BlogForensics

Hack Like a Pro Digital Forensics para el aspirante a hacker, Parte 16 (Extracción de datos EXIF ​​de archivos de imagen)

¡Bienvenidos de nuevo, mis hackers novatos!

En muchos casos, cuando se confisca una computadora, teléfono o dispositivo móvil como prueba, el sistema tendrá imágenes gráficas que podrían usarse como prueba. Obviamente, en algunos casos estas imágenes gráficas pueden ser la evidencia, como en los casos de pornografía infantil. En otras situaciones, las imágenes gráficas pueden decirnos algo sobre dónde y cuándo el sospechoso estaba en algún lugar específico.

La mayoría de los dispositivos digitales “imprimen” información en estas imágenes gráficas que pueden decirnos mucho sobre quién, qué, cuándo y dónde se tomaron las fotografías. Esta información se conoce como datos EXIF ​​y muy a menudo puede ser útil para el investigador forense.

Datos EXIF

El formato de archivo de imagen intercambiable (EXIF) es un estándar establecido por la industria de las cámaras digitales para identificar formatos para imágenes digitales y archivos de sonido. Esta información incluye la configuración de la cámara, la hora, la fecha, la velocidad de obturación, la exposición, si se utilizó un flash, la compresión, el nombre de la cámara y otra información crítica para ver y editar la imagen en el software de edición de imágenes. Esta información también puede ser útil para el investigador forense.

Desarrollado originalmente para formatos de archivo JPG y JPEG, algunos otros formatos también usan datos EXIF, pero estos datos son no disponible para tipos de archivos de imagen PNG y GIF.

Tipos de imágenes gráficas

Existen numerosos formatos gráficos. Éstos incluyen:

  • PSD
  • JPEG
  • BMP
  • PELEA
  • PNG
  • GIF
  • BPG
  • JFIF
  • y muchos muchos mas

Existen numerosas aplicaciones que pueden extraer estos datos EXIF ​​de archivos gráficos. Casi todas las suites forenses más importantes (EnCase, FTK, Oxygen, etc.) tienen esta capacidad incorporada. Para este laboratorio, utilizaremos una herramienta simple basada en Windows llamada ExifReader (gratis).

Paso 1: Instale Exifreader

Una vez que tengas descargado ExifReader, haga clic en el ejecutable y se abrirá una GUI limpia y simple como la que se muestra a continuación.

Ahora, simplemente haga clic en el botón “Abrir” y busque las imágenes en el sistema o los medios. JPEG y JPG contienen la mayor cantidad de información, así que usémoslos.

Paso 2: abra un archivo de imagen

Cuando abre el archivo de imagen con ExifReader, cargará la imagen en la miniatura a la izquierda y mostrará los datos EXIF ​​a la derecha en la página.

Tenga en cuenta que la imagen en la computadora del sospechoso se tomó con un teléfono Samsung, modelo SCH-I535, y se tomó el 15 de marzo de 2014 a las 11:04 a. M.

Hay mucha otra información en los datos EXIF, pero la mayoría está relacionada con las especificaciones técnicas de la cámara y la fotografía. La mayor parte de esto tiene un valor limitado para el investigador forense.

Si el dispositivo tuviera GPS habilitado cuando se tomó la foto, sabríamos las coordenadas GPS exactas del lugar donde se tomó la foto.

Paso 3: extraiga EXIF ​​de otra foto

Probemos con otra imagen. Una vez más, será un archivo JPG. Cuando lo abrimos, lamentablemente no aparece la miniatura. Esto sucede con más de unas pocas imágenes, pero los datos EXIF ​​aún se muestran, incluso si la miniatura no lo hace.

Como puede ver a continuación, nos dice que la foto fue tomada por una cámara Nikon, modelo E3100, el 18 de febrero de 2007.

Paso 4: extracción de datos GPS

En esta imagen, veremos si podemos extraer los datos del GPS para la ubicación de donde se tomó la imagen.

Cuando extraemos los datos EXIF ​​de esta imagen, descubrimos que fue tomada con un iPhone de Apple. 4s el 25 de agosto de 2011 a las 9:27:36 am

Cerca de la parte inferior de los datos EXIF ​​podemos encontrar la información del GPS, expresada en latitud y longitud, ya que este iPhone de Apple tenía habilitados los servicios de ubicación. Ahora podemos tomar estos datos del EXIF ​​y ponerlos en Google Maps u otra aplicación de mapas para encontrar la ubicación exacta donde se tomó esta foto.

Google Maps revela que este sospechoso tomó esta foto en el Parque Nacional Yosemite en California, EE. UU.

Cuando los investigadores forenses tienen archivos de imágenes gráficas para trabajar, muy a menudo pueden encontrar información útil sobre el archivo y el sospechoso en los datos EXIF. Esta información incluye el fabricante y el tipo de la cámara, la hora en que se tomó la foto y tal vez incluso la ubicación donde se tomó la foto, toda información potencialmente útil en una investigación forense digital.

¡Sigan regresando, mis hackers novatos, mientras exploramos el análisis forense digital para mantenerlos a salvo!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar