Il post seguente è stato tradotto per gentile concessione di SANS Computer Forensics
Recentemente ho trattato un caso in cui una delle richieste era determinare se il pc fosse stato utilizzato per visualizzare e/o scaricare immagini pornografiche da Internet. In primo luogo vorrei dire che l’unica parte che, in ultima analisi, possa determinare se l’immagine sia pornografica, è il tribunale. Detto questo abbiamo convenuto, all’inizio delle indagini, che qualsiasi immagine avesse mostrato chiaramente gli organi sessuali sarebbe stata, secondo la definizione del cliente, pornografica.
Analizzando il caso con FTK 3.12 e prelevando le immagini sia dallo spazio allocato che, tramite carving, nel non allocato, sono state recuperate oltre 60.000 immagini.
Il cliente esigeva una risposta rapida, quindi controllare e classificare il gran numero di immagini manualmente non era pensabile.
Visualizzare rapidamente ogni immagine per soli 5 secondi, avrebbe significato bruciare circa 2 settimane di lavoro.
Il processo doveva essere automatizzato e nel più breve tempo possibile.
Sapevo che AccessData possiede un modulo opzionale denominato “Explicit Image Detector” (EID) e ho deciso di fare un tentativo. Ho contattato il settore vendite e acquistato una licenza annuale per circa $ 800, il file di licenza è stato aggiornato e si trattava quindi solamente di aggiornare il mio dongle FTK.
Per aggiungere l’elaborazione EID all’immagine già elaborata è stata semplicemente una questione di:
Fare clic su Evidence > Add/Remove Evidence…
In detailed options > Evidence processing, attivare File Signature Analysis
Selezionare Explicit Image Detection > ho selezionato l’opzione X-DFT (default) così come le opzioni X-ZFN (più precise):
Figura 1 Opzioni EID
Ero alla fine della giornata e ho deciso di lasciare semplicemente il processo in esecuzione durante la notte. La mattina seguente aveva terminato e guardando i log del caso relativi ai tempi di elaborazione, ho visto che hanno richiesto circa sei ore. E con le immagini caricate sul caso e le rispettive label di classificazione EID. Una rapida occhiata ha mostrato che un’immagine con un valore di X-ZFN superiore a 90 eliminava la maggior parte dei falsi positivi. Un filtro (vedi Figura 2) è stato costruito in modo da selezionare solo le immagini appartenenti a X-ZFN con un valore superiore a 90.
Figura 2 Filtro EID
Questo ha portato il numero totale di immagini sospette da 60.000 a 6000, esattamente 1/10 del numero totale e un compito decisamente più gestibile. È importante ricordare che EID lavora usando i toni carne, quindi qualsiasi immagine con un elevato livello di toni simili, sia essa un normale ritratto o un’immagine pornografica, ottiene un riscontro in EID; quindi si è resa necessaria una revisione manuale. Utilizzare il filtro con valore superiore a 90, visualizzare le immagini con FTK thumbnail viewer, selezionare select all e poi deselezionare tutte le immagini che non avessero soddisfatto la definizione di immagine pornografica come definito dal cliente, ha richiesto circa 6 ore e portato il numero di immagini a 4.886.
Le immagini sono state raggruppate in un segnalibro, sempre considerando gli elementi di prova relativi alla richiesta del cliente, è stato generato un report e masterizzato su DVD per esser presentato al cliente. L’uso di EID non solo ha impedito che impattasse su altri casi, considerando il mio attuale carico di lavoro; ma ha anche fatto risparmiare al cliente circa 60 e più ore di tempo fatturabile, che sarebbero state facilmente necessarie se le immagini avessero dovuto essere analizzate manualmente.
Fonte: Digital Forensics: Too Much Porn, Too Little Time
