Identificando la manipulación EXIF

3

¿Es realmente imposible detectar cambios en los datos EXIF? Al leer este enlace, parece que no es posible detectar cambios EXIF: enlace

Pensé que debería hacer la pregunta en este foro, ya que tenemos más expertos en seguridad aquí. Simplemente no estoy convencido de que no haya manera de identificar que una información EXIF ha sido manipulada. ¿Conoces una forma de identificar cambios en los datos EXIF? En nuestro caso las imágenes se toman con dispositivos móviles.

    
pregunta Oxon 22.06.2015 - 19:16
fuente

2 respuestas

2

No se puede confiar en EXIF.

  

Simplemente no estoy convencido de que no haya manera de identificar que una información EXIF ha sido manipulada.

Es difícil demostrar que es negativo. Pero creo que tienes suerte aquí, ya que estás intentando probar que un archivo de texto ASCII no ha sido alterado: no hay forma de hacerlo.

Usted no posee la cámara, la cámara es tonta y tiene que depender de alguien para que la opere.

Entonces, si esa persona miente a la cámara, entonces la cámara no tiene forma de saberlo. Y tampoco tú lo has hecho después.

Entonces, a menos que haya algunas inconsistencias en alguna parte (por ejemplo, EXIF dice "sin flash" cuando es obviamente una fotografía con flash, por ejemplo, la ubicación de informes EXIF-GPS como el Polo Norte cuando hay palmeras en la imagen, etc.) no tiene Una forma real de averiguarlo.

Creo que EXIF estaba destinado a ser más una característica de conveniencia, en lugar de una característica de confianza.

Así que es bastante parecido al sello de fecha que usaban algunas cámaras analógicas para colocar fotos: Es bueno tenerlo pero es fácil de falsificar si configura la cámara en la fecha incorrecta a propósito o si toma una foto sin marca de tiempo y luego agrega una cuando hace una copia.

    
respondido por el StackzOfZtuff 24.10.2015 - 01:15
fuente
1

Con los datos de la computadora en general, solo hay dos formas de detectar manipulaciones:

  • A: Verifique si su archivo / datos difiere de la versión original y no probada. Obviamente, necesita tener el archivo / datos originales para esto.
  • B: Comprueba si el hash de tu archivo / datos es el mismo que el del original. Necesitas tener el hash original para esto.

Si bien solo los métodos anteriores pueden dar una buena respuesta verificable que se llevará a cabo en la corte (ya que esa es la razón principal de la existencia de datos forenses, de ahí el nombre), es posible realizar conjeturas basadas en los datos EXIF del archivo desconocido y el contenido.
(Por ejemplo, los datos EXIF que afirman que la imagen se tomó en 2000 y la imagen que muestra claramente algo que verificadamente no existía en ese momento podrían indicar que la imagen ha sido manipulada. O podría indicar que la imagen se creó con un software que tiene peculiaridades extrañas .)

    
respondido por el Wolfer 25.07.2015 - 15:57
fuente

Lea otras preguntas en las etiquetas