no. 4, p. 41102, 2006.

La prima regola fondamentale dell’indagine forense è ovviamente quella della conservazione dei dati originali. Per questo motivo la compressione lossy delle immagini JPEG può essere considerata il peggior nemico dell’analista forense. Il caso vuole che proprio questa caratteristica, di “perdita dei dati”, sia utilizzata come ottimo strumento per l’individuazione delle manomissioni.

Quantizzazione JPEG

La maggior parte delle macchine fotografiche digitali memorizzano gli scatti in formato JPEG. Questo schema di compressione lossy permette di stabilire, in qualche modo, un grado di compressione dei dati. Di solito, sono i produttori di fotocamere a stabilire i differenti gradi di compressione selezionabili, in funzione a statistiche che bilanciano qualità e dimensioni finali dei files. Queste differenze tra produttori, possono essere utilizzate per identificare la sorgente (Modello di fotocamera, produttore) di un’immagine.

Attraverso le tabelle di quantizzazione si modifica il fattore di compressione dell’immagine. Per livelli di compressione minimi, i valori delle tabelle di quantizzazione tendono ad 1 mentre crescono man mano che si tende a raggiungere fattori di compressione più elevati. La sorgente principale di variazione, rispetto alla codifica JPEG, dei vari produttori è quindi attribuita alla scelta delle tabelle di quantizzazione (quando queste differiscono dalle tabelle dello standard). Le tabelle di quantizzazione possono essere semplicemente estratte dai metadati delle immagini oppure stimate mediante analisi dell’immagine. Occorre precisare che le tabelle di quantizzazione possono variare anche per singola fotocamera, in funzione di un fattore di qualità; inoltre non è inusuale riscontrare diversi produttori con simili tabelle di quantizzazione. In ogni modo questa semplice analisi può essere significativa in caso di balistica dell’immagine digitale, per un’eventuale conferma della sorgente dell’immagine.

Doppia Quantizzazione

Qualunque sia il tipo di manomissione, all’interno di un’immagine, questa sarà eseguita tramite un software di fotoritocco e l’immagine nuovamente salvata. Poiché la  maggior parte delle immagini è compressa mediante codifica JPEG, è molto probabile che sia l’immagine originale, che quella contraffatta siano state salvate usando questo formato. In questo scenario l’immagine contraffatta sarà quindi compressa due volte. Per via della natura lossy dell’algoritmo JPEG, la doppia compressione introduce artefatti specifici, altrimenti assenti nelle immagini in singola compressione. La presenza di questi artefatti, in alcuni casi, è utilizzata per dimostrare un’eventuale manomissione. Occorre, comunque, considerare che certe manomissioni non sono necessariamente commesse con intenti ingannevoli, ma ad ogni modo la doppia compressione implica la non autenticità di uno scatto digitale.

Blocking JPEG

Come descritto in precedenza, la base della codifica JPEG è il blocco di pixel 8×8. Per via della natura di questa decomposizione a blocchi, trasformati tramite DCT e quantizzati, la presenza di artefatti lungo i bordi non è inconsueta. Quando un’immagine viene manomessa questi artefatti, detti di blocking, possono essere scompigliati. In uno studio[1] gli autori caratterizzano il blocking utilizzando le differenze tra pixel contenuti dentro e sui bordi dei blocchi. Queste differenze tendono ad essere piccole nei singoli blocchi ed elevate tra blocchi adiacenti. Quando un’immagine è ritagliata e ricompressa, nuovi artefatti di blocking possono essere introdotti, e non necessariamente allineati agli originali.

[1] W. Luo, Z. Qu, J. Huang, and G. Qiu, “A novel method for detecting cropped and recompressed image block,” in Proc. IEEE Conf. Acoustics, Speech and Signal Processing, Honolulu, HI, 2007, pp. 217–220.

Le scanalature impresse dalle canne delle pistole sui proiettili collegano, con un certo grado di confidenza, una pallottola ad una ben determinata pistola. Sfruttando la stessa filosofia, sono state sviluppate molte tecniche di digital forensics che, basandosi su determinati artefatti introdotti dai vari stadi dell’elaborazione dell’immagine all’interno delle fotocamere, determinano un collegamento univoco tra fotocamera e immagine. Di seguito verranno descritte alcune delle tecniche atte ad individuare e modellare artefatti dovuti alla fotocamera.

Aberrazione Cromatica

In un sistema ideale, la luce entra nella fotocamera e, attraverso la lente, colpisce il sensore di acquisizione in un solo punto. I sistemi ottici reali, purtroppo, si scostano da questo modello ideale poiché riescono difficilmente a focalizzare la luce da tutte le possibili lunghezze d’onda. Nello specifico, le aberrazioni cromatiche laterali si manifestano in una traslazione dei colori laddove la luce, a differenti lunghezze d’onda, colpisce il sensore della macchina digitale. In vari studi[1] gli autori evidenziano il fatto che le aberrazioni laterali possono essere approssimate sfruttando espansioni e contrazioni di un piano di colore in corrispondenza agli altri. Utilizzando questa tecnica è possibile rilevare zone di inconsistenza cromatica all’interno dell’immagine. Per esempio, incollando un ritaglio da un’altra immagine, le eventuali aberrazioni presenti (oppure assenti) nelle parti incollate risulteranno in contrasto con il resto dell’immagine.

CFA Color Filter Array

Com’è noto un’immagine è composta da tre canali di colore, campionati a partire da tre bande differenti dello spettro del colore: Rosso, Verde e Blu (RGB). La maggior parte delle macchine fotografiche è invece equipaggiata con un singolo sensore che cattura le immagini attraverso un Color Filter Array (un filtro a griglia dei colori). La pluralità dei filtri CFA è composta da una griglia che alterna i tre colori Rosso, Verde e Blu, posizionata direttamente sul sensore. Poiché, con questo sistema, è possibile catturare solo un canale per pixel, per ottenere un’immagine a colore occorre ricostruire le due componenti mancanti per ogni singolo pixel. Questo procedimento prende il nome di Color Interpolation ovvero Demosaicing.

Trascurando la metodologia utilizzata al fine di ricreare i tre piani di colore, l’interpolazione, in genere, introduce specifiche correlazioni statistiche tra sottoinsiemi di pixel, in ognuno dei tre canali. Poiché il filtro CFA è una griglia con una tessitura periodica, queste correlazioni avranno un andamento periodico. In definitiva sfruttando questa periodicità è possibile individuare un tipo di firma digitale associata all’interpolazione del colore.

Risposta della Camera

Poiché molti dei sensori delle macchine fotografiche digitali hanno una risposta quasi lineare, dovrebbe esistere una qualche relazione lineare tra la quantità di luce misurata dai sensori e i valori finali assegnati ai pixel. La maggioranza, comunque, applica una risposta non lineare per punto, al fine di migliorare la qualità finale dell’immagine. E’ stata studiata[2] una tecnica per stimare questa traccia, definendo una funzione di risposta a partire da una singola immagine. Le differenze rilevate nella funzione di risposta stimata permettono di individuare eventuali manomissioni contenute all’interno delle immagini così analizzate.

Rumore del Sensore

Durante tutto il processo di acquisizione ed elaborazione, l’immagine può essere affetta da rumore o imperfezioni di diversa natura. Sia per via di fattori esterni, come temperatura ambiente, umidità, che per via di tipici difetti di fabbrica (fixed pattern noise, ecc). Il rumore nelle immagini digitali si evidenzia in prevalenza nelle aree uniformi, o in aree scure con poco dettaglio. Vedremo più avanti maggiori dettagli riguardo questo argomento, utilizzato soprattutto per l’identificazione della sorgente. In questo articolo[3], gli autori generano un modello additivo e moltiplicativo del rumore a partire dal processo di generazione dell’immagine effettuato dalla camera. I parametri del modello di rumore sono stimati direttamente a partire dalla fotocamera, oppure utilizzando una serie di immagini generate dalla fotocamera. Sfruttando questo modello è possibile evidenziare un’eventuale anomalia contenuta all’interno di un’immagine.

[1] M. K. Johnson and H. Farid, “Exposing digital forgeries through chromatic aberration,” in Proc. ACM Multimedia and Security Workshop, Geneva, Switzerland, 2006, pp. 48–55.

[2] R. Lukac, “Single-sensor imaging in consumer digital cameras: a survey of recent advances and future directions”. Journal Real-Time Image Processing 2006, Volume 1, pp.45–52

[3] J. Fridrich, M. Chen, and M. Goljan, “Imaging sensor noise as digital xray for revealing forgeries,” in Proc. 9th Int. Workshop on Information Hiding, Sant Malo, France, 2007, pp. 342–358

Consideriamo il caso di un fotomontaggio contenente due persone affiancate estratte, precedentemente, da due contesti diversi. Al fine di ottenere un buon risultato occorre fare coincidere anche la direzione della luce, ovvero dell’illuminante, dei due personaggi.

Di seguito sono descritte tre tecniche che permettono di stimare diverse proprietà delle condizioni di luce della scena e degli oggetti fotografati. La presenza di imperfezioni, o incoerenze, delle illuminanti possono quindi risultare utile al fine di evidenziare contraffazioni.

Direzione della Luce (2D)

Poiché la parte destra della faccia, in Figura 8, è visibilmente più illuminata di quella sinistra, è chiaramente deducibile che la sorgente della luce è individuabile a destra del soggetto. Questa osservazione si formalizza mediante semplici assunzioni: la quantità di luce incidente ad una superficie è proporzionale alla normale sul piano e alla direzione della luce. Sfruttando tecniche 3D per la stima in funzione della normale al piano, la direzione della luce è quindi stimabile. La difficoltà di individuare superficie 3D a partire da una singola immagine ha portato gli autori dell’articolo[1] a considerare unicamente normali alle superficie 2D degli oggetti contenuti nelle immagini.

Conseguentemente è possibile individuare unicamente due delle tre componenti necessarie per individuare la sorgente di luce. Malgrado rimanga un certo grado di possibile ambiguità l’approssimazione risulta comunque utile in ambito forense.

[1] M. K. Johnson and H. Farid, “Exposing digital forgeries by detecting inconsistencies in lighting,” in Proc. ACM Multimedia and Security Workshop, New York, NY, 2005, pp. 1–10

Direzione della Luce (3D)

Nel paragrafo precedente si stimava la direzione della luce, in 2D, a partire da una sola immagine, in altro studio[1] gli autori descrivono come stimare la direzione della luce a partire dal glint (riflesso) presente sulla superficie dell’occhio. In tale caso la superficie 3D necessaria ad una corretta stima della sorgente è ricavata mediante simulazione del modello sferico dell’occhio umano.

Luce ambientale

Nei due punti precedenti, in effetti, è stato trascurato uno dei principali fattori di inquinamento della sorgente diretta di luce, ovvero la luce ambientale. In pratica le scene illuminate possono contenere differenti fonti di luce, aumentando in questo modo la complessità della stima delle varie posizioni. Gli stessi autori dello studio precedente[2], descrivono un tecnica, basata su superficie Lambertiane, per stimare sistemi complessi di questo tipo.

[1] M. K. Johnson and H. Farid, “Exposing digital forgeries through specular highlights on the eye,” in Proc. 9th Int. Workshop on Information Hiding, Saint Malo, France, 2007, pp. 311–325

[2] M. K. Johnson and H. Farid, “Exposing digital forgeries in complex lighting environments,” IEEE Trans. Inform. Forensics Security, vol. 3, no. 2, pp. 450–461, 2007

Punto principale

Nelle immagini reali il punto principale (la proiezione del centro della fotocamera sul piano dell’immagine) è vicino al centro dell’immagine. Quando si sposta un oggetto oppure una persona nell’immagine, il punto principale è spostato proporzionalmente. La differenza tra il punto principale stimato e quello effetto può quindi essere utilizzato al fine di individuare una eventuale manomissione della fotografia. In [29] gli autori descrivono una tecnica per stimare il punto principale a partire da una coppia di occhi oppure mediante l’utilizzo di altre metriche geometriche planari.

Misure

Nella figura qui sotto è visibile la fotografia di una macchina la cui targa è parzialmente illeggibile. Nel riquadro possiamo vedere come una trasformazione prospettica (accompagnata ad un ingrandimento) possa rendere visibili i caratteri alfanumerici altrimenti irriconoscibili. Vengono segnalati[1] diversi tools che permettono l’utilizzo di trasformazioni geometriche proiettive nonché, in alcuni casi, di strumenti per la misurazione delle distanze reali a partire da fotografie.

[1] M. K. Johnson and H. Farid, “Metric measurements on a plane from asingle image,” Dept. Comput. Sci., Dartmouth College, Tech. Rep. TR2006-579, 2006

Image Error Level Analyzer (progetto non più attivo)
L’ELA era un metodo veloce e facile di Image Forensics (funzionava interamente online), che permetteva di determinare se un’immagine è stata modificata da qualche programma, come ad esempio Photoshop.
Viene applicato risalvando l’immagine da analizzare ad una qualità predefinita, e confrontando il risultato con l’immagine originale. Quando un’immagine jpeg viene risalvata più volte, la sua qualità diminuisce. In questo modo, risalvando l’immagine e confrontandola con l’originale possiamo tentare una stima del numero di volte che è stata salvata.
Se un’immagine non è stata manipolata, allora tutte le sue parti saranno state salvate un numero di volte uguale. Se l’immagine è composta da parti provenienti da sorgenti diverse, essere potrebbero essere state salvate un numero di volte differente, e quindi risulteranno di colori differenti nel test ELA.
Questo permette quindi stabilire eventualmente un ordine cronologico delle modifiche alle varie parti dell’immagine: le parti più chiare sono state editare più recentemente, quelle più opache sono state salvate più volte.
Stando a quanto scrive l’autore, questa implementazione fa uso della Python Image Library e di libjpeg (v6.2.0-822.2), ed è completa al 95%.
(Vedi approfondimento)

Jpeg Snoop
Jpeg Snoop è un programma open source per Windows. Esso analizza e decodifica i meta-dati delle immagini jpeg e dei file MotionJPEG avi. Permette anche di identificare la sorgente dell’immagine al fine di provarne l’autenticità. Tutte le foto digitali contengono una certa mole di metadati (EXIF, IPTC), questi possono contenere non solo informazioni sulla fotocamera che è stata usata per scattare la foto e sui settaggi usati per lo scatto, ma anche dati riguardanti la qualità e la natura della compressione jpeg usata.
Una delle caratteristiche più interessanti del programma è la presenza di un database interno che permette di confrontare i dati ottenuti dall’immagine con le firme di compressione al suo interno. In questo modo JpegSnoop può tentare di stimare la fotocamera o il software che ha generato l’immagine. Questo è di vitale importanza nel cercare di capire se l’immagine è stata modificata/manomessa in qualche maniera. Se per esempio la firma di compressione trovata è quella di Photoshop, possiamo dedurre che l’immagine quasi sicuramente non è originale.
In aggiunta a questo il programma può estrarre molte altre informazioni, come ad esempio le tabelle di quantizzazione usate (luminanza e crominanza), settaggi di qualità JPEG, tabelle di Huffman, istogrammi RGB e altro ancora.

NFI PRNU Compare
Questa applicazione ha come obiettivo di aiutare a identificare le sorgenti di foto e video, basandosi sul Photo Response Non-Uniformity (PRNU) .
PRNU Compare è open-source, ed è stato sviluppato in Java dal Netherland Forensics Institute.

Amped Five
Amped Five (“Five” è l’acronimo di “Forensic Image and Video Enhancement”) è un software proprietario sviluppato da Amped.
Si tratta di un software per l’elaborazione di immagini e filmati per applicazioni forensi, investigative e legate alla pubblica sicurezza. Esso incorpora svariate funzioni in una soluzione unica. L’applicazione principale di Amped Five è il miglioramento di immagini e filmati provenienti dalle scene di un crimine e catturate con i più disparati dispositivi, come macchine fotografiche digitali, sistemi di sorveglianza o telefonini.

Videntifier Forensic
Videntifier è un software commerciale sviluppato da Videntifier Technologies. Il suo scopo è fornire alle forze di investigazione uno strumento per la verifica e il riconoscimento automatico dei video.
Una delle attività che maggiormente consumano tempo durante un’investigazione è la revisione del materiale video: quando viene individuato un sospettato di possesso di materiale illegale, si procede al sequestro di tutti i suoi supporti multimediali (hard disk, DVD e supporti di memorizzazione vari), dopodichè gli investigatori devono cercare e visionare manualmente i file video in cerca del materiale illegale. La visione manuale è obbligatoria perchè un semplice check sui metadati o un confronto a campione dei frame del file non ci dà garanzie sul contenuto: un video può venire compresso,
croppato, riscalato, ruotato, riflesso o subire altre operazioni simili, in questo caso il contenuto del video non cambia ma strumenti convenzionali come l’hashing del file non sarebbero più in grado di riconoscerlo. Videntifier utilizza un approccio diverso per automatizzare questo procedimento.

Adroit Photo Forensics
Adroid Photo Forensics (APF) è un software forense commerciale sviluppato da Digital Assembly, specializzato nel recupero e nell’analisi di foto digitali.
E’ in grado di funzionare su file system diversi come FAT12/16/32, NTFS, HFS, HFS+, può leggere formati come EnCase, RAW e dd ed è noto per implementare gli algoritmi di SmartCarving e GuidedCarving per il recupero di immagini digitali.
APF è pure in grado di leggere i dati EXIF delle immagini e può essere usato per riordinarle in base ai timestamp exif anzichè rispetto a quelli forniti dal file system. E’ dotato anche di un visualizzatore di time-line che si basa sia sui dati EXIF che sui timestamp del filesystem.
La sua interfaccia è ottimizzata per la visulizzazione di foto, e include opzioni per l’ordinamento e il raggruppamento delle immagini.

Adroit Photo Recovery
Adroit Photo Recovery (APR) è un programma sviluppato da Digital Assembly, specializzato nel recupero di foto. Utilizza l’algoritmo di SmartCarving, già utilizzato da Adroit Photo Forensics, per recuperare le foto tenendo conto della frammentazione del file system. Questo gli permette di ottenere risultati migliori rispetto alla maggior parte dei software di questo tipo.

Image Forensics Search System
Image Forensics Search System (IFSS) è un programma open source, sviluppato in Java, che permette, data un’immagine “target”, di cercare immagini che la contengono oppure immagini simili a essa.
La motivazione principale dietro lo sviluppo di questo software è assistere le forze dell’ordine e altre organizzazioni simili quando esse hanno bisogno di scoprire se una particolare immagine (che loro già possiedono) si trova all’interno di una grossa raccolta di immagini. Per esempio pratico può essere la polizia in possesso di una foto che mostra attività illegali di un qualche tipo, e vuole verificare se tale immagine si trova all’interno di un hard disk sequestrato.
IFSS permette agli utenti di fare 3 tipi di ricerche:
• ricerca di immagini simili a quella target all’interno di una directory;
• ricerca dell’immagine target all’interno di una seconda immagine scelta (“Image within image” singola);
• ricerca dell’immagine target all’interno di tutte le immagini di una directory (“Image within image” multipla).
Per ognuna delle ricerche il tool mette a disposizione vari parametri, che influiscono sull’algoritmo di ricerca in vario modo (ad esempio dando priorità a certi aspetti come la ricerca di certe tonalità di colore o l’utilizzo dei soli bordi per la comparazione).

Exif Jpeg header manipolation tool
Questo tool è un programma gratuito che serve a manipolare gli header dei file exif. I file exif non sono altro che file jpeg con un header modificato per contenere metadati relativi ai settaggi della camera e l’immagine di anteprima (thumbnail). Praticamente tutti i file immagine creati dalle fotocamere moderne sono file exif. La specifica exif utilizza anche altri formati oltre jpeg, ma jpeg è cmq il più diffuso.
Pur non essendo stato sviluppato a scopo forense (l’autore è solo un appassionato di fotografia), il tool può aiutare nella balistica della fotocamera (malgrado la visualizzazione exif sia implementata in diversi altri programmi), e sopratutto può diventare uno strumento di anti-forense grazie alle funzioni di manipolazione dell’exif.

(panoramica tratta dalla tesi di Gianluca Ghuran – Università di Catania)