ESEMPI DI UTILIZZO
Intelligence e Antiterrorismo
Premessa
Durante un attacco terroristico ai danni di un'ambasciata, uno dei membri dello staff, gravemente ferito, viene rapito. Dopo alcune settimane, l'ambasciata riceve una mail in cui un gruppo terroristico rivendica l'attacco e dichiara che l'ostaggio è vivo. L'immagine bitmap (.bmp) allegata lo ritrae con in mano un quotidiano che reca la data dello stesso giorno in cui la mail è stata ricevuta. È fondamentale a questo punto verificare l'autenticità dell'immagine per valutare le reali possibilità che l'ostaggio sia ancora vivo.
Procedura
L'immagine viene analizzata con Amped Authenticate. Come previsto, il file bitmap non fornisce metadati utili all'identificazione del modello di fotocamera o all'individuazione di data e luogo di acquisizione: l'estensione bitmap, infatti, è spesso utilizzata per nascondere informazioni. Ciò nonostante, i filtri della categoria Global Analysis evidenziano tracce di due precedenti versioni in JPEG, il che conferma i dubbi sull'autenticità dell'immagine, dal momento che i file originali generati da una fotocamera raramente sono in formato bitmap e solitamente non presentano tracce di doppia compressione. Il filtro Global Analysis, inoltre, mostra che l'immagine contiene l'artefatto "JPEG Dimples" (un difetto impercettibile applicato a tutta l'immagine da diversi modelli di fotocamera). Il filtro "JPEG Dimples Map" viene quindi utilizzato per rilevare una contraffazione ed evidenzia la presenza dell'artefatto sull'intera immagine compreso il corpo del soggetto e, al contrario, la sua assenza nella zona raffigurante il quotidiano. "Correlation Map" rivela anche una forte correlazione in questa zona, probabilmente una conseguenza delle funzioni di ridimensionamento/rotazione applicate al giornale per adattarsi alle mani del soggetto.
Conclusioni
L'immagine è da considerarsi quindi non autentica ma questo non le impedisce di fornire comunque delle informazioni importanti. Mentre tracce di modifica sono state riscontrate nella zona del quotidiano, infatti, l'area occupata dal soggetto sembra essere autentica: tesi avvallata dalla presenza dell'artefatto JPEG Dimples. Questi indizi suggeriscono dunque che il rapimento sia effettivamente avvenuto per mano dello stesso gruppo, ma che purtroppo il soggetto da loro fotografato non sia più in vita.
CASI DI ABUSI SU MINORI
Premessa
In seguito ad una perquisizione in casa di un sospettato, la polizia ha sequestrato diverse unità di memoria contenti immagini di abusi su minori, oltre a due smartphone, una fotocamera reflex e una compatta. L'analisi del computer sequestrato rivela anzitutto che il soggetto sospettato ricerca e scarica regolarmente contenuti illeciti raffiguranti dei minori. Per il pubblico ministero è quindi importante capire se il soggetto, oltre a scaricare questi contenuti illeciti, ne crea a sua volta.
Procedura
Dopo che, dagli smartphone e dalle fotocamere sequestrati, sono state ottenute rapidamente delle immagini campione, Amped Authenticate genera per ogni dispositivo un modello di riferimento della fotocamera (CRP). Prima di analizzare le immagini, l'utente deve disabilitare il sistema di salvataggio cache in Authenticate, in modo da evitare che le prove fotografiche siano memorizzate nella cartella cache della propria postazione. Tutte le prove fotografiche vengono poi confrontate con i modelli CRP disponibili, alla ricerca di eventuali corrispondenze: dal confronto risulta che molte immagini sono compatibili con una fotocamera reflex. Fortunatamente non è necessario vedere il contenuto delle immagini, dal momento che il computo della corrispondenza è eseguito in batch da Authenticate senza necessità di mostrare le fotografie all'utente.
Conclusioni
Il pubblico ministero a questo punto è in grado di imputare al sospettato anche la creazione di materiale contenente abusi su minori, il che aggrava ulteriormente la sua posizione.
ANALISI BATCH DI UN FILE
Premessa
Un investigatore che lavora all'interno di un'agenzia governativa deve controllare ogni giorno centinaia di documenti d'identità, in modo da evitare la convalida di immagini contraffatte. Esaminare manualmente ciascun file sarebbe sicuramente molto dispendioso in termini di tempo, mentre è sicuramente più fattibile controllare solo alcuni casi specifici.
Procedura
Lo Smart Report di Authenticate permette un primo rapido screening automatico delle immagini, che richiederà poi solo una revisione dei risultati da parte degli investigatori. Nello specifico, le immagini contrassegnate come "possibile fotocamera originale" vengono approvate, mentre quelle segnalate come potenzialmente manipolate vengono sottoposte ad un controllo più approfondito. Per queste ultime, l'investigatore utilizza la funzione Elaborazione Batch per applicare più filtri in background, nel frattempo può dedicarsi ad altre mansioni e ritornare all'analisi una volta che i risultati sono pronti per essere revisionati.
Conclusioni
Alcuni dei casi presi in esame si sono rivelati dei falsi positivi, mentre altri mostrano evidenti tracce di manipolazione. Gli utenti da cui risultano provenire le immagini contraffatte vengono identificati e perseguiti, aiutando così a ridurre anche il numero di possibili documenti inattendibili che sarebbero stati presentati in seguito.
GIORNALISMO/PROPAGANDA
Premessa
La redazione di un giornale riceve da fonti anonime una fotografia compromettente che ritrae una figura politica di spicco. Se l'immagine venisse pubblicata ne risulterebbe uno scandalo e, in ogni caso, il giornale potrebbe soffrire serie ripercussioni se tale fotografia risultasse essere una bufala.
Procedura
La foto viene inizialmente analizzata tramite l'opzione "Formato File" e non sembrano esserci anomalie in questo primo stadio. Allo stesso modo, la ricerca dell'immagine sul web non porta nessun risultato riconducibile a contenuti simili. Dal momento che marca e modello della fotocamera possono essere individuati tra i metadati Exif, Authenticate è in grado di trovare e scaricare centinaia di fotografie scattate da quello stesso dispositivo. Da un confronto con il formato del file batch, tutti i dettagli dell'immagine in esame sembrano essere compatibili con il materiale di riferimento, comprese le Tabelle di Quantizzazione JPEG, la cui corrispondenza con il modello di fotocamera trova conferma anche nel database di Authenticate. I filtri della categoria Analisi Locale non rilevano alcuna zona sospetta all'interno dell'immagine, inoltre il filtro "JPEG Dimples Map" rileva su tutta l'immagine la presenza di un difetto impercettibile tipico del formato JPEG, a conferma dell'assenza di manipolazioni.
Conclusioni
Entro la fine della giornata, la redazione decide di pubblicare la foto. Una decisione sicuramente audace, che però grazie ad Amped Software non è stata presa alla leggera.
FRODE ASSICURATIVA
Premessa
Ogni settimana, una compagnia assicurativa riceve dai propri assicuratori operanti sul territorio centinaia di fotografie raffiguranti auto danneggiate. La compagnia però sospetta che alcuni dei suoi collaboratori agiscano in accordo con i clienti inviando immagini contraffatte per richiedere un risarcimento.
Procedura
Data l'enorme quantità di dati, analizzare un'immagine per volta richiederebbe troppo tempo. La compagnia decide quindi di utilizzare lo strumento Smart Report di Amped Authenticate, che scansiona tutte le immagini in batch e separa quelle con metadati e proprietà di codifica compatibili con le immagini originali della fotocamera, dalle foto che presentano metadati poco chiari e/o eventuali tracce di contraffazioni localizzate. In questo modo, il numero di foto da esaminare si riduce di circa il 95% rendendo fattibile l'analisi di una singola immagine per volta.
Alcune immagini contengono tracce di manipolazione: in molti casi, infatti, le parti danneggiate di un'auto vengono copiate, ridimensionate, ruotate e incollate di nuovo sulla stessa immagine per aumentare l'entità di un danno. In altri casi, le immagini risultano essere falsi positivi, mentre altre rivelavano evidenti tracce di contraffazione. Gli utenti da cui provengono le immagini contraffatte vengono identificati e perseguiti, aiutando così a ridurre anche il numero di possibili documenti inattendibili che sarebbero stati presentati in seguito.
Conclusioni
La compagnia assicurativa può citare in giudizio alcuni dei suoi affiliati per frode e chiedere loro la restituzione del denaro.