Пример первый.
Это реальный пример из жизни. Полицией был задержан гражданин, подозреваемый в сексуальном насилии над ребенком, которое он снял на камеру и сохранил у себя на компьютере. К моменту получения криминалистами доступа к компьютеру подозреваемого видео уже было удалено с помощью специального программного обеспечения и восстановить удаленный файл не было никакой возможности. Специалистами был проведен комплексный криминалистический анализ компьютера, где была найдена сохранившаяся в системе миниатюра видеофайла. Размер миниатюры был незначительным, но по ней прекрасно можно было понять - подозреваемый действительно совершал действия сексуального характера с несовершеннолетним. Злоумышленник надежно удалил видео, но он не знал, что от просмотренных изображений и видеофайлов в системе остаётся информация в виде миниатюр. Это и помогло изобличить его в содеянном.
Пример второй.
Это также известный пример из реальной жизни. Была задержана банда, подозреваемая в подделке банковских купюр. На компьютере у подозреваемого был обнаружен размонтированный криптоконтейнер TrueCrypt. Подозреваемые отказались выдать пароль, атака перебором паролей по словарю провалилась, ситуация казалась безвыходной. Тогда эксперты при помощи криминалистического софта изучили содержимое жесткого диска компьютера и обнаружили миниатюры всех открытых на нем картинок, как вы понимаете, они содержали поддельные купюры. Система бережно сохранила их и именно они помогли собрать доказательную базу.
Миниатюры всех открытых картинок сохраняются в незашифрованном виде и могут быть просмотрены любым мало-мальски грамотным специалистом.
Вы можете посмотреть миниатюры, которые сохранились у вас, по адресу: %userprofile%\AppData\Local\Microsoft\Windows\Explorer (Windows 7, 8, 10). Как решать эту проблему? Вы можете просто удалить миниатюры, и лучше при помощи шредера, так как обычное удаление всегда оставляет возможность их восстановить. Не забывайте и про резервные копии, где удаленные миниатюры могут сохраниться, обязательно отключайте теневые копии Windows.
Пример третий.
Еще одна реальная история использования криминалистического анализа изображений, приведшая к разоблачению мошенника. Владелец небольшого хостинг-провайдера получил на электронный ящик уведомление, что один из его клиентов утратил доступ к почте и хочет восстановить доступ к своему аккаунту. Владелец хостинга отправил письмо на регистрационный email, но в течение недели ответа не было, тогда он решил начать процедуру восстановления, так как у него были регистрационные данные владельца. Он запросил ксерокопию паспорта и квитанцию оплаты услуг ЖКХ на имя владельца аккаунта, данные которого он имел, и в течение трёх дней получил их. Пришло время выдать доступ к аккаунту, но сомнение не покидало владельца хостинга, и он проверил отксерокопированные документы на предмет подделки, так называемой “отрисовки”. В результате и ксерокопия паспорта, и отсканированная квитанция оказались сделаны с использованием редактора изображений, это было хорошо видно благодаря изучению текстуры пикселей в местах с данными пользователя (все изменённые места неестественно выделяются на фоне общей картины). В рамках нашего курса вы научитесь самостоятельно проводить анализ фотографий и находить картинки с внесёнными изменениями при помощи изучения текстуры пикселей и метаданных изображения. Естественно мошенник не получил никаких данных. Позже выяснилось, что реальный владелец аккаунта был в это время на отдыхе и не читал почту, на сервере он хранил ценные данные за которыми и охотились злоумышленники.
Пример четвёртый. Это реальный пример из жизни. Полицией был задержан гражданин, подозреваемый в сексуальном насилии над ребенком, которое он снял на камеру и сохранил у себя на компьютере. К моменту получения криминалистами доступа к компьютеру подозреваемого видео уже было удалено с помощью специального программного обеспечения и восстановить удаленный файл не было никакой возможности. Специалистами был проведен комплексный криминалистический анализ компьютера, где была найдена сохранившаяся в системе миниатюра видеофайла. Размер миниатюры был незначительным, но по ней прекрасно можно было понять - подозреваемый действительно совершал действия сексуального характера с несовершеннолетним. Злоумышленник надежно удалил видео, но он не знал, что от просмотренных изображений и видеофайлов в системе остаётся информация в виде миниатюр. Это и помогло изобличить его в содеянном.
Пример второй.
Это также известный пример из реальной жизни. Была задержана банда, подозреваемая в подделке банковских купюр. На компьютере у подозреваемого был обнаружен размонтированный криптоконтейнер TrueCrypt. Подозреваемые отказались выдать пароль, атака перебором паролей по словарю провалилась, ситуация казалась безвыходной. Тогда эксперты при помощи криминалистического софта изучили содержимое жесткого диска компьютера и обнаружили миниатюры всех открытых на нем картинок, как вы понимаете, они содержали поддельные купюры. Система бережно сохранила их и именно они помогли собрать доказательную базу.
Миниатюры всех открытых картинок сохраняются в незашифрованном виде и могут быть просмотрены любым мало-мальски грамотным специалистом.
Вы можете посмотреть миниатюры, которые сохранились у вас, по адресу: %userprofile%\AppData\Local\Microsoft\Windows\Explorer (Windows 7, 8, 10). Как решать эту проблему? Вы можете просто удалить миниатюры, и лучше при помощи шредера, так как обычное удаление всегда оставляет возможность их восстановить. Не забывайте и про резервные копии, где удаленные миниатюры могут сохраниться, обязательно отключайте теневые копии Windows.
Пример третий.
Еще одна реальная история использования криминалистического анализа изображений, приведшая к разоблачению мошенника. Владелец небольшого хостинг-провайдера получил на электронный ящик уведомление, что один из его клиентов утратил доступ к почте и хочет восстановить доступ к своему аккаунту. Владелец хостинга отправил письмо на регистрационный email, но в течение недели ответа не было, тогда он решил начать процедуру восстановления, так как у него были регистрационные данные владельца. Он запросил ксерокопию паспорта и квитанцию оплаты услуг ЖКХ на имя владельца аккаунта, данные которого он имел, и в течение трёх дней получил их. Пришло время выдать доступ к аккаунту, но сомнение не покидало владельца хостинга, и он проверил отксерокопированные документы на предмет подделки, так называемой “отрисовки”. В результате и ксерокопия паспорта, и отсканированная квитанция оказались сделаны с использованием редактора изображений, это было хорошо видно благодаря изучению текстуры пикселей в местах с данными пользователя (все изменённые места неестественно выделяются на фоне общей картины). В рамках нашего курса вы научитесь самостоятельно проводить анализ фотографий и находить картинки с внесёнными изменениями при помощи изучения текстуры пикселей и метаданных изображения. Естественно мошенник не получил никаких данных. Позже выяснилось, что реальный владелец аккаунта был в это время на отдыхе и не читал почту, на сервере он хранил ценные данные за которыми и охотились злоумышленники.
Пользователь нашёл в интернете магазин с нужным товаром. У найденного магазина была масса положительных отзывов и рекомендаций. Многие пользователи оставляли вместе с отзывом фотографии полученного товара дополненные надписью на листке бумаги “Спасибо" с указанием сайта магазина. Покупка у этого продавца предполагала солидную предоплату и чтобы не оказаться обманутым, пользователь провёл анализ текстуры пикселей картинок с фотоотзывами. Анализ показал, что бумажки с благодарностями добавлены при помощи редактора, а сами оригинальные картинки взяты из интернета и не имеют никакого отношения к продавцу. Мошенник был изобличён.