análise forense de documentos digitais: estado da arte e ...ra023169/speeches/speech_udesc.pdf ·...

Analise Forense de Documentos Digitais: Estado da Arte e Novos Desafios

Analise Forense de Documentos Digitais: Estado

da Arte e Novos Desafios

Anselmo Castelo Branco Ferreira

Laboratorio de Inferencia de Dados Complexos (RECOD)

Instituto de Computacao, Universidade Estadual de Campinas.

7 de maio de 2013

Anselmo Castelo Branco Ferreira Analise Forense de Documentos Digitais: Estado da Arte e Novos Desafios7 de maio de 2013 1 / 108


Introducao

Introducao



Introducao

Quem somos?

Reasoning at Complex Data (RECOD)

Laboratorio de Inferencia de Dados Complexos do Instituto de

Computacao da UNICAMP.

5 professores, 5 Pos-Doutorandos, 45 alunos.

Area de Atuacao: Visao Computacional, Processamento de

Imagens, Inteligencia Artificial, Banco de Dados e Forense

Digital.



Introducao

Quem somos?

Reasoning at Complex Data (RECOD)

Produzimos de 20 a 30 artigos cientıficos por ano.

Blog: http://recodbr.wordpress.com

host do primeiro IFS-TC World Image Forensics Challenge:

http://ifc.recod.ic.unicamp.br/



Introducao

Quem somos?

Nossos Objetivos

Pesquisar e desenvolver teorias e tecnicas de Aprendizado de

Maquina capazes de:

Abstrair cenas ou bases de dados genericas.

Encontrar similaridades dentro dessas bases.

Inferir significado para esses dados.



Introducao

Quem somos?

Nossa Pesquisa

Inteligencia de Maquina: Permitir que sistemas

computacionais desenvolvam comportamentos baseados em

dados empıricos.

Forense Digital: desenvolver solucoes a problemas

relacionados a coletar, organizar, classificar, analisar e

apresentar evidencias digitais.



Introducao

Motivacao

Por que Autenticar Documentos Digitais?

A rapida evolucao da tecnologia modificou a maneira como

lidamos com a informacao em forma de documentos.

A digitalizacao da informacao trouxe economia de recursos e

rapidez em acessa-la, mas tambem tornou mais facil a

falsificacao da informacao digital.

E preciso, portanto, o desenvolvimento de uma ciencia forense

capaz de auxiliar na autenticacao desses documentos.



Introducao

Conceitos

Analise Forense de Documentos Digitais- Definicao

Toda tecnica computacional capaz de coletar, recuperar,

autenticar e/ou comprovar que um determinado documento

digital esta envolvido em um crime.



Introducao

Conceitos

Analise Forense de Documentos Digitais- Objetivos

Atribuir origem.

Identificar adulteracao.

Identificar documentos ilegais.

Identificar a autenticidade.

Identificar informacao escondida.

Entre outros.



Introducao

Conceitos

Analise Forense de Documentos Digitais- Aplicacoes

Julgamentos em tribunais.

Destruicao de provas digitais.

Spoofing.



Introducao

Impactos

Manipulacao de Documentos Digitais

Estudos de psicologia, como o de Sacchi et al. [1], apontam

que a memoria das pessoas pode ser manipulada,

apresentando a elas um registro alterado de um evento

passado.

Isso ocorre ate com quem esteve no evento.

Dessa forma, mıdia e governos podem passar ideias que nao

sao verdadeiras se baseando em imagens e vıdeos falsos.

Isso pode acontecer ate com pessoas comuns e empresas, que

podem ser chantageados dessa maneira.



Introducao

Impactos

Figura 1: Imagens adulteradas podem alterar a percepcao das pessoas

sobre fatos passados, conforme o estudos de Sacchi et al. [1]



Introducao

Impactos

Montagens Antigas por Processos Quımicos

Figura 2: Imagens adulteradas por juncao ou alteracao de negativos [2]



Introducao

Impactos

Montagens Recentes por Editores de Imagem

Figura 3: Imagens adulteradas por composicao ou copia-colagem de

imagens [2]



Introducao

Perspectivas

Perspectivas

Ja existem empresas internacionais com o intuito de

autenticar documentos digitais, como a FourAndSix

(www.fourandsix.com).

Nacionalmente, um ponto a ser destacado sera a inauguracao

do Laboratorio Multidisciplinar de Ciencias Forenses na

UNICAMP [3].



Introducao

Objetivos

Objetivos da Palestra

Descrever de forma suscinta um pouco do que existe no

estado da arte em Analise Forense de Documentos.

Motivar novos pesquisadores a atuar na area.

Expor e discutir dificuldades e desafios desse campo de

pesquisa.



Estado da Arte

Estado da Arte



Estado da Arte

Sumario

Tecnicas Discutidas na palestra

As tecnicas propostas na literatura estao focadas em

problemas especıficos.

Nao existem balas de prata. Algumas tecnicas podem

inclusive ser burladas!

Focaremos nos seguintes temas:

1 Atribuicao de Fonte.

2 Esteganalise.

3 Anti-Spoofing.

4 File Carving.

5 Identificacao de manipulacoes.



Estado da Arte

Atribuicao de Fonte

Atribuicao de Fonte



Estado da Arte

Atribuicao de Fonte

Problema real

Figura 4: Soldado israelense publica no Instagram foto de menino

palestino na mira de seu rifle [4]



Estado da Arte

Atribuicao de Fonte

Atribuicao de fonte

Identifica o dispositivo responsavel por gerar um determinado

documento.

A ”impressao digital”de um dispositivo gerador muitas vezes

esta no ruıdo do mesmo embutido no documento.

Veremos tecnicas que identificam a camera que tirou uma

determinada foto digital, embora tambem existam as que

identificam scanners, impressoras e cameras de vıdeo.



Estado da Arte

Atribuicao de Fonte

Como funciona uma camera digital?

Figura 5: Pipeline de funcionamento de uma camera digital [5]



Estado da Arte

Atribuicao de Fonte

Como funciona uma camera digital?

Figura 6: Tipos de Ruıdo de uma camera digital [5]



Estado da Arte

Atribuicao de Fonte

Analise de Ruıdo de Lukas et al. [6]

Para usar o ruıdo PNU no cenario forense, precisamos isola-lo.

Para obtermos uma aproximacao do ruıdo PNU de uma

determinada camera, calculamos o seu padrao de referencia.



Estado da Arte

Atribuicao de Fonte


O padrao de referencia de uma camera em especıfico e feito

primeiro tirando K fotos de cenas uniformes e extraindo uma

imagem media.

p(k) =1

K

k=K∑k=1

I k (1)



Estado da Arte

Atribuicao de Fonte


Depois, o ruıdo dessa imagem media e extraıdo, temos entao

o padrao de referencia da camera i .

PR i = p(k) − λ(p(k)) (2)

onde λ(pk ) e um filtro que elimina ruıdo da imagem por

wavelets.



Estado da Arte

Atribuicao de Fonte


Para decidir se uma imagem especıfica p foi tirada por uma

camera C , calcula-se a correlacao entre o ruıdo da camera

suspeita n = p − λ(p) e o padrao de referencia da camera i

PR i calculada anteriormente.

corr(n,PR i ) =(n − n) · (PR i − ¯PR i )

||n − n|| · ||PR i − ¯PR i ||(3)

onde n e a media das imagens sem ruıdo e ¯PR i e o padrao de

referencia medio da camera i

Se a correlacao for maior do que um valor pre-estabelecido, a

camera i e a responsavel por tirar a foto suspeita.



Estado da Arte

Atribuicao de Fonte

Analise de Ruıdo de Costa et al. [7]

Passo 1: Extracao de padrao de referencia de 4 canais em 9

ROIS.

Passo 2: Treino de classificador: correlacao de ruıdo em

imagens de treino para os padroes de referencia → ajuste do

hiperplano.

Passo 3: Teste de classificador: correlacao de ruıdo para os

padroes de referencia → classificacao.



Estado da Arte

Atribuicao de Fonte


1

3

4 5

2

6 7

8 9

Figura 7: Regioes de interesse (ROIs) de dimensao 512× 512 pixels [7]



Estado da Arte

Atribuicao de Fonte


Imagens Ruído residual Padrões de

ruído

Média

Média

Média

Média

Figura 8: Padroes de Ruıdo por Camera [7]



Estado da Arte

Atribuicao de Fonte


Cada classificador ira decidir se a imagem pertence ou nao a

camera da base.

Criterio de desempate: distancia ao hiperplano.

Ajuste do hiper-plano na etapa de treinamento

Minimizar o erro na etapa de treinamento



Estado da Arte

Atribuicao de Fonte


DWT

R

G

B

Y

DWT

R

G

B

Y

DWT

R

G

B

Y

AVG

AVG

AVG

AVG

SPNs

CORR

CORR

CORR

CORR

F1

F2

…

Fn

R

G

B

Y

DWT

Feature Vector = {F1, F2, …, Fn}

Figura 9: Funcionamento da tecnica de Costa et al. [7]



Estado da Arte

Esteganalise

Esteganalise



Estado da Arte

Esteganalise

Problema real

Figura 10: Traficante usava imagens para enviar ordens [8]



Estado da Arte

Esteganalise

Esteganografia e Esteganalise

Esteganografia: tecnicas que alteram parte dos pixels de uma

imagem com o intuito de transmitir informacoes de forma

criptografada.

Esteganalise: identifica se a imagem possui perturbacao nos

bits de pixels, o que e tıpico de imagens que sofreram

esteganografia.

Esteganalise apenas indica se a imagem tem informacao

criptografada ou nao.



Estado da Arte

Esteganalise

Como e formada uma imagem JPEG?

Figura 11: Passos da compressao/descompressao JPEG [9]



Estado da Arte

Esteganalise

Como se faz esteganografia?

Cada pixel de uma imagem normalmente tem 24 bits, 8 por

canal.

Podemos alterar um desses bits para inserirmos 1 bit da

informacao que queremos transmitir.

Jsteg: altera o bit menos significativo dos N primeiros

coeficientes da Transformada Discreta de cosseno em

sequencia.

Outguess: altera o bit menos significativo de N coeficientes da

Transformada Discreta de cosseno aleatorios.



Estado da Arte

Esteganalise

Como se detecta esteganografia?

As principais maneiras de se detectar informacoes escondidas

sao encontrar inconsistencias na estrutura da imagem, na

estatıstica da imagem ou mesmo no visual da imagem.

Proxima etapa da esteganalise: recuperar informacao (onde

estao os bits adulterados).

Descriptografar informacao: tarefa ja estudada em

criptografia.



Estado da Arte

Esteganalise

Randomizacao Progressiva de Rocha et al. [11]

Utiliza analise estatıstica da imagem com aprendizado de

maquina.

E composto de 4 etapas

1 Insercao progressiva de mais informacao (randomizacao).

2 Extracao de caracterısticas em regioes de interesse da imagem.

3 Normalizacao das caracterısticas.

4 Classificacao.



Estado da Arte

Esteganalise


Etapa 1: insercao progressiva de mais informacao

(randomizacao)

1 Simula novas insercoes na imagem.

2 6 novas simulacoes progressivas na iamgem.

3 P= 1%,5%,10%,25%,50%,75% dos bits menos significativos



Estado da Arte

Esteganalise


Etapa 2: extracao de caracterısticas em regioes de interesse

da imagem

Em cada uma das 6 imagens criadas, calcule em r regioes de

interesse:

1 Ueli Maurer: mede o quanto a imagem e aleatoria.

2 χ2: compara dados obtidos com os esperados segundo uma

hipotese.



Estado da Arte

Esteganalise


Etapa 3: Normalizacao das caracterısticas

Divide cada uma das caracterısticas extraıdas anteriormente

pelas mesmas caracterısticas, so que calculadas na imagem

original.

O mais importante e o quanto esses descritores variam com

relacao a imagem original, e nao seus valores individualmente.



Estado da Arte

Esteganalise


Etapa 4: Classificacao

Com essas caracterısticas extraıdas em forma de vetor,

treina-se um classificador SVM usando imagens com e sem

esteganografia.

Problema binario: SVM.

Classificacao supervisionada.

90% de imagens classificadas corretamente.



Estado da Arte

Esteganalise

Uso de metricas de qualidade de Avcibas et al. [12]

Insercao de imagem escondida alterando valores de pixels

pode degradar a qualidade da imagem.

Um classificador denominado ANOVA treina valores de

qualidade de imagens com e sem mensagem escondida usando

um vetor de caracterıstica com os seguintes valores:

1 Erro medio absoluto.

2 Fidelidade de imagem.

3 Correlacao de Czekznowski.

4 Erro HVS.

5 entre outros.



Estado da Arte

Anti-Spoofing

Anti-Spoofing



Estado da Arte

Anti-Spoofing

Problema real

Figura 12: Exemplo recente de spoofing em sistemas de biometria [13]



Estado da Arte

Anti-Spoofing

Definicao

Tecnicas de biometria visam identificar pessoas atraves de

suas caracterısticas fısicas como impressao digital, ıris e face

ou mesmo comportamentais, como a maneira que uma pessoa

digita.

Um sistema biometrico converte os dados biometricos obtidos

por um sensor de captura para um tipo de dados que ele

entenda.

A autenticacao ocorre comparando esses dados com os de um

banco de dados.



Estado da Arte

Anti-Spoofing

Definicao

Figura 13: Como funciona um sistema biometrico [14]



Estado da Arte

Anti-Spoofing

Spoofing em sistemas de biometria

Ataques em sistemas biometricos envolvem normalmente se

autenticar com dados biometricos de outra pessoa.

Tipos:

1 Replay: enviar novamente dado biometrico ja enviado.

2 Trojan: alterar o banco de dados.

3 Spoof: enviar dados biometricos falsos.

O primeiro ataque de Spoof foi feito em 1920 por Alert

Wehde, na penitenciaria do kansas, Estados Unidos.



Estado da Arte

Anti-Spoofing

Exemplos

(a) Impressao digital (b) Face

(c) Face (d) Iris

Figura 14: Exemplos de Spoof em sistemas biometricosAnselmo Castelo Branco Ferreira Analise Forense de Documentos Digitais: Estado da Arte e Novos Desafios7 de maio de 2013 50 / 108


Estado da Arte

Anti-Spoofing

Sistemas Anti-Spoof

Objetivo: detectar se os dados biometricos vem de um corpo

humano.

Pode usar os mesmos dados coletados pelo sensor, coletar

mais dados (e.g., desafio-resposta) ou precisar de hardware

adicional (e.g., sensores de temperatura).



Estado da Arte

Anti-Spoofing

Sistemas Anti-Spoof

Figura 15: Sistemas anti-spoof atuam antes da autenticacao dos dados

biometricos no banco de dados [14]



Estado da Arte

Anti-Spoofing

Sistemas Anti-Spoof

Algumas maneiras usadas para detectar spoof:

1 Impressao digital: temperatura, pulsacao, transpiracao.

2 Iris: verifica movimentos involuntarios dos olhos (e.g., se a

pessoa pisca).

3 Face: verifica movimentos involuntarios do rosto, qual e a

refracao de acordo com o tipo de luz.



Estado da Arte

Anti-Spoofing

Anti-Spoof de Nixon et al [14]

Detecta spoof em sensores MSI de impressao digital.

A ideia e que a textura de uma imagem de impressao digital

real e diferente de uma impressao digital em algo que nao seja

dedo.

Um classificador de padroes e treinado utilizando wavelets

para a extrair dessas imagens caracterısticas baseadas em

informacoes espectrais e de textura disponıveis.

3 sensores, 118 voluntarios e 49 tipos diferentes de spoof.

99.5% de deteccao de spoof.



Estado da Arte

Anti-Spoofing

Anti-Spoof de Pinto et al [16]

Detecta spoof que usa vıdeo em sensores de face.

A ideia e que o ”vıdeo do vıdeo”e mais ruidoso do que um

vıdeo comum.



Estado da Arte

Anti-Spoofing


Passo 1: Extracao do ruıdo frame-a-frame.

Passo 2: Calculo da Transformada de Fourier do ruıdo frame a

frame.

Passo 3: Extracao das imagens que compoem os ritmos

visuais da imagem.

Passo 4: Extracao de 48 caracterısticas de cada uma das

imagens, 96 ao total. Treino e teste de Classificador.



Estado da Arte

Anti-Spoofing


Figura 16: Sistema Anti-spoof de vıdeo de Pinto et al [16]



Estado da Arte

File Carving

File Carving



Estado da Arte

File Carving

Problema real

Figura 17: Polıcia Federal tenta recuperar dados de computador de

suspeito [17]



Estado da Arte

File Carving

O que e file Carving?

E a extracao e recuperacao de arquivos baseada somente em

sua estrutura.



Estado da Arte

File Carving

Por que fazer file Carving?

Corrupcao do sistema de arquivos

Formatacao do dispositivo de armazenamento.

Arquivos apagados.



Estado da Arte

File Carving

Como funciona o armazenamento em disco?

Disco → Clusters → Setores.

Setores: Menor informacao (512 bytes a 4 kbytes).

Sistemas de arquivos: alocam clusters sequencialmente ou nao

(fragmentacao).



Estado da Arte

File Carving

Exemplo de arquivo sequencial

Figura 18: Exemplo de arquivo sequencial onde clusters (ou blocos) sao

contınuos. Extraıdo de [18]

.



Estado da Arte

File Carving

Exemplo de arquivo fragmentado

Figura 19: Exemplo de clusters de 3 arquivos (A,B e C), onde o arquivo

A e fragmentado e o ponto de fragmentacao e o cluster (ou bloco) A2.

Extraıdo de [18]



Estado da Arte

File Carving

Recuperacao Tradicional

Sistemas de arquivos usavam tabelas de arquivo (e.g., FAT32).

Arquivo apagado → clusters do arquivo liberados.

Rapida recuperacao.



Estado da Arte

File Carving

Recuperacao Tradicional

Figura 20: Delecao do arquivo recovery.txt no FAT32 ao zerar seus

clusters na tabela de arquivos (300, 301, 302, 305, 306). Extraıdo de [18]

.



Estado da Arte

File Carving

Conceitos Basicos

Arquivos possuem bloco de inıcio (cabecalho), bloco final

(rodape) e blocos intermediarios, entre eles pode estar o bloco

do ponto de fragmentacao.

Numeros magicos: valores bem conhecidos que sao os

primeiros bytes do bloco de cabecalho.

JPEG: 0xffd8, PDF: 25504446, arquivos ms-office: D0CF11E0



Estado da Arte

File Carving

Tipos de File Carving

File Carving por Estrutura: usa numeros magicos para montar

o arquivo.

BitFragment Gap Carving: dado um ponto de fragmentacao,

busca-se exaustivamente a partir dele blocos que respeitem o

tipo de arquivo.

Smart file carving: Leva em consideracao o comportamento

tıpico da fragmentacao em discos.



Estado da Arte

File Carving

File Carving por Estrutura: Caminho Hamiltoniano

modela blocos como um grafo e acha o caminho maximo

nesse grafo.

1 Blocos sao vertices de grafo.

2 Arestas conectam todos os blocos entre si (grafo completo)

3 Peso: probabilidade de blocos serem adjacentes.

4 Maneiras de se calcular o peso: prediction by partial matching

(textos) e comparacao de bordas de blocos.



Estado da Arte

File Carving

File Carving por Estrutura: Caminho Hamiltoniano

Resultado: matriz de probabilidades de vizinhanca de blocos.

Caminho maximo (hamiltoniano) → trajeto entre a origem e o

destino com custo maximo.

Problemas:

Assume que apenas 1 arquivo esta fragmentado.

Com varios arquivos fragmentados, o caminho hamiltoniano

pode conter blocos de arquivos diferentes.



Estado da Arte

File Carving

Smart File Carving

Composto de 3 etapas:

1 Pre-processamento: descomprime ou desencripta blocos se

necessario.

2 Classificacao: classifica os blocos por tipo de arquivo que

representam

Pode ser por palavras-Chave dentro do bloco, frequencia de

caracteres ASCII, entre outros.

3 Recuperacao: encontra o ponto de fragmentacao e a partir

dele tenta encontrar os outros blocos do arquivo usando a

abordagem o SHT-PUP.



Estado da Arte

File Carving

SHT-PUP: Algoritmo

Dado um conjunto S de k blocos de cabecalho de k diferentes

arquivos:

1 Calcula-se um conjunto de blocos T onde cada ti tem melhor

correspondencia a cada si encontrado anteriormente.

2 Escolhe ti com melhor correspondencia com si , ou seja, escolhe

o ”melhor dos melhores”.

3 A partir de ti , percorre blocos sequencialmente a partir dele

fazendo teste de hipoteses, o que pode levar ate o final do

arquivo ou ate um ponto de fragmentacao tf .

4 Se o arquivo estiver completo, devolva-o. Caso contrario repita

o processo inteiro com si = ti ou si = tf .



Estado da Arte

File Carving

SHT-PUP: Exemplo

Figura 21: Exemplo de recuperacao de arquivo usando o SHT-PUP.

Extraıdo de [18]



Estado da Arte

Deteccao de Manipulacoes

Deteccao de Manipulacoesem Imagens



Estado da Arte


Problema real

Figura 22: Governo da Coreia do Norte e suspeito de manipular imagem

de treinamento militar [19]



Estado da Arte


Problema real

Figura 23: Governo da Coreia do Norte e suspeito de manipular imagem

de treinamento militar [19]



Estado da Arte


Principais tipos de adulteracao de imagem

1 Composicao: Consiste na uniao de partes de duas ou mais

imagens numa unica imagem.

2 Geracao em computador. Consiste na criacao de objetos

tridimensionais a partir de imagens ou vıdeos.

3 Copia-colagem ou Clonagem (cloning). Consiste na

alteracao de partes de uma imagem usando segmentos ou

propriedades da propria imagem.

4 Retoque e Conciliacao (retouching e healing). Permitem

o ajuste de regioes da imagem em termos de sombras,

texturas, brilho, contraste, iluminacao etc.



Estado da Arte


Principais ferramentas de editores de imagem

1 Lazy Snapping.

2 Casamento de padroes de iluminacao.

3 Content-Aware-Fill.

4 Ajuste fino de bordas.

5 Realce de nitidez.



Estado da Arte


Exemplos

Figura 24: Exemplo de manipulacoes de imagem presentes na Internet



Estado da Arte


Como detectar falsificacoes de imagem?

A falsificacao sempre provoca inconsistencias na imagem, seja

na qualidade, na estrutura ou nas estatısticas.

Principais pistas:

1 Copia-colagem: repeticao de padroes, compressao.

2 Geracao em Computador: textura fraca, compressao.

3 Composicao: iluminacao, ruıdo, bordas e compressao.

4 Retoque e conciliacao: iluminacao, bordas, compressao.



Estado da Arte


Deteccao de Copia-Colagem de Silva e Rocha [21]

Figura 25: Imagem da agencia de notıcias iraniana suspeita de ser

adulterada [20]



Estado da Arte



Uma maneira de se encontrar regioes similares e dividir as

imagens em blocos e comparar umas com as outras.

So funciona com regioes transladadas! e se elas forem

escalonadas e/ou rotacionadas?

Usa-se distancia euclidiana de vetores de pontos de interesse

SIFT/SURF.



Estado da Arte



1 Conversao RGB-HSV: mais preciso, pois gera menos

falsos-positivos.

2 Busca de pontos de interesse SURF.

3 Pareamento de pontos e delimitacao de area a ser analisada.

4 Transformacao da imagem em diversas imagens, para cada

escala faca nas areas delimitadas:1 Transformacao nos pixels usando uma janela circular.

2 Linearizacao dos pixels transformados → Matriz de descritores.

3 Ordenacao lexicografica.

4 Buscam-se por linhas parecidas, identificando regioes coladas.

5 Faca uma votacao entre as deteccoes em diversas escalas e

decida pela autenticidade.



Estado da Arte



Figura 26: Ilustracao da comparacao de blocos suspeitos de serem

copiados e colados usada por Silva e Rocha [21]



Estado da Arte



Figura 27: Resumo da tecnica de Silva e Rocha [21]



Estado da Arte


Filogenia de Imagens de Dias et al [22]

Figura 28: Falsa ficha criminal da entao candidata a presidente Dilma

Roussef publicada pela Folha de Sao Paulo.



Estado da Arte



Figura 29: Falsa ficha criminal da entao candidata a presidente Dilma

Roussef publicada pela Folha de Sao Paulo.



Estado da Arte



Quando se deseja realizar uma falsificacao de imagem,

usam-se imagens ja existentes na Internet ou em um acervo

pessoal.

Essas imagens (adulteradas e originais) possuem certa

similaridade entre si, alterando-se apenas algumas

transformacoes.

No caso da imagem da ficha da Dilma, a mesma ja estava na

NET ha uns 6 meses antes da reportagem!



Estado da Arte



Figura 30: falsa ficha criminal da entao candidata a presidencia Dilma

Roussef ja possuıa versoes na Internet



Estado da Arte



Como entao comprovar que imagem originou a falsa ficha

criminal?

R: Podemos entao gerar uma arvore, onde indica-se que

imagens originaram outras, a essa arvore dados o nome de

arvore de filogenia.



Estado da Arte



Passo 1: Calculo da dissimilaridade entre um pares de imagens

(i , j):

dissimilaridade: o quanto uma imagem e parecida com a outra.

seja uma famılia de transformacoes de imagem Tβ(I ),

parametrizadas por β.

sejam i e j duas imagens, encontre βmin que minimiza

d(i , j) = |Ij − Tβ(j)|2

a dissimilaridade entre i e j e, portanto, d(i , j) = dβmin (i , j)



Estado da Arte



Passo 1: Calculo da dissimilaridade entre um pares de imagens

(i , j):

Qual famılia de transformacoes de imagem Tβ(I ), e utilizada?.

Decidiu-se fazer 3 transformacoes: espacial, de cor e jpeg.

Apos essas 3 transformacoes, a diferenca d(i , j) e calculada.



Estado da Arte



Figura 31: Transformacao espacial na imagem j (a direita) de forma que

ela fique alinhada com a imagem i (a esquerda).



Estado da Arte



Figura 32: Transformacao de cor na imagem j (a direita). Isso e feito ao

fazer com que o histograma da imagem j tenha a mesma media e

desvio-padrao da imagem iAnselmo Castelo Branco Ferreira Analise Forense de Documentos Digitais: Estado da Arte e Novos Desafios7 de maio de 2013 94 / 108


Estado da Arte



A terceira transformacao (JPEG) e feita ao se comprimir a

imagem j usando a tabela de quantizacao da imagem i

(presente no seu cabecalho).

Ao final, temos a imagem j transformada de forma a

minimizar d(i , j), que e entao calculada.

Para n imagens, temos uma matriz n × n contendo as

dissimilaridades entre elas. Essa matriz representa um grafo

completo.

Passo 2: geracao da arvore de filogenia usando-se o algoritmo

de Kruskal orientado.



Estado da Arte



Figura 33: Algoritmo de Kruskal orientado de Dias et al [22]



Estado da Arte



Figura 34: Arvore de Filogenia gerada pela tecnica de Dias et al [22] a

partir de uma serie de imagens

.Anselmo Castelo Branco Ferreira Analise Forense de Documentos Digitais: Estado da Arte e Novos Desafios7 de maio de 2013 97 / 108


Conclusao

Conclusoes e Desafios emAnalise Forense de

Documentos



Conclusao

Conclusoes

Apresentamos algumas tecnicas estado-da-arte em Analise

Forense de Documentos Digitais.

Todas sao focadas em um problema especıfico.

Outras tecnicas nao citadas na palestra incluem:

Deteccao de manipulacao por inconsistencias na compressao,

estrutura, iluminacao, entre outros.

Atribuicao de fonte de impressoras e scanners.

Deteccao de imagens computadorizadas.

Deteccao de pornografia ou pornografia infantil.

Tecnicas contra-forenses.



Conclusao

Desafios

Adversario importante: avanco da tecnologia.

Novas funcionalidades de editores de imagem → composicoes

perfeitas.

Ataques contra-forenses existem e devem ser aliados

importantes para a evolucao das tecnicas:1 Atribuicao de fonte: Propagar o mesmo ruıdo na imagem.

2 Esteganalise: uso de outros algoritmos de esteganografia.

3 Anti-spoofing: uso de mascaras 3D e de dedos reais.

4 File Carving: formatacao fısica de hd, sistema de arquivos stego.

5 Manipulacoes de Imagem: ajuste de iluminacao de forma eficiente, preenchimento de lacunas

usando pixels e nao regioes fixas na imagem, entre outras.



Conclusao

Quer ser um perito de documentos digitais?

Um campo diversificado ja existe nos EUA e Europa para

peritos na area, as areas incluem:

1 Celebridades x paparazzos

2 Autenticacao de fotos envolvendo adulterio.

3 Golpes no seguro usando imagens.

4 Autenticacao de imagens cientıficas.

5 Autenticacao de fotos da imprensa.

6 Deteccao de pornografia infantil.

7 entre outros.



Conclusao

Que areas preciso me especializar?

Quanto mais melhor, mas para o caso especıfico envolvendo

imagens recomenda-se:

1 Processamento de Imagens Digitais.

2 Visao Computacional.

3 Aprendizado de Maquina.

4 Estatıstica, Algebra Linear e Calculo.

5 Areas teoricas, como Teoria dos Grafos e Complexidade de

Algoritmos.



Conclusao

OBRIGADO!

Figura 35: Perito forense (gato), criminoso (rato).



Conclusao

Referencias I

[1] SACCHI, D. L. M.; AGNOLI, F.; LOFTUS, E. F. Changing history : Doctored

photographs affect memory for past public events. Applied Cognitive Psychology

(ACP), Wiley Online Library, v. 1022, n. 8, p. 1005–1022, 2007.

[2] FOURANDSIX. Photo Tampering Throughout History. 2013.

Http://www.fourandsix.com/photo-tampering-history/.

[3] CALAFIORI, L. Unicamp cria ’superlaboratorio’ para solucionar crimes reais e

virtuais. fev 2013.

Http://m.g1.globo.com/sp/campinas-regiao/noticia/2013/02/unicamp-cria-

superlaboratorio-para-solucionar-crimes-reais-e-virtuais.html.

[4] R7. Soldado israelense publica no Instagram foto de menino palestino na mira de

seu rifle. fev 2013. Http://noticias.r7.com/internacional/soldado-israelense-publica-

no-instagram-foto-de-menino-palestino-na-mira-de-seu-riflenbsp-19022013.



Conclusao

Referencias II

[5] ROCHA, A. Aula 2. 2011.

Http://www.ic.unicamp.br/ rocha/teaching/2012s2/mo447/aulas/aula-02-analise-

forense-documentos.pdf.

[6] LUKAS, J.; FRIDRICH, J.; GOLJAN, M. Digital camera identification from sensor

pattern noise. Information Forensics and Security, IEEE Transactions on, v. 1, n. 2,

p. 205–214, 2006.

[7] COSTA, F. O. et al. Open set source camera attribution. In: SIBGRAPI. [S.l.:

s.n.], 2012. p. 71–78.

[8] TERRA. Abadia usava Hello Kitty para enviar ordens. mar 2008.

Http://noticias.terra.com.br/brasil/noticias/0,,OI2666590-EI5030,00-

Abadia+usava+Hello+Kitty+para+enviar+ordens.html.

[9] JPEG Compression.

Http://fourier.eng.hmc.edu/e101/lectures/JPEG diagram 1.gif.



Conclusao

Referencias III

[10] ROCHA, A. Aula 11. 2011.

Http://www.ic.unicamp.br/ rocha/teaching/2012s2/mo447/aulas/aula-11-steg-

past-present-and-future.pdf.

[11] ROCHA, A.; GOLDENSTEIN, S. Progressive randomization: Seeing the unseen.

Elsevier Computer Vision and Image Understanding, v. 114, n. 3, p. 349–362, 2010.

[12] AVCIBAS, I.; NASIR, M.; SANKUR, B. Steganalysis based on image quality

metrics. In: 2001 IEEE Fourth Workshop on Multimedia Signal Processing. [S.l.:

s.n.], 2001. p. 517–522.

[13] G1. Medica presa acusa coordenador por fraude com dedos de silicone. mar 2013.

Http://g1.globo.com/fantastico/noticia/2013/03/coordenador-seria-lider-da-

fraude-do-samu-de-ferraz-de-vasconcelos.html.

[14] NIXON, K. A.; AIMALE, V.; ROWE, R. K. Spoof detection schemes. [S.l.], 2007.

[15] L.THALHEIM, L.; KRISSLER, J. Body check: Biometric access protection

devices and their programs put to the test. c’t magazine, November 2002.



Conclusao

Referencias IV

[16] PINTO, A. da S. et al. Video-based face spoofing detection through visual

rhythm analysis. In: SIBGRAPI. [S.l.]: IEEE Computer Society, 2012. p. 221–228.

ISBN 978-1-4673-2802-9.

[17] ESTADaO. PF checa arquivos apagados. jan 2009.

Http://www.estadao.com.br/noticias/impresso,pf-checa-arquivos-

apagados,310430,0.htm.

[18] PAL, A.; MEMON, N. The evolution of file carving- the benefits and problems of

forensics recovery. IEEE Signal Processing Magazine, p. 59–71, Mar 2009.

[19] ATLANTIC, T. Is This North Korean Hovercraft-Landing Photo Faked? mar

2013. Http://www.theatlantic.com/infocus/2013/03/is-this-north-korean-

hovercraft-landing-photo-faked/100480/.

[20] NIZZA, M.; LYONS, P. J. In an Iranian Image, a Missile Too Many. 2008.

Acesso em Maio de 2012. Http://thelede.blogs.nytimes.

com/2008/07/10/in-an-iranian-image-a-missile-too-many/.



Conclusao

Referencias V

[21] SILVA, E.; ROCHA., A. Deteccao de Manipulacoes de Copia-Colagem em

Documentos Digitais. Dissertacao (Mestrado) — Universidade Estadual de

Campinas (Unicamp), 2012.

[22] DIAS, Z.; ROCHA, A.; GOLDENSTEIN, S. Image phylogeny by minimal

spanning trees. IEEE Transactions on Information Forensics and Security (T.IFS),

v. 7, n. 2, p. 774–788, 2012.


análise forense de documentos digitais: estado da arte e ...ra023169/speeches/speech_udesc.pdf ·...

Documents