Aunque mi compañero akil3s ya os hablo en Agosto de datos EXIF o metadatos en "Principios forenses (básicos) II La información EXIF", yo hoy voy a tratar de ampliar un poquito más esa información y a hablaros de una herramienta forense que se llama Exiftool y que la usaremos para extraer, crear, borrar y modificar metadatos.
Hoy voy a explicar su uso en Linux. (Proximamente haré demostración de su uso en Windows y en Mac OS X). Todos los comandos usados en esta entrada están recogidos en este pastebin para el que quiera tener en formato texto todos los comandos.
Lo primero que vamos a hacer es descargar e instalar la herramienta, por lo que necesitamos tener permisos root (sudo) y conexión a internet. Acto seguido escribiremos la siguiente línea de comandos para ello:
apt-get install libimage-exiftool-perl:
apt-get install libimage-exiftool-perl:
Una vez hecho esto, se descargará y se instalará la herramienta en nuestro sistema.
Tenemos todo listo y estamos preparados... ¡COMENZAMOS!
Extracción de metadatos
Vamos a usar la herramienta con una imagen, tan sólo debemos elegir la imagen, en este caso es una foto tomada con un teléfono móvil y usaremos la siguiente línea de comandos.
Dónde exiftool es la herramienta y foto.jpg es la imagen.
Ejecutamos la línea de comandos:
1. Fecha y hora de modificación del fichero y fecha y hora de acceso al fichero.
2. Tipo de fichero, en este caso es una imagen JPEG.
3. Marca y modelo del dispositivo con el que se realizó dicha imagen.
4. Fecha y hora de la captura de la imagen.
5. Si la foto fue tomada con flash, en este caso podemos ver que sí se utilizó.
6. Tamaño en píxeles de la imagen.
Hay muchísimos otros metadatos interesantes que no están en esta imagen... Por ejemplo:
La localización de la cámara del teléfono móvil estaba desactivada, por lo que de haber estado activada tendríamos acceso a las coordenadas exactas de dónde se tomo dicha fotografía.
* También podemos volcar los metadatos en un documento de texto para posteriormente revisarlos.
Para hacerlo, basta con escribir la misma línea de comandos que para extraer los metadatos pero añadiendo un ">" después del nombre de la imagen y un nombre para el documento de texto:
Crear metadatos
Para crear metadatos basta con escribir el "tag" que queremos crear. En este caso le añadimos el metadato copyright, para lo que usaremos la siguiente línea de comandos.
Comprobamos que hemos creado el metadato correctamente:
* Aunque nos ha cambiado la fecha y hora de acceso y modificación.
Modificar los metadatos
En este caso modificaremos la marca y modelo del dispositivo mediante el cual se ha tomado la fotografía.
Usaremos el comando -exif:
Make: Marca
Model: Modelo
Ejecutamos el comando para extraer los metadatos y...
- ¡Oye que esta foto estaba tomada con un Sony Ericsson SK17i!
- ¿Qué dices?, pero si la tomé yo con mi iPhone 5S.
* Aunque nos ha cambiado la fecha y hora de acceso y modificación.
Eliminar los metadatos
Bien, una vez que hemos aprendido a extraer, crear y modificar los metadatos, vamos a borrarlos.
Usando la siguiente línea de comandos:
Dónde -all= significa que vamos a borrar todos los metadatos.
Volvemos a ejecutar la línea de comandos de extracción, pero...
¡HAN DESAPARECIDO LOS METADATOS!
* Eso sí, nos ha vuelto a cambiar la fecha y hora de acceso y modificación.
Espero que os sea útil.
David Avilés, (Davinoide)
