domingo, 11 de diciembre de 2016

Análisis forense en imágenes digitales

Tal vez has escuchado nombrar a los metadatos; estos son información adicional sobre los datos. Por ejemplo, en una foto, nos permitirían saber el tipo de extensión del archivo, el tamaño y la fecha de creación, entre otros. EXIF son las abreviaturas de Exchangeable image file format. Es un estándar creado para almacenar metadatos de las fotos hechas con cámaras digitales. Esto significa que los datos EXIF contienen información relativa a la propia imagen y a cómo ha sido tomada.




El especialista en seguridad José Miguel Baltazar Gálvez, presentó el trabajo denominado “Identificación de la fuente generadora de una imagen digital”, un desarrollo del programa de Maestría en Seguridad y Tecnologías de Información del Instituto Politécnico Nacional, orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante el proceso de análisis forense. 

Procedimiento Operativo Estándar (POE), una propuesta para el analista El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:



Recomendaciones iniciales

En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.

Definición del escenario de trabajo

La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.

Técnicas de análisis y desarrollo

Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.

Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.

Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.


Reporte ejecutivo y técnico

La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Metadatos

Sucede que frecuentemente son utilizados por los ciberdelincuentes para obtener información acerca de una víctima. Para poder entender un poco mejor qué son exactamente los metadatos y cómo podrían ocasionar la fuga de información, los vamos a ilustrar con imágenes.




¿Una foto habla más de la cuenta? Si no se toman el recaudo necesario, sí: esta simple foto podría entregar información muy sensible a un atacante.

A continuación veremos qué información trae escondida nuestro “amiguito” amarillo:


Entre muchos otros datos se puede advertir, en primer lugar, la marca y el modelo del dispositivo con el que fue tomada la fotografía, y en segundo lugar, la fecha y hora exactas. La siguiente captura lo muestra en detalle:


Este tipo de información podría parecer simple y poco sensible, pero podría simplificarle las cosas a un atacante, ya que al saber el tipo de dispositivo que usa su posible víctima, podrá buscar los exploits adecuados, por ejemplo. En la captura anterior también puede observarse la versión de sistema operativo, lo cual lo conducirá a saber qué vulnerabilidades podrían afectar al equipo.
Sin embargo, la información más sensible en este caso es la ubicación geográfica, que revela la ubicación exacta del usuario:

Teniendo en cuenta la amplia conectividad móvil disponible hoy en día, es frecuente que las personas se saquen fotos estando de vacaciones y las suban a las redes sociales. Con esta información de GPS, un cibercriminal podría saber que quien tomó la foto está fuera de su casa.

Aprovechando los servicios gratuitos disponibles en Internet, como por ejemplo Google Maps, se pueden colocar las coordenadas para encontrar la ubicación en un mapa, como se muestra a continuación:



¿Cómo borro los metadatos en los archivos desde el PC?


En Windows puede borrarse esta información sin necesidad de aplicaciones de terceros, accediendo a las propiedades del archivo (con el botón derecho):


De esta forma podemos seleccionar qué información eliminar y cuál dejar asociada a la imagen, como se ve a continuación:


También existen herramientas gratuitas que se encargan de limpiar este tipo de información de los archivos; una de ellas es Exiftool.

ExifTool


ExifTool es un programa de software con el que podemos acceder y manipular los metadatos de una gran variedad de formatos (JPEG, PNG, MP3, PDF, WEBM, RAR, RTF, SWF, PDF, RAW,PSD o PSP…) incluyendo archivos de video, sonido, imágenes o texto. Es una plataforma construida sobre Perl y que se utiliza habitualmente desde linea de comandos.

ExifTool es compatible con muchos formatos de metadatos como EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, ICC Profile, Photoshop IRB, FlashPix, AFCP and ID3, también con las notcas de cámaras digitales como Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta, Konica, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony.

ExifTool también está disponible como un ejecutable independiente de Windows y un paquete de Macintosh OS X : (Tenga en cuenta que estas versiones contienen el ejecutable solamente, y no incluyen la documentación de HTML u otros archivos de la distribución completa más arriba).

El ejecutable de Windows independiente no requiere de Perl. Sólo tienes que descargar el archivo un-zip y luego hacer doble click en "exiftool (-k). Exepara leer la documentación de la aplicación, arrastrar y soltar los archivos y carpetas para ver la información de metadatoso cambiar el nombre a "exiftool.exepara uso de línea de comandosFunciona en todas las versiones de Windows (incluyendo Window 7)

El paquete OS X  se instala la aplicación de línea de comandos ExifTool y las bibliotecas en / usr / binDespués de la instalación, escriba "exiftoolen una ventana de terminal para funcionar exiftool y posteriormente lea la documentación de la aplicación.
  • Potente, rápido, flexible y personalizable.
  • Soporta un gran número de diferentes formatos de archivo.
  • Lee EXIF, GPS, IPTC, XMPJFIFMakerNotesGeoTIFF, ICC Profile, Photoshop IRB,  FlashPix, AFCPID3 y más ...
  • Escribe EXIF, GPS, IPTCXMPJFIFMakerNotes, ICC Profile, Photoshop IRBAFCP y más ...
  • Lee y escribe notas del fabricante de muchas cámaras digitales.
  • Decodifica un acertijo envuelto en un misterio dentro de un enigma.
  • Numerosas opciones de salida de formato (incluyendo delimitado por tabuladores, HTML, XML y JSON).
  • Salida de Multi-idioma (csde, en, en-ca, es-es, es, fi, fr, it, jako, nl, pl, ru, sv, tr, zh-CN o zh-tw).
  • Geoetiquetas imágenes de archivos de registro de seguimiento de GPS (con corrección de deriva vez!).
  • Genera registros de trazado de imágenes georeferenciadas.
  • Cambia los valores de fecha / hora de fijar las marcas de tiempo en imágenes.
  • Cambia el nombre de los archivos y organiza en directorios (por fecha o por cualquier otra meta información).
  • Extrae imágenes en miniaturavista previa de imágenes, y las grandes imágenes JPEG desde archivos RAW.
  • Copias meta información entre los archivos (incluso los archivos de diferente formato).
  • Lee / escribe datos XMP estructurada.
  • Elimina la información meta individualmente, en grupos o en conjunto.
  • Establece la fecha de modificación del archivo (y la fecha de creación de Windows) de la información EXIF.
  • Compatible con etiquetas en idiomas alternativos XMP, PNG, ID3, Font, QuickTime, ICC Profile, MIE y la información MXF.
  • Todo Procesos árboles de directorios.
  • Crea el archivo de salida de texto para cada archivo de imagen.
  • Crea binario formato de metadatos de sólo archivos (MIE) para copias de seguridad de metadatos.
  • Realiza automáticamente copias de imagen original al escribir.
  • Organiza la producción en grupos.
  • Procesos condicionalmente archivos basado en el valor de la información meta.
  • Posibilidad de añadir etiquetas definidas por el usuario personalizados.
  • El apoyo a las recomendaciones GTM (Grupo de Trabajo de Metadatos).
  • Reconoce miles de diferentes etiquetas.
  • Probado con imágenes de miles de diferentes modelos de cámara.
  • Advanced detallado y salidas de volcado hexadecimal en formato HTML.
exiftool [parametros] [nombre_archivo]
 Ejemplo:

Eliminar todos los metadatos de una imagen:
 exiftool -all= imagen.jpg

7 herramientas online para leer metadatos (Exif):


  • Jeffrey's Exif Viewer http://regex.info/exif.cgi: es una de las mejores herramientas que además de Exif, utiliza otros estándares para ver los metadatos de otro tipo de formatos.
  • Metapicz http://metapicz.com/#landing: ésta es de las que más me gusta. Es limpia, rápida y suele dar bastante información.
  • Online Exif Viewer http://exif-viewer.com/: muy sencilla, pero funciona bien.
  • Online photo EXIF metadata reader http://www.findexif.com/#results: lo que más me gusta de ésta es que organiza fenomenal el contenido, de manera que de un solo vistazo te mapea fenomenal todo lo que ha encontrado.
  • EXIF Viewer http://www.prodraw.net/online-tool/exif-viewer.php: el problema que tiene ésta es que sólo te permite cargar imágenes y no consultar directamente desde una url.
  • Exif Data http://exifdata.com/: lo más potente de ésta es que es rapidísima y también te presenta los datos de un modo muy ordenado, aunque en forma de lista hacia abajo. No es tan fácil ver el mapeo inicial porque hay que ir bajando el cursos. Pero bueno, para mi gusto, también es de las mejores.
  • Camera Summary http://camerasummary.com/: lo más importante de ésta es que no guardan ningún tipo de información sobre la fotografía que has consultado.Su valor añadido es la seguridad de la información de sus usuarios. Así que para nuestro trabajo es más que recomendable. El único problema es que antes tiene que bajarte la imagen porque no las pilla directamente desde las url. 

Herramientas de análisis de imágenes

Herramientas Linux
 
$ exiftool imagen.jpg
$ sudo apt install libimage-exiftool-perl
 
$ exif imagen.jpg
$ sudo apt install exif
 
$ identify -verbose imagen.jpg
$ sudo apt install imagemagick

Revisa los metadatos de una foto

Tanto las fotos como los vídeos que se toman con una cámara digital llevan asociados unos metadatos definidos por el estándar Exif, Exchangeable image file format. Estas etiquetas incluyen todo tipo de información sobre la imagen, como la cámara utilizada, la fecha y la hora de la captura, la configuración de la toma (apertura, velocidad del obturador, distancia focal...), la geolocalización (en el caso de un smartphone o una cámara con GPS) y los derechos de autor.



Tanto el explorador de archivos de Windows como Finder en Mac permiten visualizar el Exif de las imágenes con un clic derecho. En Windows hay que seleccionar “Propiedades” y luego “Detalles”, y en macOS “Obtener información” y “Más información”. Si prefieres hacerlo a través de la web, puedes utilizar Jeffrey’s Exif Viewer, que te permite subir una imagen desde el disco duro o introducir la URL de una foto que hayas visto en Internet.


Revisar el Exif puede ser muy útil para saber dónde, cuándo y cómo se hizo la foto, pero hay que tener en cuenta que los servidores de Facebook, Instagram, Twitter y muchos otros servicios eliminan los metadatos de las imágenes antes de publicarlos en la plataforma. Otros como Flickr y WhatsApp los mantienen.

Cómo saber rápidamente si una imagen de Internet es falsa


Una práctica funcionalidad de Google Imágenes la de poder buscar a partir de imágenes en vez de mediante texto. 

Así pues, en vez de escribir una palabra clave, se carga una imagen y los algoritmos de tales buscadores trabajan para dar con más imágenes iguales y/o similares; más claro aún: se buscan imágenes partiendo de otras imágenes.

Cada vez es más frecuente que nos intenten colar una foto falsa a través de Facebook, Twitter o WhatsApp. Algunas cuentan historias que nunca ocurrieron, como el día que John Lennon tocó la guitarra con el Che Guevara. Otras están sacadas de contexto para ilustrar una noticia que en realidad no sucedió.

Afortunadamente, lo que Internet te da, Internet te lo quita. En este caso no solo nos da el poder de engañar a la gente a través de las redes sociales, también nos da las herramientas necesarias para dejar en evidencia a esos embusteros. Gracias a Google y otros servicios podemos buscar una imagen en internet.

Te puede servir para saber:

  • Descubrir la fuente original de una imagen.
  • Averiguar la fecha aproximada en la que se creó o apareció por primera vez en la red.
  • Averiguar el autor de una fotografía.
  • Revisar si alguien ha usado imágenes de tu propiedad en otro sitio sin permiso.
  • Descubrir versiones manipuladas de las imágenes.

Te proponemos una serie de servicios y consejos para descubrir si esa imagen sospechosa que has visto por ahí es un montaje o no cuenta toda la verdad.
  
TinEye
TinEye es un motor de búsqueda de imágenes inversa. Se puede enviar una imagen para TinEye para averiguar de dónde viene, cómo se está utilizando, si existen versiones modificadas de la imagen, o para encontrar las versiones de mayor resolución.

Buscar por imágenes con Google


Cuando utilizas una imagen como elemento de búsqueda, podrás obtener los siguientes resultados:
  • Imágenes similares
  • Sitios que incluyen la imagen
  • Resultados de otros tamaños de la imagen utilizada para la búsqueda

Botón derecho encima de una imagen en el navegador Google Chrome:
  • Buscar imagen en Google
Para buscar una imagen más rápidamente tienes varias extensiones


En inglés se traduce como (reverse image search) y es tan fácil como arrastrar la imagen que queremos buscar en el buscador de Imágenes de Google:

Arrastrar y soltar 

 

Arrastra y suelta una imagen de la Web o de tu ordenador en el cuadro de búsqueda en images.google.com.





Vídeo Tutorial "Buscar por imagen"



Realiza una búsqueda inversa de la imagen

Una búsqueda inversa de la foto te ofrece el contexto en el que se publicó por primera vez. También sirve para descubrir si estás ante una versión manipulada de la imagen original, siempre que esta no esté demasiado cambiada.

Cómo hacer búsquedas inversas con Google

Hacer una búsqueda inversa en Google Imágenes es absurdamente fácil si usas Chrome: solo tienes que hacer clic con el botón derecho del ratón sobre la foto que vas a buscar y seleccionar “Buscar imagen en Google”. Puedes hacer lo mismo en Firefox si instalas la extensión de búsquedas por imagen de Google.


Para buscar una imagen desde otro navegador o con una foto que tengas descargada en local, ve a la página principal de Google Imágenes, haz clic sobre “Buscar por imagen” (el icono de la cámara) y arrastra la imagen o su URL.

Recuperar contraseñas pixeladas en capturas de pantalla 


Capturar pantallas con Greenshot, Shutter u otras herramientas y pixelar texto sensible suele estar a la orden del día.

Depix y Unredacter


Sipke Mellema ha diseñado un algoritmo y publicado una herramienta Depix en Github para ver en claro el texto pixelado. Básicamente este algoritmo se parece bastante en su base a otros que despixelan imágenes: la técnica consiste en pixelar caracteres similares y verificar si coinciden. 

Se trata de una secuencia De Bruijn de los caracteres esperados, con combinaciones de 2 caracteres porque algunos bloques pueden superponerse. Encontrar coincidencias adecuadas requiere que exista el bloque exacto de la misma configuración de píxeles en la imagen de búsqueda. Cuando nos encontramos más letras consecutivas los bloques de múltiples coincidencias circundantes se comparan luego para que estén a la misma distancia geométrica que en la imagen pixelada. Estas coincidencias se tratan también como correctas.

Una vez que los bloques correctos no tengan más coincidencias geométricas, generará todos los bloques correctos directamente. Para bloques de múltiples coincidencias, genera el promedio de todas las coincidencias.

Su salida no es ni de lejos perfecta, pero funciona bastante bien.

Fuentes:
http://www.welivesecurity.com/la-es/2014/05/13/metadatos-fotos-podrian-mostrar-mas/
http://blog.elhacker.net/2016/09/busqueda-inversa-de-imagenes-con-google-reverse-search-image.html
http://www.welivesecurity.com/la-es/2016/12/09/analisis-forense-imagenes-digitales/

7 comentarios:

  1. Esto solo funciona con imagenes originales? si fue editada con photoshop la imagen pierde todos los metadatos,no?

    ResponderEliminar
  2. Hola! busco algun profesional que me pueda dar el servicio de descifrar el texto que hay debajo de una foto tachada en azul. Esposible?

    ResponderEliminar
  3. Si está tachado (color sólido) no se puede, si el tapado es "blur", tipo degradado o borroso, entonces si, hay varias herramientas como Unredacter y otras: https://blog.elhacker.net/2022/02/nredacter-es-una-herramienta-gratuita-para-despixelar-imagen--fotos-textos-censurados.html

    ResponderEliminar