El anlisis forense de imgenes fotogrficas es una disciplina que se suele emplear frecuentemente en procesos judiciales. En determinados eventos criminales, una cmara fotogrfica y sus fotografas pueden ser evidencias que incriminen o eximan a un acusado en la comisin de un delito, y por tanto, es importante analizar las imgenes que contenga el dispositivo para poder obtener de ellas evidencias suficientes que sustenten una acusacin o una defensa ante un juez.

La informacin bsica de imagen suele ser la fecha de toma de la imagen, el fabricante de la cmara y el modelo de cmara utilizado. Esta informacin se puede deducir mediante la invocacin de las propiedades de una imagen. Cualquier sistema operativo lo permite (en Windows, por ejemplo, haciendo botn derecho --> propiedades sobre una imagen). Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos imagen a imagen, y que adems, permiten extraer mucha ms informacin.

Tambin veremos como cuando se toma una fotografa, existen muchos ms datos que se graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la fecha, el fabricante y el modelo no bastan, y quizs sea necesario deducir, por ejemplo, si dos imgenes han sido tomadas con la misma cmara o no. Un anlisis de metadatos puede proporcionarnos esta informacin.

Para la extraccin de metadatos de fotografas existen numerosos mtodos. Unos son ms sencillos de interpretar y otros producen resultados ms complejos. Veremos un par de ejemplos prcticos. Para ello utilizaremos una imagen disponible para todos, por ejemplo, esta imagen de Flickr que podis descargar aqu.


Extraccin bsica de metadatos mediante hachoir-metadata

Para instalar hachoir-metadata tenemos diversas opciones, segn el sistema que estemos empleando. Yo utilizo FreeBSD, y por tanto, para instalar desde ports basta con ejecutar en lnea de comandos:

Cdigo:
cd /usr/ports/sysutils/hachoir-metadata/ && make install clean
Ejecutamos hachoir sobre nuestra imagen

Cdigo:
nas# hachoir-metadata 95283121_f300f7d188_o.jpg
Obtenendose los siguientes resultados:

Cdigo:
Metadata:
- Image width: 800
- Image height: 533
- Image orientation: Horizontal (normal)
- Bits/pixel: 24
- Pixel format: YCbCr
- Compression rate: 21.4x
- Creation date: 2006-01-06 05:33:47
- Camera focal: 5.6
- Camera exposure: 1/125
- Camera model: Canon EOS 20D
- Camera manufacturer: Canon
- Compression: JPEG (Baseline)
- Comment: JPEG quality: 80%
- Format version: JFIF 1.01
- MIME type: image/jpeg
- Endian: Big endian
Como vis, nada fuera de lo normal. Es la informacin que cualquier gestor de ventanas puede sacar de una imagen mediante un "botn derecho--> propiedades" o similar. Vamos a complicar un poco ms las cosas.


Exif, Segmentos JPEG y extraccin mediante Perl

Este mtodo requiere que instalemos el mdulo Image::MetaData::JPEG. La extraccin la realizaremos con un sencillo script

Cdigo:
use Image::MetaData::JPEG;
 
my $image = new Image::MetaData::JPEG('95283121_f300f7d188_o.jpg');
die 'Error: ' . Image::MetaData::JPEG::Error() unless $image;
 
my @segments = $image->get_segments('COM', 'INDEXES');
 
	print $image->get_description();
 
die "Ejecucion finalizada\n";
Este script imprime en pantalla la totalidad de lo que se llaman segmentos JPEG. La salida del script es algo larga, y la tenis disponible aqu para que la consultis.

Sobre los segmentos no corresponde aqu ahora documentar qu es cada cosa, pero para que os hagis una idea, casi todas las cmaras digitales emplean Exif (Exchangeable image file format) a la hora de almacenar imgenes. Exif es un invento de JEIDA (Japan Electronic Industry Development Association) en un intento de normalizar el empleo de etiquetas a la hora de intercambiar ficheros de imgenes, y con el paso de los aos se ha convertido prcticamente en un estndar de facto. Esta especificacin es algo compleja y tediosa, con lo que no vamos a entrar en todos sus detalles. Tan slo basta con saber que Exif permite emplear etiquetas (marcadores) para almacenar datos crticos de una imagen, y que en virtud a Exif, una imagen digital comprimida se puede representar siempre acorde a una estructura de segmentos parecida a la siguiente:


Estos segmentos bsicos contienen la informacin mnima presente en un fichero comprimido de imagen JPEG, y es frecuente llamarlos marcadores.

As, el segmento 0xd8 SOI define el comienzo de la imagen (SOI, Start of Image), y como podis comprobar, es el primero en el dump de segmentos que hemos extrado. Por la misma lgica, debe existir un segmento que indique el final de la imagen, y estar al final del volcado. Ese segmento es 0xd9 EOI (EOI, End of Image)

En nuestro ejemplo, podemos comprobar que tras la definicin de inicio (SOI) aparece inmediatamente el segmento de aplicacin APP1 (0xe1). Dentro de APP1 encontramos subsegmentos relacionados con informacin tcnica de la imagen, y habilita al fabricante para introducir sus propios marcadores. As, APP1 --> IFD0 contiene datos bsicos para identificar la imagen, como fabricante, modelo o fecha de toma de la imagen:

Cdigo:
********** APP1 --> IFD0 ********** ( 9 records)
[ Make]<0x010f> = [ ASCII] "Canon".
[ Model]<0x0110> = [ ASCII] "Canon EOS 20D".
[ Orientation]<0x0112> = [ SHORT] 1
[ XResolution]<0x011a> = [ RATIONAL] 72/1
[ YResolution]<0x011b> = [ RATIONAL] 72/1
[ ResolutionUnit]<0x0128> = [ SHORT] 2
[ DateTime]<0x0132> = [ ASCII] "2006:01:06 05:33:47".
[ YCbCrPositioning]<0x0213> = [ SHORT] 2
[ SubIFD]< ......> = [REFERENCE] --> 0x822bda4
Otros subsegmentos APP derivados del anterior son APP1 --> IFD0 --> SubIFD, APP1 --> IFD0 --> SubIFD --> MakerNoteData_Canon y APP1 --> IFD0 --> SubIFD --> MakerNoteData_Canon --> special. Cada uno de ellos contiene informacin de diversa ndole, pero que permite identificar unvocamente a una imagen tomada en un instante de tiempo determinado por un modelo de cmara determinado.

Justo despus del marcador de aplicacin, y siguiendo el esquema Exif, debera aparecer el marcador DQT (Define Quantization Table), que define la tabla de cuantizacin. En nuestro ejemplo aparece como 0xdb DQT. As sucesivamente. El resto de marcadores aparecidos en nuestra imagen son DHT (Define Huffman Table), que aparece como 0xc4 DHT y SOS (Start of Scan), que aparece como 0xda SOS.

Otros marcadores hacen referencia a puntos especficos de Exif, como por ejemplo, la interoperabilidad. En nuestro ejemplo, recurriramos al marcador APP1 --> IFD0 --> SubIFD --> Interop, de donde obtenemos la informacin:

Cdigo:
InteroperabilityIndex <0x0001> = [ ASCII] "R98".
InteroperabilityVersion <0x0002> = [ UNDEF] '0100'
Este ndice de interoperabilidad suele estar a "R98" (nuestro ejemplo), indicando que la fotografa es conforme a la especificacin R98 de las recomendaciones de interoperabilidad Exif. Otras veces, estar en "THM", lo que indica que el fichero es conforme a las reglas DCF para "thumbnails" de previsualizacin.


Resumiendo

Como podis ver, la imagen responde a un estndar, y ese estndar permite conocer informacin relevante de todas las condiciones en las que se tom una fotografa determinada. El anlisis de esta informacin puede ser determinante a la hora de proporcionar evidencias digitales en la comisin de un delito, no slo por la cantidad de informacin de la que disponemos, sino porque mediante estas tcnicas podemos procesar cantidades elevadas de fotografas en poco tiempo al ser fcilmente automatizables.

Imaginaos (y perdonad por lo crudo del ejemplo) que un sujeto A es detenido en una investigacin de pedofilia. A este sujeto se le intervienen 10 fotografas de la vctima B, susceptibles de constitur un delito. Al sujeto A tambin se le interviene una cmara digital, con la que se han tomado las fotos de la vctima A. En paralelo, se detiene al sujeto C, al que se le intervienen otras 10 fotografas de otra vctima, a la que llamaremos D.

Si mediante un anlisis forense de las imgenes, y en virtud a los metadatos unvocos, determinamos que las fotografas de la vctima B han sido tomadas con la misma cmara que las fotografas de la vctima D, podramos relacionar a los sujetos A y C en la comisin del delito, ya que parecera lgico sospechar que el sujeto A ha realizado las fotos de las vctimas B y D, y el sujeto C ha obtenido de algn modo las imgenes del sujeto A.

Este tipo de relaciones, cuando se fundamentan en derecho, son las que sustentan las investigaciones criminales y permiten poner tras los barrotes a la gente que ha cometido delitos. El ejemplo que hemos puesto es slo un ejemplo ilustrativo de las muchas posibilidades de las que afortunadamente gozan las Fuerzas y Cuerpos de Seguridad del Estado para luchar no slo contra la pedofilia, sino contra muchos ms delitos en los que medie un elemento digital, en este caso, una cmara de fotos. Como podis imaginar, otra vez mediar un lpiz USB, un DVD, un CD o un disco duro. Cada medio ofrece un tipo de informacin, y la misin principal del investigador forense es extraer la informacin adecuada y pertinente para poder posteriormente relacionar a individuos con actividades delictivas.

Una tarea algo dura y complicada, pero reconfortante

Fuente: http://www.sahw.com/wp/