BlogWonderHowTo

Cómo: obtener datos valiosos a partir de imágenes mediante extractores Exif

Los metadatos contenidos en imágenes y otros archivos pueden revelar mucha más información de lo que el usuario promedio podría pensar. Al engañar a un objetivo para que envíe una foto que contenga coordenadas GPS e información adicional, un pirata informático puede saber dónde vive o trabaja una marca simplemente extrayendo los datos Exif ocultos dentro del archivo de imagen.

Para los piratas informáticos o los investigadores de OSINT que recopilan evidencia digital, las fotos pueden ser una rica fuente de datos. Además de lo que se ve en la imagen en sí, los metadatos sobre cuándo y dónde se tomó la foto también se pueden recuperar. Estos datos pueden incluir el dispositivo en el que se tomó la foto, la geolocalización de la imagen y otras características únicas que pueden tomar la huella digital de una imagen que haya sido tomada por la misma persona o dispositivo.

Los metadatos, o los datos que describen archivos como imágenes o videos, son útiles durante el reconocimiento para los investigadores porque a menudo se pasan por alto por objetivos que de otra manera serían cuidadosos. Si las personas no saben qué tipo de datos se pueden retener en un formato de archivo en particular, no sabrán si se están poniendo en riesgo al hacer público un archivo específico. Si bien muchas plataformas de redes sociales han eliminado en gran medida este problema al eliminar los metadatos de los archivos, todavía hay muchas imágenes en línea con estos datos completamente intactos.

Datos Exif en imágenes

Los datos de formato de archivo de imagen intercambiable, o datos Exif, son información que acompaña a los archivos de imagen y ofrece muchos campos que se pueden completar o dejar en blanco. Los programas utilizan la información para comprender mejor lo que contiene el archivo para ayudar en la clasificación y otras funciones. Los campos de datos disponibles en Exif a menudo los escribe el dispositivo que tomó la imagen en el momento en que se tomó, pero también se pueden dejar procesando programas como Photoshop.

Debido a que a menudo podemos identificar el modelo de cámara utilizado, la configuración utilizada e información complementaria, como el propietario del software que realizó los cambios de Photoshop, es posible identificar imágenes que provienen de la misma fuente. Cuantos más campos Exif llene el dispositivo que tomó la imagen o el software que la procesó, más fácil será rastrear otros archivos creados por el mismo proceso.

La lista completa de campos que son compatibles con el estándar Exif es bastante extenso. Aparte de la información específica del fabricante, los campos como el nombre y la dirección del propietario se pueden completar con un software de procesamiento de imágenes sin que el autor sepa que cada imagen que produce contiene esta información.

Lo que necesitarás

Si bien un artículo anterior de Null Byte sobre datos Exif presenta una herramienta anticuada solo para Windows que todavía funciona, nos centraremos solo en un programa que está preinstalado en Kali Linux, así como en algunas herramientas que funcionarán en cualquier sistema correctamente. desde un navegador web.

Opción 1: usar la herramienta de línea de comandos Exif

Para empezar, usaremos el “exif“herramienta que viene preinstalada en Kali Linux. Este programa es la interfaz de línea de comandos para”libexif, “y solo funciona en tipos de archivo JPG. Para ver las opciones disponibles, podemos ejecutar el exif –ayuda comando para enumerar las opciones incluidas.

Si recibe un error o si está usando otro sistema operativo como Debian o Ubuntu, abra una nueva ventana de terminal y escriba apto instalar exif para instalar el programa y las dependencias necesarias. Del mismo modo, puede instalar esta herramienta escribiendo brew instalar exif en un dispositivo MacOS. Entonces intenta exif –ayuda otra vez.

Puedes usar hombre exif para ver aún más información sobre la herramienta.

~$ exif --help

Usage: exif [OPTION...] file
  -v, --version                   Display software version
  -i, --ids                       Show IDs instead of tag names
  -t, --tag=tag                   Select tag
      --ifd=IFD                   Select IFD
  -l, --list-tags                 List all EXIF tags
  -|, --show-mnote                Show contents of tag MakerNote
      --remove                    Remove tag or ifd
  -s, --show-description          Show description of tag
  -e, --extract-thumbnail         Extract thumbnail
  -r, --remove-thumbnail          Remove thumbnail
  -n, --insert-thumbnail=FILE     Insert FILE as thumbnail
      --no-fixup                  Do not fix existing tags in files
  -o, --output=FILE               Write data to FILE
      --set-value=STRING          Value of tag
  -c, --create-exif               Create EXIF data if not existing
  -m, --machine-readable          Output in a machine-readable (tab delimited) format
  -w, --width=WIDTH               Width of output
  -x, --xml-output                Output in a XML format
  -d, --debug                     Show debugging messages

Help options:
  -?, --help                      Show this help message
      --usage                     Display brief usage message

Si bien todas las opciones son mucho para procesar, la aplicación más sencilla de esta herramienta es escribir exif y luego la ruta al archivo que desea inspeccionar. A continuación, una foto que se procesó en Photoshop conserva información sobre el software que la modificó, la computadora en la que se modificó y la cámara en la que se tomó. Si recibe un error de “datos corruptos”, es posible que no haya metadatos en el archivo o que esté escaneando un archivo que no es JPG.

-$ exif /Users/skickar/Downloads/Vacaynev-28.jpg

EXIF tags in '/Users/skickar/Downloads/Vacaynev-28.jpg' ('Intel' byte order):
--------------------+----------------------------------------------------------
Tag                 |Value
--------------------+----------------------------------------------------------
Manufacturer        |Canon
Model               |Canon EOS 60D
X-Resolution        |300
Y-Resolution        |300
Resolution Unit     |Inch
Software            |Adobe Photoshop Lightroom 5.6 (Macintosh)
Date and Time       |2016:11:25 17:45:11
Compression         |JPEG compression
X-Resolution        |72
Y-Resolution        |72
Resolution Unit     |Inch
Exposure Time       |1/100 sec.
F-Number            |f/4.0
Exposure Program    |Manual
ISO Speed Ratings   |640
Exif Version        |Exif Version 2.3
Date and Time (Origi|2016:11:25 02:56:54
Date and Time (Digit|2016:11:25 02:56:54
Shutter Speed       |6.64 EV (1/99 sec.)
Aperture            |4.00 EV (f/4.0)
Exposure Bias       |0.00 EV
Maximum Aperture Val|3.00 EV (f/2.8)
Metering Mode       |Pattern
Flash               |Flash did not fire, compulsory flash mode
Focal Length        |17.0 mm
Sub-second Time (Ori|00
Sub-second Time (Dig|00
Color Space         |sRGB
Focal Plane X-Resolu|5728.177
Focal Plane Y-Resolu|5808.403
Focal Plane Resoluti|Inch
Custom Rendered     |Normal process
Exposure Mode       |Manual exposure
White Balance       |Auto white balance
Scene Capture Type  |Standard
FlashPixVersion     |FlashPix Version 1.0
--------------------+----------------------------------------------------------
EXIF data contains a thumbnail (16091 bytes).

La información también puede incluir datos de geolocalización, como coordenadas exactas, que proporciona el dispositivo que tomó la foto. Si la foto se tomó con un teléfono, hay muchas más posibilidades de que incluya geoetiquetas.

Como se muestra en el resultado anterior, hemos aprendido que la persona que creó este archivo está utilizando un Canon EOS 60D cámara, tiene una lente con una distancia focal de 17,0 mm, trabajó en el archivo en Lightroom y utiliza una computadora Mac. ¡Eso es mucho de un simple archivo de imagen!

Opción 2: utilice la aplicación web Visor de metadatos de imagen de Jeffrey

Si está utilizando un navegador, hay dos excelentes sitios web gratuitos para extraer datos Exif. Primero, comencemos con el visor de metadatos de imagen de Jeffrey Friedl en exif.regex.info. El sitio no usa HTTPS, desafortunadamente. Si eso no le importa, puede ver que el diseño simple es fácil de usar y admite una amplia variedad de formatos, a diferencia de la herramienta de línea de comandos que solo funciona con archivos JPG. Por lo tanto, puede escanear archivos de imágenes RAW como CR2 y DNG, PNG y TIFF, por nombrar algunos.

Cargue un archivo o agregue su URL pública, verifique el CAPTCHA y presione “Ver datos de imagen”.

Una vez que escanee un archivo, debería ver una cantidad decente de información si proviene de un teléfono inteligente. En mi ejemplo a continuación, una foto de más de dos años contenía una ubicación GPS.

La cantidad real de datos capturados ocupa varias páginas y es bastante extensa.

EXIF

Make    samsung
Camera Model Name   SM-G920I
Software    G920IDVS3EPK1
Modify Date 2016:12:13 12:56:36
2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago
Y Cb Cr Positioning Centered
Exposure Time   1/24
F Number    1.90
Exposure Program    Program AE
ISO 200
Exif Version    0220
Date/Time Original  2016:12:13 12:56:36
2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago
Create Date 2016:12:13 12:56:36
2 years, 3 months, 18 days, 15 hours, 41 minutes, 18 seconds ago
Shutter Speed Value 1/24
Aperture Value  1.90
Brightness Value    0.27
Exposure Compensation   0
Max Aperture Value  1.9
Metering Mode   Spot
Flash   No Flash
Focal Length    4.3 mm
Image Size  5,312 × 2,988
Maker Note Unknown  (98 bytes binary data)
User Comment
Flashpix Version    0100
Color Space sRGB
Exposure Mode   Auto
White Balance   Auto
Focal Length In 35mm Format 28 mm
Scene Capture Type  Standard
Image Unique ID A16LLIC08SM A16LLIL02GM
GPS Version ID  2.2.0.0
GPS Latitude Ref    North
GPS Latitude    34.040833 degrees
GPS Longitude Ref   West
GPS Longitude   118.255000 degrees
GPS Altitude Ref    Below Sea Level
GPS Altitude    0 m
GPS Time Stamp  20:56:27
GPS Date Stamp  2016:12:13
2 years, 3 months, 19 days, 4 hours, 37 minutes, 54 seconds ago
Image Width 512
Image Height    288
Compression JPEG (old-style)
Orientation Rotate 90 CW
Resolution  72 pixels/inch
Thumbnail Length    11,484
Thumbnail Image (11,484 bytes binary data)
MakerNotes

Unknown 0x0001  0,100
Unknown 0x0002  73,728
Unknown 0x000c  0
Unknown 0x0010  undef
Unknown 0x0040  0
Unknown 0x0050  1
Unknown 0x0100  0
Samsung Trailer 0x0a01 Name Image_UTC_Data
Time Stamp  2016:12:13 12:56:36-08:00
2 years, 3 months, 18 days, 14 hours, 41 minutes, 18 seconds ago
File — basic information derived from the file.

File Type   JPEG
MIME Type   image/jpeg
Exif Byte Order Little-endian (Intel, II)
Encoding Process    Baseline DCT, Huffman coding
Bits Per Sample 8
Color Components    3
File Size   3.5 MB
File Type Extension jpg
Image Size  5,312 × 2,988
Y Cb Cr Sub Sampling    YCbCr4:2:2 (2 1)
Composite
This block of data is computed based upon other items. Some of it may be wildly incorrect, especially if the image has been resized.

GPS Latitude    34.040833 degrees N
GPS Longitude   118.255000 degrees W
GPS Altitude    0 m Above Sea Level
Aperture    1.90
GPS Date/Time   2016:12:13 20:56:27Z
2 years, 3 months, 18 days, 14 hours, 41 minutes, 27 seconds ago
GPS Position    34.040833 degrees N, 118.255000 degrees W
Megapixels  15.9
Shutter Speed   1/24
Light Value 5.4
Scale Factor To 35 mm Equivalent    6.5
Circle Of Confusion 0.005 mm
Field Of View   65.5 deg
Focal Length    4.3 mm (35 mm equivalent: 28.0 mm)
Hyperfocal Distance 2.11 m

Opción 3: use la aplicación web de Ver Exif

Nuestro segundo sitio web, Ver Exif en verexif.com, escupe todos los datos Exif después de un escaneo, pero también viene con una opción para quitar los metadatos de las imágenes. Eliminar los metadatos es útil si desea asegurarse de que una imagen que está enviando no contenga datos que no tenía la intención de enviar.

Para ver la información Exif, cargue un archivo o agregue su URL pública, luego presione “Ver Exif”. En mi ejemplo, al pasar la misma foto a este sitio web, el resultado es mucho menor, pero genera un mapa útil de dónde se tomó la foto. La información es precisa, pero no es un volcado de datos tan grande como la aplicación web Image Metadata Viewer.

Curiosamente, después de pasar la foto de prueba a través de la opción de datos “Eliminar Exif”, la cargué en el primer sitio web para ver si realmente se eliminaron los metadatos. Resulta que todavía puedo decir que se tomó en un dispositivo Samsung, por lo que no recomiendo usar esta herramienta para eliminar los metadatos de sus fotos.

Opción 4: use la extensión EXIF ​​Viewer Chrome

En Google Chrome, puede instalar la extensión EXIF ​​Viewer, que le permitirá obtener los datos Exif de cualquier foto que cargue en el navegador.

Usar complementos del navegador para extraer datos Exif es incluso más simple que usar una herramienta basada en web. Después de instalar y habilitar el complemento, podemos hacer clic derecho en cualquier imagen en el navegador y seleccionar “Mostrar datos EXIF” para revelar cualquier información que contenga la imagen.

Para probar esto, encontré una imagen aleatoria en un sitio web para compartir fotos y revisé los metadatos proporcionados por EXIF ​​Viewer para encontrar el tipo de cámara que se usó para tomarla.

Opción 5: use el complemento Exif Viewer Firefox

Tu también podrías instalar el complemento Exif Viewer para Firefox, desarrollado por Alan Raskin, que permite una funcionalidad similar a la extensión de Chrome anterior. Después de instalar y habilitar el complemento, haga clic derecho en una imagen en su navegador, luego haga clic en “Exif Viewer”.

Aparece una ventana emergente, donde hay una gran cantidad de metadatos para clasificar. Puede ver el enlace a la imagen; en la sección de GPS, obtienes enlaces para abrir la ubicación en Google Maps, Bing Maps y Mapquest; y toda la otra información útil en los datos Exif.

En general, las extensiones del navegador son una excelente manera de abordar la extracción de datos Exif, porque también puede abrir fotos en una ventana del navegador y usar una extensión para leer los datos que contiene.

Los metadatos revelan la historia detrás de una foto

Si bien una foto puede proporcionar información valiosa, el valor real puede estar en lo que está codificado en los metadatos. Acceder a estos datos es más fácil que nunca, por lo que es esencial estar al tanto de la información que puede estar revelando cuando envía una foto.

Si bien muchas plataformas de redes sociales y servicios de alojamiento de fotos le hacen el favor de eliminar estos datos, no todos lo hacen. Es importante asegurarse de que no está filtrando estos datos si no tiene la intención, y estas herramientas pueden ayudarlo a identificar rápidamente cualquier forma en que pueda estar filtrando su ubicación u otros datos privados en las fotos que desea compartir en línea. Más importante aún, asegúrese de deshabilitar la codificación geográfica en su teléfono si no desea que se graben las coordenadas GPS en cada imagen que tome.

¡Espero que haya disfrutado de esta guía para extraer metadatos ocultos de archivos de imagen! Si tiene alguna pregunta sobre este tutorial sobre la imagen OSINT o tiene un comentario, pregunte a continuación o no dude en comunicarse conmigo en Twitter @KodyKinzie.

Foto de portada de Justin Meyers / Null Byte; Capturas de pantalla de Kody / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar