Reverse engineering di contenuti video per analisi forensi

The recent development of multimedia devices and editing tools, together with the proliferation of video sharing web sites, has made the acquisition, alteration, and diffusion of video content relatively easy tasks. As a consequence, we find more and more video sequences available on the Internet, but each of them is potentially tampered with by anyone. It is then clear that the development of tools that enable the recovery of past history of video sequences in order to prove their origin and authenticity is more than an urgent necessity. In the last few years, many forensic techniques have been proposed to detect malicious modifications of multimedia data. However, many solutions are specifically tailored to the still image case. Video solutions have been proposed only more recently. For this reason, in this thesis, we focus on the challenging development of video forensic algorithms capable of detecting specific information about the past history of a video sequence, operating in a complete blind fashion. This means that digital content does not need to be signed beforehand, and the analysis is completely conducted having at our disposal only the final object, with no priors about its past. This is possible due to the fact that any non-invertible operation leaves peculiar traces on the video. Therefore, coding, editing, and other operations are characterized by the footprints they leave behind. The analysis and detection of such footprints allow to reveal if a video has undergone a specific operation. More specifically we can split the proposed algorithms in three categories: i) coding; ii) editing; iii) acquisition. Algorithms belonging to the first category exploit traces left by coding. Using these traces we propose a method to blindly detect how many times a video has been compressed in its lifetime, and which is the first codec used to encode a video that has been double encoded. Algorithms in the editing category exploit traces left by specific operations. First we propose a method to detect if a video (or part of it) has been temporally interpolated. Then we focus on the problem of object insertion and removal, and we show how to detect if such an attack has been operated. Since these detectors can be fooled by anti-forensic techniques, we also study the re-capture problem, which is a simple yet effective anti-forensic operation. Starting from this analysis we develop a detector to reveal if a video has been re-captured. The developed algorithms contribute theoretically and algorithmically to the widening panorama of digital forensics. They are always validated by means of a set of experiments on real video sequences. Indeed, we aim to propose solutions valid in a real world scenario. To this purpose, we have also released some of the generated video sequences to enrich public datasets.

I recenti progressi nello sviluppo di device multimediali e programmi di editing, assieme al proliferare di siti web dedicati alla condivisione di video, ha reso particolarmente semplici l'acquisizione, l'alterazione, e la diffusione di contenuti video. Di conseguenza, è facile trovare sempre più sequenze video accessibili via Internet. Tuttavia, ognuna di esse può essere stata modificata da chiunque. E' quindi chiara la necessità di sviluppare tecniche che permettono di ricostruire il passato di una sequenza video per provarne l'origine e l'autenticità. Negli ultimi anni, sono state proposte molte tecniche di analisi forense per rilevare modifiche di oggetti multimediali. Tuttavia, molte soluzioni sono specifiche per il caso di analisi di immagini. Soluzioni per analisi video sono state proposte solo recentemente. Per questo motivo, in questa tesi, ci occupiamo dello sviluppo di tecniche forensi che permettono di recuperare informazioni specifiche relative alla storia di un video, operando in modo completamente blind. Questo significa che i video in questione non sono stati pre-processati prima delle eventuali modifiche subite (ad esempio per mezzo di firme digitali), e l'analisi è quindi svolta avendo a disposizione solamente l'oggetto finale senza altre informazioni a priori. Questo è possibile grazie al fatto che ogni operazione non invertibile lascia tracce caratterizzanti sul video. Di conseguenza, codifica, editing, e altre operazioni sono caratterizzate dalle tracce che lasciano. L'analisi di queste tracce permette quindi di rivelare se una sequenza ha subito un certo tipo di trasformazione. In particolare possiamo dividere gli algoritmi proposti in tre categorie: i) codifica; ii) editing; iii) acquisizione. Gli algoritmi facenti parte della prima categoria sfruttano tracce lasciate da diversi tipi di codifica. Usando queste tracce proponiamo un metodo in grado di rivelare quante volte una sequenza video è stata compressa, e che tipo di codec è stato usato nel caso la sequenza sia stata compressa due volte. Gli algoritmi della seconda categoria sfruttano le tracce lasciate da particolari operazioni di editing. A tal riguardo, prima proponiamo un metodo di rilevare se un video (o parte di esso) è stato interpolato nel dominio temporale. Successivamente ci occupiamo del problema dell'inserimento e rimozione di oggetti in sequenze video, e mostriamo come accorgersi se questo tipo di attacco è stato effettuato su una sequenza. Siccome questi tipi di algoritmi possono essere ingannati da tecniche di anti-forensics, ci occupiamo anche del problema della ricattura, che è un semplice ma efficace metodo di anti-forensics. Partendo dall'analisi dell'operazione di ricattura, sviluppiamo un detector in grado di rivelare se un video è stato ricatturato. Gli algoritmi sviluppati contribuiscono a espandere il panorama dell'analisi forense di contenuti multimediali sia dal punto di vista teorico che pratico. Gli algoritmi sono sempre validati per mezzo di esperimenti su sequenze video reali. Infatti, le soluzioni proposte devono essere in grado di funzionare in uno scenario realistico. A tal proposito, alcune delle sequenze video utilizzate sono state rilasciate pubblicamente in modo da arricchire dataset pubblici.