Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA COMPLETA

Video forensics: best practice di analisi investigativa sui sistemi di videosorveglianza

La video forensics è quell’insieme di tecniche e procedure che consentono di effettuare un’analisi video investigativa sui sistemi di videosorveglianza. Ecco le best practice s i consigli pratici per procedere nell’acquisizione dei dati senza alterare le prove digitali e nel rispetto della normativa privacy

05 Feb 2020
D
Vincenzo Donvito

Consulente Informatico Forense


La video forensics è quella branca della digital forensics che, come il nome stesso lascia intuire, consente di effettuare un’analisi video investigativa sui sistemi di videosorveglianza per la raccolta di prove digitali.

La struttura di un sistema di videosorveglianza

Prima di proseguire con lo studio delle tecniche applicative e delle best practice di video forensics è utile capire quali siano i componenti che costituiscono un sistema di videosorveglianza:

  • telecamere analogiche o IP con eventuale memorizzazione temporanea interna;
  • sistema di trasmissione su cavo, fibra ottica, wireless, internet, analogico o IP;
  • sistema di registrazione su videoregistratori digitali, software di gestione;
  • sistema di visualizzazione su computer, monitor;
  • sistema di analisi video: comportamentale, identificazione volti, riconoscimento targhe.

Esaminiamoli quindi nel dettaglio cercando di definire le tecnologie utilizzate:

  • DVR – Videoregistratore digitale. Il videoregistratore digitale consente la registrazione in simultanea di uno o più segnali analogici video compositi su hard disk, tramite schede di acquisizione e compressione video integrate. Esistono una miriade di prodotti differenti ma non esiste uno standard architetturale, soprattutto per quanto riguarda le modalità di scrittura su HD (spesso il file system non è sconosciuto). Normalmente sono apparati utilizzati per sistemi di videosorveglianza di tipo consumer.
  • NVR – Network Video Recorder. Il Network Video Recorder è tipicamente un software applicativo, compatibile con i sistemi operativi più diffusi in grado di gestire e registrare flussi video di rete su hard disk. Esistono sul mercato diversi produttori di NVR e nella maggior parte dei casi il file system (FAT, FAT32, NTFS sono tra i più diffusi) è organizzato conseguentemente al sistema operativo su cui è installato. La principale difficoltà per i consulenti che si imbattono in un NVR risiede nel fatto che spesso sono organizzati su architettura distribuita sia in termini di server di registrazione che di distribuzione geografica. È importante conoscere le caratteristiche, anche potenziali, del NVR e applicare con attenzione le tecniche di Digital Forensics.
  • SD – Secure Digital. Le SD sono schede di memoria di capacità limitata, solitamente da 1 a 128 GB. Si trovano di solito sugli apparati di ripresa (telecamere IP) o di codifica (encoder IP per segnali analogici). Il ruolo delle memorie SD può essere sia la registrazione della ripresa video nella sua completezza, che l’intervento nel momento in cui si verificasse un problema di trasmissione verso il sistema di registrazione principale, effettuando una registrazione temporanea di backup. È quindi possibile individuare sulle SD distribuite in un sistema di videosorveglianza parti di video di interesse eventualmente mancanti nel sistema di registrazione principale.
  • Sistemi Embedded. Con questo termine si indicano tutti gli apparati il cui sistema operativo di funzionamento (tipicamente Linux modificato allo scopo) è mascherato all’utilizzo dell’utente. È il caso ad esempio della maggior parte dei DVR che utilizziamo comunemente nelle nostre abitazioni, dove infatti non è possibile per l’utente accedere a basso livello al sistema operativo ma egli può unicamente utilizzare le interfacce fornite dall’apparato stesso. Tali sistemi risultano quindi molto stabili e sicuri ma l’accesso a basso livello può divenire difficoltoso anche per l’investigatore. Allo stesso tempo la “robustezza” sotto il profilo forense dei dati eventualmente estrapolati risulta notevole proprio in quanto intrinsecamente protetti da manipolazioni, almeno con tecniche standard.
  • Sistemi PC Based. Tale accezione si riferisce a tutti quei sistemi di registrazione il cui sistema operativo di funzionamento è noto e accessibile. Tipicamente sono gli applicativi di network video recording installati in ambiente Windows. In questo caso è possibile accedere al sottosistema ed effettuare ricerche a basso livello. È necessario utilizzare tecniche di computer forensics in quanto, al contrario dei sistemi embedded, da una parte è più facile effettuare ricerche approfondite, dall’altra aumenta notevolmente il rischio di possibili contraffazioni.
  • Sistemi RAID – NAS. Data l’enorme quantità di dati presenti in un sistema di videosorveglianza in termini di filmati registrati è possibile che nell’architettura di rete siano presenti dei sistemi NAS.

Video forensics: prescrizioni di carattere generale

Quando si intendono acquisire evidenze che potrebbero essere contenute all’interno di un sistema di videosorveglianza, si devono seguire prescrizioni di carattere generale, prestando attenzione a prelevare i dati rilevanti che caratterizzano ogni specifico ambito applicativo e implementazione tecnologica.

Prima di compiere qualsiasi operazione, risulta di fondamentale importanza individuare con certezza a quale “modello architetturale” è riconducibile il sistema di videosorveglianza che si sta esaminando.

La prima operazione da compiere è quella di annotare il layout del sistema, individuandone ogni componente. È necessario riportare con precisione marca, modello, numero seriale ma anche versione software e firmware per ognuno dei componenti individuati.

Quando si accede ad un sistema di videosorveglianza, tipicamente questo è acceso e funzionante. Inoltre, mentre in alcuni casi il sistema può essere sequestrato e talune operazioni di acquisizioni possono essere svolte successivamente, molto spesso il sistema non può essere spento o sequestrato, per cui l’attività “irripetibile” di repertamento si realizza con il sistema acceso. Risulta inoltre decisivo acquisire molti dati rilevanti immediatamente, prima che questi non siano più disponibili.

Video forensics: best practice per l’acquisizione dati

Le best practice relative all’acquisizione di un sistema di videosorveglianza devono tenere conto di due momenti:

  • il primo, quello in cui si realizzano le acquisizioni a sistema acceso, per la copia di filmati e l’acquisizione dei dati rilevanti o qualora il sistema non si possa sequestrare;
  • il secondo, quando si realizzano acquisizioni a sistema spento, ad esempio quando si copiano gli HD contenuti all’interno di videoregistratori digitali sequestrati.

Queste due fasi devono essere considerate sempre successive e non alternative. La completa assenza delle informazioni derivanti dalla prima fase può causare una perdita irrecuperabile di evidenze.

Spesso i filmati dei sistemi di sorveglianza sono codificati in formati cosiddetti proprietari. Ciò significa che il file video è incapsulato in una sorta di “scatola nera” digitale, di cui chi si trova ad operare sa molto poco. Il contenuto video è visibile con i player (lettori) forniti direttamente dal gestore del sistema di sorveglianza. Per convertire i filmati in un formato “trattabile”, cioè analizzabile ed elaborabile, è necessario conoscere quanto più possibile del software fornito dal produttore del sistema.

Oggi abbiamo a disposizione dei software specifici, come Amped Five e Kinesense, che sono riconosciuti dalla comunità forense, utilizzati anche dalle law enforcement, e sono in grado di emulare la maggior parte degli encoder in circolazione, con un grande risparmio di tempo nell’analisi dei video.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

Vista la varietà dei sistemi sul mercato, ognuno con peculiarità diverse, è bene ricordare l’obiettivo principale che è quello di non alterare la qualità sul filmato.

Video forensics: tecniche per la ricerca dei dati

All’aumentare della complessità del sistema in esame corrisponde una crescente difficoltà nella ricerca dei dati utili all’indagine. Prima di discutere i casi possibili, si vuole sottolineare che i dati importanti non sono solo le “informazioni visive”, ma anche informazioni accessorie, come ad esempio tracce delle trasmissioni ricevute dalle varie telecamere, od anche indizi della semplice presenza di un apparato che al momento del controllo sul posto non viene più rilevato.

Come sempre, quindi, non è solo quello che c’è a comunicarci informazioni, ma anche quello che ci dovrebbe essere ma non è al suo posto. Volendo tracciare un parallelo con un altro tipo di indagine forense, potremmo ricordare che nell’esame di un hard disk di un computer non si ricercano solo i dati presenti, ma anche tracce di ciò che è semplicemente “transitato” per quella macchina, o di ciò che è stato spostato in altro luogo o cancellato.

Partendo quindi da casi in cui i dati sono memorizzati in maniera chiara o comunque sono reperibili direttamente, fino ad arrivare alle situazioni più complicate dal punto di vista architetturale, la ricerca dei dati può avvenire secondo il seguente ordine:

  1. Telecamere: all’interno del supporto di memorizzazione estraibile (cassetta VHS, cassetta DV o miniDV, memoria SD), nell’eventuale hard disk interno, nel buffer di sistema (che in alcuni casi mantiene tracce delle impostazioni di configurazione) o nei files di log dell’apparato;
  2. DVR: nell’hard disk dell’apparato su cui vengono registrati i filmati e nei files di log;
  3. Apparati client: eventuali salvataggi di immagini fatte da operatore sul sistema client e nei files di log;
  4. Server di registrazione: negli hard disk, nelle impostazioni di configurazione e nei files di log;
  5. Server di failover/backup: nelle eventuali copie di ridondanza presenti nel sistema e nei files di log;
  6. Switch o ponti wireless (es. WIFI): nelle eventuali impostazioni di configurazione degli apparati e nei files di log;
  7. Remote Archiver: nel caso di sistemi server distribuiti le immagini video ed i files di log possono trovarsi su più macchine;
  8. NTP5 Server: è importante verificare la sincronizzazione del sistema, la sorgente dell’ora del sistema ed i relativi files di log.

In generale, ogni apparato attivo presente nel sistema, o che ha avuto accesso ad esso, può essere depositario di informazioni che a vario titolo si potrebbero rivelare determinanti in un contesto forense.

Risulta quindi evidente l’importanza di conoscere quanto più possibile l’architettura e la composizione dell’impianto di videosorveglianza oggetto dell’indagine.

Un sistema di videosorveglianza non viene mai sequestrato completamente. Al più viene sequestrato il videoregistratore digitale. Tipicamente non vengono sequestrati le telecamere o altri elementi che costituiscono il sistema stesso.

Questi elementi potrebbero però contenere informazioni preziose, che devono essere acquisite. Un sistema di videosorveglianza, indipendentemente da quale che sia la tecnologia di cui è composto, è certamente una fonte di informazione ricchissima.

Le informazioni contenute in ogni componente del sistema, oltre i video, ne rappresentano il contesto informativo.

Obiettivo di una corretta acquisizione, tramite la raccolta di tutti i dati di rilevanti disponibili, è quello di offrire alla successiva fase di accertamento tutte quelle informazioni necessarie a ricostruire il contesto nel quale si trovava il dato digitale disponibile, in modo da permettere valutazioni con un maggiore indice di confidenza.

Operazioni di acquisizione dei dati

Tenendo conto delle best practice riguardanti le fasi di live forensics, riportiamo la sequenza di operazioni che si rende necessario attuare non appena si accede ad un sistema di videosorveglianza per una acquisizione forense “Live”:

  1. Documentare su un brogliaccio cartaceo ogni operazione eseguita.
  2. Attivare un videoregistrazione esterna sulle postazioni client dalle quali eventualmente si opera, utilizzando una videocamera posta alle spalle dell’operatore.
  3. Qualora fosse possibile, attivare una registrazione interna caricando sulla postazione client dalla quale si opera.
  4. Individuare tutti i dispositivi funzionanti connessi al sistema, postazioni client, telecamere connesse via rete, server di archiviazione e più in generale tutti i componenti del sistema dotati di un indirizzo di rete. Utilizzare analizzatori di rete come Wireshark13 per individuare tutti gli apparati connessi in rete.
  5. Rilevare il System Clock del BIOS di ogni componente del sistema (data, ore, minuti, secondi), annotando con precisione lo scostamento con l’ora reale. La determinazione dello scostamento tra l’ora reale e quella impressa sulle immagini dal sistema di videosorveglianza è certamente un “atto irripetibile”, che può essere realizzato solo al momento del prelevamento fisico del reperto. Non sempre è possibile sequestrare i server o i videoregistratori contenenti i filmati di interesse, altre volte, per quanto un videoregistratore digitale sia posto sotto sequestro, gli accertamenti hanno inizio dopo che la macchina è rimasta spenta per mesi, periodo nel quale la data e l’ora è assicurata solo dalla batteria tampone della scheda madre, sulla cui affidabilità nel tempo non si può essere certi-
  6. Verificare la presenza di un NTP server di sincronizzazione; in quel caso, realizzare uno screenshot del server, documentando la corrispondenza degli orari.
  7. Salvare il layout delle postazioni client individuate attraverso salva- taggio di screenshot; verificare se nel sistema siano programmati layout di default e nel caso salvarli.
  8. Salvare il “field of view” di ogni telecamera e fotografarla. Effettuare questa operazione nel momento del repertamento è importante poiché successivamente l’inquadratura della telecamera potrebbe essere spostata; in relazione alle telecamere mobili dotate di percorsi preprogrammati, può essere importante salvare anche questi ultimi.
  9. Analizzare gli apparati di rete presenti, salvandone la configurazione e facendo particolare attenzione alle possibilità di accesso “dalla rete internet” al sistema di videosorveglianza.

È evidente che la fase di “accertamento”, a cominciare dalla ricerca di filmati di interesse, dovrebbe avvenire a seguito della conclusione della fase irripetibile del repertamento; molto spesso ciò non è possibile poiché si stanno eseguendo “accertamenti urgenti” (si pensi alla ricerca della targa di un’auto nell’immediatezza di una rapina) su sistemi di terzi non interessati direttamente alle indagini o su sistemi di videosorveglianza che non è possibile sequestrare, come ad esempio i sistemi di sicurezza per il controllo territoriale o aeroportuale; la fase di “consultazione” del sistema di videosorveglianza necessita quindi di una attenzione particolare poiché è un atto certamente irripetibile.

Si rende necessario quindi:

  • Salvare i filmati di interesse, facendo attenzione a mantenere il filmato nel formato originale nel quale è archiviato sul sistema, preservando i metadati ed i dati correlati. Il problema connesso al formato del file proprietario ha come ulteriore conseguenza che i metadati possono trovarsi non solo direttamente nel filmato, ma anche correlati all’interno di un database delocalizzato rispetto all’apparato. A questo proposito ad esempio, il salvataggio in un formato tipo .avi determina una perdita di informazioni.
  • Calcolare immediatamente il numero di hash dei file salvati. Le disposizioni del Garante della Privacy in ordine ai sistemi di videosorveglianza impongono che le immagini delle telecamere vengano mantenute per un tempo massimo stabilito, trascorso il quale devono essere automaticamente sovrascritte.
  • Individuare, attraverso lo studio dei manuali o la consultazione del produttore, quali dati sono presenti nella memoria “volatile” in senso stretto (cioè conservati nella RAM) e quali si possono classificare come “dati temporanei”, che vengono sovrascritti con periodicità di 8 ore, 24 ore, 7 gg, 30 gg, etc. Tra questi quali possono essere di interesse per procedere, se necessario, alla loro acquisizione. Tra quelli da acquisire assolutamente, possiamo elencare:
  1. registrazioni temporanee o di backup su SD a bordo camera o a brodo encoder;
  2. registrazioni su supporti di “failover”;
  3. spezzoni di registrazioni esportate presenti su una delle macchine client;
  4. log del sistema di videosorveglianza. Per conoscere quali sono i log e i registri rilevanti è spesso necessario e comunque consigliabile contattare il costruttore dell’apparato;
  5. log di sistema operativo di tutti i Server ed i PC client, Estrapolati ad esempio mediante EventLog Analyzer15;
  6. i “registri di sistema”. Nei sistemi Windows ad esempio, queste sezioni sono consultabili utilizzando il comando regedit/file/esporta.

Qualora il sistema di videosorveglianza dovesse essere sequestrato, una domanda classica è se sia più opportuno eseguire uno spegnimento fisico della macchina attraverso una operazione di shutdown, oppure se sia opportuno procedere alla rimozione dell’alimentazione.

Nel primo caso il rischio è quello di attivare script non conosciuti e potenzialmente distruttivi la cui esecuzione può essere stata decisa in fase pre-intervento.

Nell’altro scenario è possibile causare danni irreparabili ai dati archiviati. Bisogna ad esempio tenere presente che un impianto di videosorveglianza evoluto è dotato di gruppi di continuità, il quali, in caso mancanza rete di norma attivano procedure di shutdown decise in fase di installazione a scopo protettivo.

Analogamente, su alcuni Digital Video Recorder meno recenti ma comunque dotati di un certo grado di sofisticazione, sussistono meccanismi di ripristino su memorie flash, che salvaguardano la macchina proprio da spegnimenti improvvisi dovuti a mancanza di alimentazione.

Non è quindi possibile dare una risposta univoca alla domanda sopra, se non consigliare una attenta valutazione caso per caso, in relazione alla tipologia dell’impianto. In generale si dovrebbe propendere per uno spegnimento di tipo fisico: la maggiore salvaguardia deriva da una buona acquisizione realizzata nella fase “live”.

Nel caso di un sistema spento “post-mortem” è necessario anzitutto ricordare che un sistema di videosorveglianza non è composto solo dal videoregistratore digitale o dal server che archivia le immagini ma, come abbiamo chiarito sopra, da tutti i sottosistemi che lo compongono. In base al “modello architetturale” di riferimento è necessario stilare una lista completa di tutti gli apparati che potrebbero contenere “dati rilevanti”.

Tra questi, non bisogna dimenticare: server di archiviazione principale, eventuale server di archiviazione di backup, eventuale server di analisi video, eventuali SD a bordo di telecamere, di encoder o di telecamere “intelligenti” dotate di memoria non estraibile, switch di rete, PC client, iPad, iPhone ed in generale smartphone con i quali è consentito l’accesso al sistema.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza

Per l’acquisizione fisica e logica di questi dispositivi si rimanda all’utilizzo delle specifiche best practice della digital forensics.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4