Przejdź do menu Przejdź do treści

Kryminalistyka mediów cyfrowych

(ang. digital visual media forensics,DVMF) zajmuje się analizą materiału dowodowego w postaci zapisu dźwięku i obrazu na potrzeby postępowań w sprawach cywilnych i karnych, m.in. w celu ustalenia autentyczności dowodów. Udokumentowane reprezentacje rzeczywistości, fotografie i filmy ułatwiają analizę przeszłego zdarzenia, stanowiąc istotne dowody sądowe, od których coraz częściej zależą doniosłe decyzji podejmowane w polityce, wywiadzie, dochodzeniach procesach sądowych oraz decyzjach dziennikarzy oceniających autentyczność pozyskanych informacji. Zdjęcia i filmy są szczególnie ważne, ponieważ dostarczają wizualnego dowodu na wystąpienie prawdziwego wydarzenia i stanowią dla naszej percepcji autorytet, który przewyższa jedynie przeżycie samego wydarzenia w czasie rzeczywistym. W świecie, w którym dowody wizualne mają takie znaczenie, konieczna jest pewność co do ich integralności i wiarygodności, zanim zostaną one zaakceptowane jako dokładne odzwierciedlenie rzeczywistości.

Kryminalistyka mediów cyfrowych opiera się na badaniach naukowych, które wspierają procesy weryfikacji autentyczności i integralności obrazu cyfrowego i wideo. Ich podstawowym celem jest zachowanie danej treści w formie jak najwierniejszej oryginałowi, a jednocześnie prowadzenie ustrukturyzowanej analizy, która umożliwia walidację i interpretację przekazywanej informacji.         Kryminalistyka mediów cyfrowych służy zbieraniu dowodów, ich udoskonalaniu i uwiarygodnieniu.

Analiza kryminalistyczna cyfrowej fotografii lub filmu rozpoczyna się od zebrania dowodów z nośnika pamięci – takiego jak dysk optyczny, dysk flash lub magnetyczny dysk twardy – lub urządzenia źródłowego, którym może być kamera monitorująca, kamera policyjna na desce rozdzielczej, kamera na ciele, osobista kamera wideo, aparat lub telefon komórkowy. W razie uszkodzenia nośnika lub urządzenia źródłowego dowody mogą wymagać prawidłowego odzyskania lub naprawy, aby zapewnić zachowanie ich integralności. Głównymi czynnikami szkodliwymi są upał, niewłaściwe użycie, warunki środowiskowe panujące w czasie rejestracji lub celowy sabotaż dokonany przez sprawcę. Powodzenie w odzyskiwaniu lub naprawie dowodów zależy od dokładnych okoliczności i stopnia uszkodzenia nośników danych lub urządzenia.

Udoskonalanie dowodów jest prawdopodobnie jednym z najczęściej wykonywanych zadań podczas analizy kryminalistycznej. Rzadko bywa, że zdjęcia lub nagrania wideo wydarzenia są dostępne w wysokiej jakości. Istotne jest więc poprawienie jej tak, aby szczegóły stały się wyraźne, a wydarzenia ukazane na zdjęciu lub filmie – bardziej oczywiste dla śledczych, adwokatów, jurorów czy sędziów. Najczęściej stosowane techniki ulepszania treści  dozwolone przez sąd obejmują regulację kontrastu i jasności, korektę koloru, redukcję szumów, ostrego oświetlenia, wyostrzanie, stabilizację wideo, regulację szybkości klatek, maskowanie lub rozmazywanie twarzy, powiększanie, kadrowanie, rekonstrukcję obrazu w celu przeciwdziałania efektowi rozmycia ruchu i umieszczanie podtytułu oraz kodowania czasowego.

Operacje ulepszania treści są wykonywane przy użyciu nieniszczących technik, które zapewniają zachowanie integralności treści. Na zakres osiągalnego udoskonalenia mają wpływ czynniki takie jak początkowa jakość zdjęcia lub wideo, parametry techniczne urządzenia nagrywającego, warunki środowiskowe w czasie nagrywania oraz stopień kompresji.

Dowody wizualne są trudne do zakwestionowania, a twierdzenia, które z nich wynikają, niełatwo jest obalić, dlatego ilekroć jakiekolwiek dowody tego typu są wykorzystywane jako środek przekazywania ważnych informacji, kluczowe jest ustalenie wiarygodności dowodów. Zadania te realizuje się poprzez znalezienie odpowiedzi na pytania o to, skąd pochodzi zdjęcie lub film oraz czy zostały one przetworzone po ich wykonaniu. Pierwsze z nich odnosi się do pochodzenia dowodu, drugie – do uwiarygodnienia jego treści. Każda operacja zastosowana do fotografii cyfrowej lub wideo, która w jakiś sposób zmienia zapis, pozostawia subtelne ślady. Są one ogólnie określane jako artefakty kryminalistyczne i mają unikalny charakter dla każdej operacji przetwarzania treści. Identyfikujące ślady umożliwiają zarówno potwierdzenie pochodzenia, jak i uwierzytelnienie treści.

Postępowanie mające na celu ustalenie pochodzenia dowodu odnosi się do procesu stwierdzenia, czy zdjęcie lub film wideo zostały zarejestrowane przy użyciu urządzenia, o którym twierdzono, że je zarejestrowało, i czy nie zostały one przeniesione w nieautoryzowany sposób z jednego nośnika na inny – z wyjątkiem tych działań, których śledczy i analitycy sądowi byli świadomi. Proces kryminalistyczny łączący daną zawartość z określonym urządzeniem akwizycji jest znany jako identyfikacja aparatu źródłowego (source camera identification, SCI).

Ślady identyfikacyjne wykorzystywane przez różne techniki SCI są dostarczane przez sam proces generowania treści. Każdy składnik procesu generowania obrazu i wideo wpływa w unikalny sposób na cechy wynikowe treści, co oznacza np., że wideo przechwycone przez kamerę CCTV będzie wykazywać cechy inne niż rejestrowane przez kamerę ręczną, a także odmienne będą cechy filmów nagranych przez różne rodzaje kamer CCTV.

Różnice w sposobie, w jaki określony proces generowania obrazu lub wideo wpływa na charakterystykę zawartości, wynikają z obecności określonych elementów w urządzeniu rejestrującym oraz z powodu różnic w ich sposobie wpływania na ostateczną treść. Dokładne zbadanie tych zmian pomaga wnioskować o szczegółach dotyczących danego urządzenia i procesu generowania treści, umożliwiając w ten sposób ustalenie pochodzenia dowodów. Przykładem takich zmian jest szum czujnika, który jest unikalnym rodzajem szumu wprowadzanym przez kamerę do każdego zapisywanego obrazu lub wideo. Wzorce szumów czujnika różnią się w zależności od urządzenia, ale pozostają spójne dla całej zawartości nagranej przez konkretny jego egzemplarz.

Ponadto, ponieważ działanie różnych komponentów procesu generowania treści jest od siebie zależne, każdy z nich może zakłócać lub nawet usuwać ślady wprowadzone przez poprzedni. Oznacza to, że cechy wcześniejszego etapu mogą nie być obecne w ostatecznej treści. Analityk kryminalistyczny jest w stanie ocenić pochodzenie danej treści nie tylko na podstawie obecności identyfikujących śladów, ale także na podstawie nieobecności tych oczekiwanych.

Po ustaleniu pochodzenia obrazu lub wideo następnym krokiem pozostaje sprawdzenie jego zawartości i upewnienie się, że nie zostały one naruszone od momentu zarejestrowania treści do chwili jej przedstawienia do uwiarygodnienia. Techniki kryminalistyczne, które pomagają wykryć obecność manipulacji semantycznych w obrazach cyfrowych i filmach, są wspólnie określane jako techniki wykrywania sabotażu lub fałszerstwa.

Każda operacja zastosowana w stosunku do obrazu cyfrowego lub wideo po jego wygenerowaniu jest uważana za operację poprodukcyjną. Wszystkie takie operacje wpływają na charakterystykę treści cyfrowych i zmieniają jej istniejącą konfigurację, sprawiając, że atrybuty obrazu lub filmu, którego dotyczy takie działanie, wykazują cechy odbiegające od niezmodyfikowanego obrazu lub wideo. Te odchylenia i nietypowe zachowania są uważane za ślady identyfikujące, a ich ujawnienie umożliwiają techniki wykrywania manipulacji służące odróżnianiu autentycznej treści od treści zmodyfikowanej w procesie poprodukcyjnym.

Istotne z kryminalistycznego punktu widzenia pozostają różnice między ulepszaniem treści a modyfikowaniem zawartości. Chociaż głównymi celami tego pierwszego są poprawa jakości obrazu lub wideo i podkreślenie ważnych szczegółów sceny, aby ułatwić ich zrozumienie, sabotaż jest szkodliwą operacją, która zmienia zdarzenia przedstawione na obrazie lub wideo i jego znaczenie. Typowe operacje manipulowania treścią obejmują fałszerstwa kopiowania i wklejania, w których dany obiekt jest wstawiany lub usuwany z obrazu lub klatki wideo, oraz fałszerstwa związane z klatkami, w których zestaw klatek jest usuwany z sekwencji wideo lub w których zmieniany jest ich układ.

W zależności od cech charakterystycznych dla określonego scenariusza kryminalistycznego kryminalistykę mediów cyfrowych można podzielić na kryminalistykę aktywną i pasywną. W tej pierwszej ślady identyfikujące są dołączane do treści w formie metadanych, takich jak hash lub podpis, albo są wstawiane bezpośrednio do treści jako znak wodny na wczesnym etapie tworzenia treści. Aktywne metody kryminalistyczne są implementowane bezpośrednio w urządzeniu do pozyskiwania, a proces generowania treści nie może się rozpocząć dopóty, dopóki ślady identyfikujące nie zostaną wstawione do treści. Oznacza to, że metody tego typu nie pozwalają na ocenę wiarygodności dowolnych zdjęć i filmów nieznanego pochodzenia. Z kolei w kryminalistyce biernej analityk nie ma kontroli nad procesem tworzenia obrazu lub wideo, typem i wyglądem śladów identyfikujących. Jest on również nieświadomy specyfiki procesu generowania treści i historii jej przetwarzania oraz ogranicza się do uwiarygodnienia jej poprzez sprawdzanie widocznych cech. Pasywne metody kryminalistyczne opierają się na dwóch rodzajach śladów identyfikujących: właściwościach urządzenia i artefaktach przetwarzania.

Charakterystyka urządzenia odnosi się do wewnętrznych cech poszczególnych aparatów. Różnice między nimi wynikają z wykorzystania przez producentów różnorodnych komponentów lub z odmiennego ustawienia parametrów. Zmiany mogą również wystąpić z powodu niepożądanych niedoskonałości technologicznych, takich jak wady czujnika. W związku z tym każde urządzenie pozostawia na generowanych przez siebie treściach unikalne identyfikujące ślady. Badając je, można wysunąć wnioski na temat samego urządzenia.

Artefakty przetwarzania odnoszą się do śladów wprowadzanych podczas różnych modyfikacji, które przechodzi po wygenerowaniu obraz lub wideo. Są one unikalne dla każdej operacji przetwarzania, a zatem służą jako ślady identyfikujące, umożliwiające rozpoznanie konkretnej operacji.

Podczas gdy zarówno aktywne, jak i pasywne badania sądowe opierają się na wykrywaniu śladów identyfikujących, w wypadku aktywnych badań kryminalistycznych ślady te są osadzone lub dołączone są do danych celowo. W trakcie badań pasywnych zaś są one wykrywane na podstawie analizy cechy procesu pozyskiwania treści lub operacji poprodukcyjnych, którym został poddany materiał.

Kryminalistyka mediów cyfrowych bywa określana jako ślepa, jeśli analityk pracuje bez kompletnej apriorycznej wiedzy dotyczącej urządzenia nagrywającego, procesu generowania treści, oryginalnej sceny uchwyconej przez obraz lub wideo czy jakiejkolwiek operacji przetwarzania, która mogła zostać do niego zastosowana. Ślepe schematy kryminalistyczne badają ślady identyfikujące obecne w danej treści i próbują wnioskować na tej podstawie o tożsamości urządzenia, które zostało użyte do jego przechwycenia lub przeprowadzenia operacji poprodukcyjnych. W przeciwieństwie do ślepej kryminalistyki nieślepe metody kryminalistyczne wykorzystują dodatkowe informacje o cechach generowania i przetwarzania treści. Takie dodatkowe informacje mogą obejmować wiedzę o tożsamości urządzenia rejestrującego lub informacje dotyczące historii przetwarzania treści. Chociaż nieślepe podejścia pomagają złagodzić niektóre wątpliwości, z jakimi może się spotkać analityk w odniesieniu do tego, czy obraz lub wideo przeszły jakiekolwiek przetwarzanie poprodukcyjne, w praktyce są one często niemożliwe do zastosowania. Takie podejście nie może pomóc np. w określeniu źródła obrazu lub wideo nieznanego pochodzenia, ponieważ w wypadku tego typu materiałów nie istnieją żadne dodatkowe informacji poza samą ich treścią.

Ostatnim ważnym zadaniem kryminalistyki mediów cyfrowych jest badanie elementów sceny przedstawionych na obrazie lub wideo, w celu zidentyfikowania zawartych w nich obiektów i zinterpretowania ich znaczenia w kontekście sceny. Podczas tej fazy analizy kryminalistycznej wykonywane są operacje takie jak wykrywanie obiektów, śledzenie i podświetlanie.

Po wstępnym wykryciu obiektu przeprowadza się specjalistyczne badania w celu identyfikacji przedstawionych na obrazie lub wideo osób (ofiar, świadków lub podejrzanych) lub przedmiotów nieożywionych (plakietek, tablic rejestracyjnych, nazw ulic i budynków, numerów domów itp.). Typowymi technikami identyfikacji obiektów są mapowanie twarzy (tj. porównywanie jednego obrazu twarzy z innymi), gramatyka wideo (przydatna do wykonywania pomiarów obiektów, np. w celu oszacowania wysokości sprawcy), identyfikacja innych charakterystycznych cech, takich jak blizny i tatuaże, oraz subiektywne metody kontroli, takie jak analiza kryminalistyczna chodu i analiza wzorca behawioralnego.

Dokładna interpretacja znaczenia danego dowodu ma kluczowy charakter. Podczas procesu bowiem często przedstawia się dowody wizualne po to, aby mówiły same za siebie, ponieważ oczekuje się, że dostarczą sądowi wiedzy o wszystkich faktach. Ta tendencja nie wyklucza jednak błędnej ich interpretacji. Wartościowy przykład pochodzi z października 2003 r. z Florydy. Niania, C. Muro, została oskarżona przez swoich pracodawców o znęcanie się nad dziećmi. W trakcie procesu jako dowód wykorzystano film z ukrytej kamery, na którym Muro gwałtownie potrząsa pięcioletnią dziewczynką. Uznano go dowód za wystarczający i kobieta została skazana. W marcu 2006 r. sprawę rozpatrzono ponownie, a materiał wideo został poddany analizie kryminalistycznej, która ujawniła, że dowody były w rzeczywistości mylące. Aparat bowiem nagrywał ok. 5,5 klatki na sekundę, co powodowało, że delikatne ruchy wydawały się gwałtowne, gdy odtwarzano wideo z normalną częstotliwością klatek. Odkrycie uniewinniło Muro, która pomimo tego, że była niewinna, spędziła 29 miesięcy w więzieniu. Przykład ten dowodzi roli, jaką odgrywa interpretacja dowodów fotograficznych i wideo oraz tego, jak nawet najmniejsze błędy mogą prowadzić do pomyłki sądowej.

Jakub Idzik, Rafał Klepka

B. Dalrymple, J. Smith, Forensic Digital Image Processing Optimization of Impression Evidence, CRC Press, London–New York 2018; Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, E. Casey (ed.), Elsevier, Amsterdam–Boston–Heidelberg–London–New York–Oxford–Paris–San Diego–San Francisco–Singapore–Sydney–Tokyo 2004; Handbook of Digital and Multimedia Forensic Evidence, J.J. Barbara (ed.), Humana Press, Totowa 2008; K. Mancini, J. Sidoriak, Fundamentals of Forensic Photography: Practical Techniques for Evidence Documentation on Location and in the Laboratory, Routledge, New York–London 2018; R.D. Singh, The Art and Science of Digital Visual Media Forensics, „HSOA Journal of Forensic, Legal & Investigative Sciences” 2018, vol. 4, no. 1; taż, Digital Visual Media Forensics, [w:] Cryptographic and Information Security Approaches for Images and Videos, S. Ramakrishnan (ed.), CRC Press, Boca Raton–London–New York 2019.