LinkedIn
Debbie Garner, Evangelista delle soluzioni
Debbie Garner
Evangelista delle soluzioni Grayshift

Il materiale pedopornografico (Child Sexual Abuse Material, CSAM) è un problema di enorme portata nell’odierna era digitale. Con oltre 6,5 milioni di utenti di smartphone in tutto il mondo e 29,3 milioni di segnalazioni di sospetto sfruttamento sessuale di minori nel 2021, l’uso di dispositivi mobili nei casi di CSAM è in aumento. Con l’avvento della tecnologia, in particolare dei telefoni cellulari, è diventato più facile per i predatori accedere, raccogliere, distribuire e produrre questo materiale. Le forze dell’ordine lottano costantemente contro questo problema, cercando di rendere giustizia alle vittime e di perseguire i colpevoli. Tuttavia, con gli strumenti giusti, è possibile aumentare le possibilità di risolvere i casi in modo più rapido ed efficiente.

Ci rendiamo conto che, in quanto investigatori esperti, sapete come indagare sullo sfruttamento sessuale dei minori. ArtifactIQ di Grayshift può aiutare le vostre indagini a diventare più efficienti e in questo blog vi spiegheremo come.

Che cos’è ArtifactIQ?

ArtifactIQ è uno strumento analitico basato su cloud progettato per aiutare esaminatori e investigatori a esaminare le categorie più comuni estratte dai dispositivi mobili e a condividere facilmente le informazioni con chi ne ha bisogno. Quando un telefono è collegato a GrayKey e si ottiene l’accesso, i dati sono disponibili per la raccolta e l’analisi. Un flusso di lavoro tradizionale di raccolta dei dispositivi mobili richiede il salvataggio dell’estrazione e il caricamento dei dati nel software di analisi. Con GrayKey e ArtifactIQ è possibile raccogliere e caricare contemporaneamente i dati nel cloud. Una volta ricevuti i dati, ArtifactIQ mostra alcune delle categorie più importanti presenti nei dispositivi mobili in un’interfaccia di facile utilizzo, in modo che gli investigatori possano esaminare e ottenere rapidamente le informazioni di cui hanno bisogno. Questo nuovo flusso di lavoro consente agli utenti di analizzare rapidamente grandi quantità di dati. Un’altra caratteristica sorprendente di ArtifactIQ è la collaborazione. È possibile condividere immediatamente i dati estratti con altri investigatori all’interno dell’interfaccia utente.

Lo scenario

Avete ottenuto informazioni relative alla distribuzione di CSAM durante l’esecuzione di un software peer-to-peer (P2P). Una volta sequestrato il dispositivo del sospetto, lo si collega a GrayKey e si avvia l’estrazione, inviando contemporaneamente i dati estratti ad ArtifactIQ. Invece di dover attendere il completamento dell’estrazione e il successivo caricamento in una soluzione di analisi, è possibile iniziare ad analizzare gli artefatti in pochi minuti.

Esaminiamo le informazioni e le funzioni leggibili di ArtifactIQ e discutiamo alcuni suggerimenti per utilizzarle nelle vostre indagini CSAM.

CALENDARIO

La timeline interattiva di ArtifactIQ consente di visualizzare messaggi, foto, contatti, dati sulla posizione e dettagli delle chiamate contemporaneamente in un formato organizzato. In questo modo sarà possibile visualizzare informazioni apparentemente separate e fare collegamenti più facilmente.

Per saperne di più sull’importanza di avere una visione d’insieme della linea temporale e di approfondire momenti specifici, leggete questo blog.

Suggerimenti per l’indagine CSAM

  • Utilizzando la funzione Timeline di AIQ, è possibile visualizzare le informazioni che si riferiscono specificamente al download cybertip o P2P. ArtifactIQ consente di isolare date e orari specifici all’interno della timeline, in modo da potersi concentrare sulle prove più importanti per il caso di CSAM, adescamento online o traffico sessuale di minori. Grazie alla ricerca di date e orari specifici relativi al cybertip, al download P2P o alla chat, è possibile concentrarsi su indizi specifici, risparmiando ancora più tempo e concentrandosi su ciò che è importante.

Suggerimenti per gli utenti di ArtifactIQ

  • I Contatti principali mostrano un conteggio progressivo del numero totale di messaggi inviati e ricevuti da quel contatto.
  • Filtrare per fonte per visualizzare i contatti per applicazione
  • Ricerca per parola chiave di un nome di contatto o di un numero di telefono specifico
  • Fare clic su un contatto per aprire un riquadro di dettaglio dell’indizio per ulteriori dettagli

CONTATTI

Quando si seleziona il menu Contatti, vengono visualizzati tutti i contatti della rubrica nativa del telefono e delle applicazioni diterze parti supportate*. Nell’elenco dei contatti vengono visualizzati il nome e il numero di telefono del contatto, il numero totale di messaggi tra il proprietario e il contatto, la data e l’ora dell’ultimo messaggio inviato e la fonte del contatto. Per saperne di più sui contatti in ArtifactIQ.

Suggerimenti per l’indagine CSAM

  • A volte i predatori documentano i loro diversi personaggi nei propri contatti. Possono aggiungere i loro nomi falsi, i nomi utente e gli indirizzi e-mail associati a tali personaggi.
  • I contatti potrebbero rivelare individui che la pensano allo stesso modo e che comunicano o scambiano immagini CSAM o strategie di grooming.

Suggerimenti per gli utenti di ArtifactIQ

  • I Contatti principali mostrano un conteggio progressivo del numero totale di messaggi inviati e ricevuti da quel contatto.
  • Filtrare per fonte per visualizzare i contatti per applicazione
  • Ricerca per parola chiave di un nome di contatto o di un numero di telefono specifico
  • Fare clic su un contatto per aprire un riquadro di dettaglio dell’indizio per ulteriori dettagli

MESSAGGI E CHIAMATE

Il menu Messaggi contiene messaggi provenienti da SMS/MMS nativi del telefono e da applicazioni diterze parti*. I messaggi sono raggruppati per contatto/gruppo di contatti e appaiono in ordine di data/ora. La vista Conversazione mostra i messaggi del contatto/gruppo di contatti. Per saperne di più sulla categoria Chiamate in ArtifactIQ.

Suggerimenti per l’indagine CSAM

  • I messaggi di testo tra un bambino e l’autore del reato sarebbero importanti in qualsiasi caso di CSAM, così come i messaggi tra più autori di reato che condividono immagini e informazioni. ArtifactIQ estrae anche i messaggi di applicazioni di terze parti e li inserisce in Messaggi in ArtifactIQ, che può rivelare i messaggi in-app insieme ai messaggi di testo nativi.
  • È noto che i predatori spostano le vittime su un’altra applicazione di comunicazione rispetto a quella con cui hanno iniziato il contatto. ArtifactIQ consente di vedere quando e come ciò è avvenuto.

Suggerimenti per gli utenti di ArtifactIQ

  • Cercate frasi o un nome di contatto o un identificatore specifico in tutti i messaggi con la ricerca per parole chiave.
  • Filtrare i messaggi per data o intervallo di tempo.
  • Filtrare i messaggi in base all’origine, come SMS/MMS nativi o applicazionidi terze parti.
  • Fare clic su un singolo messaggio per aprire il riquadro del dettaglio dell’indizio e ottenere maggiori dettagli.
  • Nel riquadro Dettagli indizi, contrassegnate il messaggio con l’etichetta “Importante” e aggiungete le vostre note al manufatto per accedervi rapidamente in seguito.
  • Assicuratevi di visualizzare le immagini allegate nei messaggi e, se necessario, potete contrassegnare l’immagine come esplicita.

DATI DI LOCALIZZAZIONE

Quando si seleziona il menu Posizione, i dati sulla posizione vengono visualizzati in un formato di facile lettura che mostra artefatti come posizioni significative, posizioni delle foto, connessioni WiFi, GPS, torri cellulari e metadati GPS dei media su una mappa visiva.

Suggerimenti per l’indagine CSAM

  • Il sospetto si trovava presso l’abitazione, l’hotel o un altro luogo della vittima in una data e ora specifiche? I dati di localizzazione sarebbero fondamentali nei casi in cui un minore si sia incontrato con un adulto per scopi sessuali o sia stato rapito.
  • Il dispositivo si trovava nella posizione di caricamento di un’immagine CSAM alla data e all’ora del caricamento? Se si dispone di un indirizzo IP fornito in un cybertip o raccolto durante un’indagine P2P e si è identificato l’indirizzo fisico corrispondente all’indirizzo IP, è possibile confrontare i dati con i dati di localizzazione estratti e determinare potenzialmente il luogo in cui è stato caricato o distribuito un file o un’immagine.
  • Questi dati possono anche essere confrontati con le coordinate GPS nei dati EXIF e utilizzati per collocare un malvivente nello stesso luogo in cui è stata scattata la foto.

Suggerimenti per gli utenti di ArtifactIQ

  • Ingrandire e ridurre la mappa per visualizzare ulteriori dettagli. Con lo zoom, i dati sulla posizione diventano più granulari.
  • Filtrare solo per mostrare le località in un’area visualizzata o per esaminare solo le località in un determinato intervallo di data e ora.
  • Filtrare i risultati in base ai dati di origine, come i dettagli della posizione dai record delle foto, le connessioni Wi-Fi o i luoghi di interesse, per citarne alcuni.
  • Fare clic su un luogo per aprire il riquadro dei dettagli dell’indizio per ottenere ulteriori dettagli.
  • Utilizzare la ricerca per località per cercare indirizzi specifici

MEDIA E IMMAGINI

Il menu Media visualizza le immagini della libreria fotografica nativa e delle applicazionidi terze parti. ArtifactIQ fornisce le categorie dei media mentre analizza e visualizza le immagini. Per saperne di più sull’importanza dei media e delle immagini.

Suggerimenti per l’indagine CSAM

  • I media e le immagini sono la principale fonte di prova nei casi di CSAM. Che si tratti di possesso, distribuzione o produzione di CSAM, il ritrovamento delle immagini sul telefono comporterà probabilmente l’arresto.
  • Le immagini possono anche aiutare a identificare un bambino o a individuare il luogo in cui si trova. Potrebbero anche rivelare altre vittime.

Suggerimenti per gli utenti di ArtifactIQ

  • È possibile utilizzare la funzione “Rileva CSAM” di ArtifactIQ per confrontare le immagini del telefono con set di hash CSAM noti. Se si dispone di una licenza Pro ArtifactIQ, è possibile confrontare le immagini con la nostra esclusiva intelligenza artificiale, oltre che con i set di hash noti, che aiuta a trovare eventuali CSAM non presenti nei set di hash noti.
  • Le immagini scaricate vengono automaticamente contrassegnate come esplicite e non vengono mostrate. Per visualizzare l’immagine è necessario fare clic su “Clicca per visualizzare”. Non verranno mostrate automaticamente immagini CSAM, in modo che le persone che non dovrebbero o non vogliono vedere queste immagini non debbano vederle.
  • Filtrare le immagini per data e ora per restringere la ricerca
  • Immettere una categoria di parole chiave per cercare elementi all’interno di una fotografia
  • Filtrare le immagini per data e intervallo di tempo
  • Facendo clic su un’immagine si apre il riquadro dei dettagli di Clue per visualizzare ulteriori dettagli sull’immagine, come il valore hash, l’origine del supporto, i percorsi dei file, la data e l’ora di modifica e altro ancora.

ArtifactIQ di Grayshift è lo strumento ideale per gli investigatori che desiderano indagare in modo efficiente sui casi CSAM. Offre un’interfaccia intuitiva e funzioni avanzate come l’archiviazione basata su cloud, protocolli sicuri e analisi rapida dei dati che possono far risparmiare tempo durante le indagini. Inoltre, se utilizzato con GrayKey, può anche analizzare i dati mentre vengono estratti, semplificando ulteriormente il processo.

Per saperne di più su come questa potente piattaforma può aiutarvi nelle vostre indagini, fate un tour del prodotto ed esplorate l’intera gamma di possibilità che ArtifactIQ ha da offrire.

*A partire dal 2 maggio 2023, ArtifactIQ supporta le seguenti applicazioni diterze parti: Facebook, Instagram, Snapchat, WhatsApp e Signal. Utilizzate la tabella delle applicazioni installate all’interno di ArtifactIQ per esaminare il livello di supporto offerto da ArtifactIQ. Per saperne di più sulla tabella delle applicazioni installate, visitate il sito support.grayshift.com.

© 2023. Grayshift, LLC. Tutti i diritti riservati. Riservato e confidenziale.