Il post seguente è stato tradotto per gentile concessione di SANS Computer Forensics
Recentemente ho trattato un caso in cui una delle richieste era determinare se il pc fosse stato utilizzato per visualizzare e/o scaricare immagini pornografiche da Internet. In primo luogo vorrei dire che l’unica parte che, in ultima analisi, possa determinare se l’immagine sia pornografica, è il tribunale. Detto questo abbiamo convenuto, all’inizio delle indagini, che qualsiasi immagine avesse mostrato chiaramente gli organi sessuali sarebbe stata, secondo la definizione del cliente, pornografica.
Analizzando il caso con FTK 3.12 e prelevando le immagini sia dallo spazio allocato che, tramite carving, nel non allocato, sono state recuperate oltre 60.000 immagini.
Il cliente esigeva una risposta rapida, quindi controllare e classificare il gran numero di immagini manualmente non era pensabile.
Visualizzare rapidamente ogni immagine per soli 5 secondi, avrebbe significato bruciare circa 2 settimane di lavoro.
Il processo doveva essere automatizzato e nel più breve tempo possibile.
Sapevo che AccessData possiede un modulo opzionale denominato “Explicit Image Detector” (EID) e ho deciso di fare un tentativo. Ho contattato il settore vendite e acquistato una licenza annuale per circa $ 800, il file di licenza è stato aggiornato e si trattava quindi solamente di aggiornare il mio dongle FTK.
Per aggiungere l’elaborazione EID all’immagine già elaborata è stata semplicemente una questione di:
Fare clic su Evidence > Add/Remove Evidence…
In detailed options > Evidence processing, attivare File Signature Analysis
Selezionare Explicit Image Detection > ho selezionato l’opzione X-DFT (default) così come le opzioni X-ZFN (più precise):
Figura 1 Opzioni EID
Ero alla fine della giornata e ho deciso di lasciare semplicemente il processo in esecuzione durante la notte. La mattina seguente aveva terminato e guardando i log del caso relativi ai tempi di elaborazione, ho visto che hanno richiesto circa sei ore. E con le immagini caricate sul caso e le rispettive label di classificazione EID. Una rapida occhiata ha mostrato che un’immagine con un valore di X-ZFN superiore a 90 eliminava la maggior parte dei falsi positivi. Un filtro (vedi Figura 2) è stato costruito in modo da selezionare solo le immagini appartenenti a X-ZFN con un valore superiore a 90.
Figura 2 Filtro EID
Questo ha portato il numero totale di immagini sospette da 60.000 a 6000, esattamente 1/10 del numero totale e un compito decisamente più gestibile. È importante ricordare che EID lavora usando i toni carne, quindi qualsiasi immagine con un elevato livello di toni simili, sia essa un normale ritratto o un’immagine pornografica, ottiene un riscontro in EID; quindi si è resa necessaria una revisione manuale. Utilizzare il filtro con valore superiore a 90, visualizzare le immagini con FTK thumbnail viewer, selezionare select all e poi deselezionare tutte le immagini che non avessero soddisfatto la definizione di immagine pornografica come definito dal cliente, ha richiesto circa 6 ore e portato il numero di immagini a 4.886.
Le immagini sono state raggruppate in un segnalibro, sempre considerando gli elementi di prova relativi alla richiesta del cliente, è stato generato un report e masterizzato su DVD per esser presentato al cliente. L’uso di EID non solo ha impedito che impattasse su altri casi, considerando il mio attuale carico di lavoro; ma ha anche fatto risparmiare al cliente circa 60 e più ore di tempo fatturabile, che sarebbero state facilmente necessarie se le immagini avessero dovuto essere analizzate manualmente.
Fonte: Digital Forensics: Too Much Porn, Too Little Time
I recently had a case where one of the requirements was to determine if the PC had been used to view and or download pornographic images from the Internet. First let me say that in my view the only party that can ultimately determine if an image is pornographic is the court. That being said we agreed in the onset of the investigation that any image that clearly showed sexual organs would be the definition we would use in determining if a particular image met the client’s definition of a pornographic image.
Processing the case with FTK 3.12 and both collecting images in allocated space as well as carving for images in unallocated space revealed well over 60,000 images. The client needed and answer quickly hence manually reviewing and classifying the large number of images was not an option. If you simply did a quick view of each image for just 5 seconds you would burn about 2 weeks of labor. The process needed to be automated and sooner than later. I had heard AccessData had an optional module called “Explicit Image Detector” (EID) and decided to give it a try. I contacted my sales rep and purchased a one year license for around $800, my license file was updated and it was then just a matter of updating my FTK dongle.
To add EID processing to the already processed image it was simply a matter of:
Click Evidence > Add/Remove Evidence…
In the detailed options > Evidence processing, turn on File Signature Analysis
Select Explicit Image Detection > I selected the X-DFT (default) option as well as the X-ZFN (more accurate) options:
Figure 1 EID Options
As I was at the end of the day I decided to simply let the process run overnight. The following morning it was complete and looking at the case log the processing time took approximately 6 hours to complete. With the images now loaded into the case along with their respective EID classification label. A quick cursory view of the images showed that an image with a X-ZFN score above 90 eliminated most false positives. A filter (see Figure 2) was constructed to select only those images that were members of X-ZFN with a score above 90.
Figure 2 EID Filter
This brought the total number of suspect images from 60,000 down to 6,000 just 1/10 of the total number of images and a much more manageable task. It is important to remember that EID works using flesh tones hence any image with a high level of flesh tones whether a basic portrait or a pornographic image is detected as meeting the EID threshold hence a manual review was still necessary. Using the above filter set at a score of greater then 90 and then viewing the images with the FTK thumbnail viewer, checking select all and then deselecting any images that did not meet the definition of pornographic images as defined by the client took about 6 hours and brought the number of images to be presented down to 4,886.
The images were bookmarked along with the balance of the evidence relative to the client’s request and a report was generated and burned to DVD for submission to the client. Using EID not only prevented impact on other cases due to my current workload, it also saved the client roughly 60 or more hours of billable time that would have easily been spent had the images been only manually processed.
Source: Digital Forensics: Too Much Porn, Too Little Time