Durante un'indagine digitale capita spesso di dover analizzare un file multimediale, allo scopo di ricostruire la sua "storia", ovvero cosa è successo dal momento dello scatto fino ad arrivare nelle nostre mani.
Ciò è possibile grazie agli "EXIF DATA".
Gli EXIF DATA sono dei parametri intrinseci dei file multimediali e comprendono informazioni peculiari del dispositivo che li ha prodotti, dell'algoritmo di compressione applicato, ecc. Questi "viaggiano" incapsulati all'interno dei file multimediali, a differenza dei metadati del file system che possono subire modifiche semplicemente spostando un file o accedendovi.
Grazie all'analisi degli EXIF DATA è possibile avere indizi su importanti evenienze, tra le quali:
•il file presenta elementi di compatibilità con un dispositivo che lo ha presumibilmente prodotto;
•il file è stato modificato ("impronte" di software di editing e/o algoritmi);
•il file è stato spostato da una memoria all'altra (confronto dei metadati del file system);
•il file ha subito una compressione compatibile con quella di un motore di ricerca, app o social network;
•il file multimediale presenta elementi di compatibilità con altri file;
•tanto altro.
Capita spesso di voler risalire alla fonte di un file multimediale, ovvero al dispositivo digitale che lo ha prodotto e/o al "tragitto" che ha compiuto prima di arrivare a destinazione.
Pensiamo, ad esempio, ad una foto scattata con il nostro smartphone, successivamente inviata tramite WhatsApp ad una persona che l'ha poi inviata tramite email ad una terza persona la quale l'ha infine caricata su Facebook: tutti questi "passaggi di mano" lasciano delle "impronte" nei file multimediali.
•Il file originale presenta degli EXIF DATA tipici che permettono l'identificazione dello smartphone che lo ha prodotto (come ad esempio marca, modello, versione del sistema operativo, tag di geolocalizzazione, ecc) oppure di trovare elementi di compatibilità con lo stesso; contiene inoltre i timestamp (quali data di scatto, di ultima modifica, di ultimo accesso);
•Cosa succede una volta che il file viene inviato tramite WhatsApp? Bisogna qui distinguere tra processi che prevedono la compressione e quelli che non la prevedono. Gli algoritmi di compressione lasciano delle vere e proprie "impronte digitali" sul file (come ad esempio il codec utilizzato, la sua versione, la profondità di bit e altri parametri caratteristici). L'invio di foto/video tramite WhatsApp è un classico esempio di processo con compressione: al file viene applicato un algoritmo di compressione che lascia le proprie "impronte", ma ne cancella altre;
•L'invio tramite email, generalmente, non applica invece alcuna compressione ad un file inviato come allegato;
•La foto, una volta caricata su Facebook, subirà un'ulteriore processo di compressione, che lascerà le proprie "impronte" e ne cancellerà alcune delle precedenti.
Tramite la conoscenza approfondita di questi meccanismi è possibile, per un investigatore digitale esperto, provare a ricostruire il "tragitto" compiuto dal file multimediale.
La RG-DFI si trova presso l'azienda RG-Tech,
al seguente indirizzo:
Via Nazionale S. Biagio n. 264
98050 - Terme Vigliatore (ME)
I nostri recapiti
Si riceve solo previo appuntamento il sabato a
partire dalle ore 16.00, salvo casi eccezionali.
Cell: +39 3496169919
Email: info@rg-dfi.it
PEC: r.giardina@pec.it