Forensische Analyseverfahren für die digitale Bildgebung

Forensische Analyseverfahren für die digitale Bildgebung

ESET Miguel Ángel Mendoza beleuchtet eine Reihe von forensischen Analyse-Techniken, die verwendet werden, um digitale Bilder zu untersuchen.

ESET Miguel Ángel Mendoza beleuchtet eine Reihe von forensischen Analyse-Techniken, die verwendet werden, um digitale Bilder zu untersuchen.

Im vergangenem Monat fand der Computer Security Congress statt. Dieser wurde von der Coordinación de Seguridad de la Información/UNAM-CERT organisiert. Forscher stellten ihre Arbeit aus den verschiedenen Bereichen der Internet Security vor.

Sicherheitsspezialist José Miguel Baltazar Gálvez präsentierte eine Studie, die sich mit der Identifizierung der ursprünglichen Quelle eines digitalen Bildes beschäftigt. Herausgearbeitet wurde das Thema im Masterprogramm für Sicherheits- und Informationstechnologie an der Hochschule Instituto Politécnico Nacional in Mexiko-Stadt. Das Ziel war es, die Marke und das Model des Fotoapparates während einer forensischen Analyse herauszufinden.

Herausforderungen im Forensik-Analyse-Prozess von digitalen Bildern

Der verstärkte Einsatz von elektronischen Geräten und deren verschiedenen Features sind ein Faktor in der Entwicklung eines technischen Profils für Forensik-Analysten. Sie nehmen eine Rolle ein, in der sie dafür verantwortlich sind, dass digitale Bilder in Untersuchungen und vor Gericht als belastbare Beweismittel eingesetzt werden können.

„Die forensischen Analysen von digitalen Bildern haben in Bezug auf die Bestimmung der Herkunft und der Authentizität eines Fotos an Bedeutung gewonnen.“

Da Bilder verwendet werden können, um Verantwortlichkeiten zu bestimmen – oder als Beweismittel in Verwaltungs-, Zivil- oder Strafsachen dienen – haben die forensischen Analysen von digitalen Bildern in Bezug auf die Bestimmung der Herkunft und der Authentizität an Bedeutung gewonnen. Dadurch können Personen mit einem Gerät, Ort oder Ereignis verknüpft werden.

Mittlerweile gibt es sehr viele Bildbearbeitungsprogramme. Dadurch kann die Echtheit und Authentizität eines digitalen Bildes nicht immer gewährleistet sein.

In diesem Gebiet sehen sich die Analysten mit verschiedenen Herausforderungen konfrontiert. Dabei geht es um die Bestimmung des Ursprungs einer Fotografie, der Marke, des Modells und darum, ob Inhalte zum Bild hinzugefügt, aus dem Bild gelöscht oder andere Modifizierungen vorgenommen wurden.

Standard Operating Procedure (SOP): Ein Lösungsansatz für Analysten

Die von Baltazar Gálvez geführten Untersuchungen konzentrieren sich auf der Entwicklung einer Standard Operating Procedure (SOP), zur Identifizierung der Bildquelle durch drei Techniken: Analyse der Metadaten, Analyse der Quantisierungsmatrix und Analyse der Photo Response Non-Uniformity (PRNU). Das SOP umfasst die folgenden Schritte:

Identifizierung der Bildquelle durch drei Techniken

  • Initiale Empfehlungen:

Diese erste Stufe beinhaltet die Schaffung von idealen Bedingungen für die Identifizierung von interessanten Informationen. Begonnen wird mit der Erhebung von ersten Anhaltspunkten (JPEG-Bilder). Vorrangig werden dafür zwei Kopien benötigt, um die Integrität zu gewährleisten. Der nächste Schritt beinhaltet die Definition und die ordnungsgemäße Verwaltung der Kontrollkette, die Sicherung von Beweisen und der Charakterisierung des mobilen Gerätes.

  •  Definierung des Arbeitsaufwands

Die zweite Stufe konzentriert sich auf die methodische Anwendung der SOP. Da es sich bei dem Verfahren um die Identifizierung der spezifischen Marke, des Modells und der Vorrichtung handelt, die das digitale Bild aufnimmt, ist die Organisierung der Informationen für die Erzielung positiver Ergebnisse entscheidend. Daher müssen die folgenden möglichen Szenarien berücksichtigt werden: ein Bild in Bezug auf ein Gerät, mehrere Bilder, die einem Gerät zugeordnet sind, oder mehrere Bilder, die zu mehreren Geräten passen.

  • Analyse- und Entwicklungstechniken

SOP Analyse Diagramm

Metadaten. Die erste Analysetechnik beinhaltet Metadaten, in denen die Daten für den Hersteller und das Modell der untersuchten Vorrichtung extrahiert und dann mit den Informationen eines Referenzbildes verglichen werden. Analytiker müssen während dieses Prozesses andere technische Variablen berücksichtigen, wie z.B. die Version der verwendeten Software, den Standort oder das Aufnahmedatum, damit diese Informationen mit anderen Ergebnissen korreliert werden können. Das ist natürlich nur eine grundlegende Analyse. Es kann aber sein, dass Bilder verändert oder Metadaten modifiziert wurden, so dass andere Techniken zum Einsatz kommen müssen.

Analyse der Quantisierungs- oder Quantifizierungsmatrix. Um diese Technik anzuwenden, ist ein Referenzbild erforderlich. Aber in diesem Fall werden die Quantisierungsmatrizen eines jeden Bildes gezählt und extrahiert. Auch als Quantifizierungsmatrix bekannt, sind eine Reihe von Werten, die für die Darstellung eines Bildes verwendet werden. Die Anzahl und der Inhalt jeder Matrix werden in einer Analyse überprüft. Wie im vorherigen Beispiel kann es notwendig sein, eine andere Art von Analyse anzuwenden. Das ist dann der Fall, wenn ein Bild modifiziert wurde.

Analyse der Nicht-Gleichförmigkeit der Photoreaktion (PRNU). Bildrauschen ist ein Merkmal jedes Sensors einer Digitalkamera. Während der Analyse ist es notwendig, solche Bilder (unter denselben Lichtverhältnissen ohne Hintergrund) zu erzeugen, die es ermöglichen, ein Referenz-PRNU-Muster darzustellen. Das PRNU-Muster des zu analysierenden Bildes wird erzeugt und durch einen Korrelationsprozess kontrastiert. Ein digitales Bild, das mit der zu bestimmenden Foto-Vorrichtung aufgenommen wurde, erzeugt einen Korrelationswert nahe 1, während Bilder, die nicht mit der zu analysierenden Vorrichtung erzeugt wurden, die Korrelationswerte einer Tendenz gegen Null aufweisen oder sogar negativ sein können.

Forensische Ergebnisse von digitalen Bildern

  • Vorstand und technischer Bericht

Die letzte Phase des Verfahrens besteht darin, einen ausführlichen, technischen Bericht über die Ergebnisse der Vergleiche auf der Grundlage des SOP zu erstellen. Dazu werden die Informationen, die durch die verschiedenen Analysen für die untersuchten Bilder erstellt wurden, in einem Dokument zusammengefasst.

Analysetechniken und Werkzeuge für digitale forensische Analytiker

José Miguel präsentierte das „AnálisisJPEG“ -Tool für den automatischen Vergleich von Metadaten und Quantisierungsmatrizen. Am Ende seines Mitwirkens wurde festgestellt, dass „das Verfahren und die vorgeschlagenen Techniken ein Hilfs-Werkzeug für Analysten darstellt“. Dennoch müssen gründliche Untersuchung durchgeführt werden, damit Informationen als Beweismittel in Gerichtsverfahren oder zur Bestimmung von Verantwortlichkeit verwendet werden können. Außerdem empfiehlt er, den Anwendungsbereich der bestehenden Techniken zu erweitern und neue Analysemethoden im Bereich der digitalen Bildgebung zu entwickeln. Er betonte auch, dass die Techniken und Werkzeuge Interpretation und Korrelation mit anderen Ereignissen erfordern, so dass Analysten endgültige Schlussfolgerungen abgeben können.

Hier können Sie mitdiskutieren