Curso 2010-2011 Análisis Forense De Imágenes De
Total Page:16
File Type:pdf, Size:1020Kb
TRABAJO FIN DE MÁSTER EN SISTEMAS INTELIGENTES CURSO 2010-2011 ANÁLISIS FORENSE DE IMÁGENES DE MÓVILES MEDIANTE EL USO DE METADATOS David Manuel Arenas González Director: Luis Javier García Villalba Departamento de Ingeniería del Software e Inteligencia Artificial Convocatoria: Septiembre de 2011 Calificación: Sobresaliente MÁSTER EN INVESTIGACIÓN EN INFORMÁTICA FACULTAD DE INFORMÁTICA UNIVERSIDAD COMPLUTENSE DE MADRID Autorización de Difusión El abajo firmante, matriculado en el Máster en Investigación en Informática de la Facultad de Informática, autoriza a la Universidad Complutense de Madrid (UCM) a difundir y utilizar con fines académicos, no comerciales y mencionando expresamente a su autor el presente Trabajo Fin de Máster: “Análisis Forense de Imágenes de Móviles Mediante el Uso de Metadatos”, realizado durante el curso académico 2010-2011 bajo la dirección de Luis Javier García Villalba en el Departamento de Ingeniería del Software e Inteligencia Artificial, y a la Biblioteca de la UCM a depositarlo en el Archivo Institucional E-Prints Complutense con el objeto de incrementar la difusión, uso e impacto del trabajo en Internet y garantizar su preservación y acceso a largo plazo. _______________________________ David Manuel Arenas González i Resumen Actualmente el número de cámaras fotográficas en dispositivos móviles crece a un ritmo imparable. Asimismo la calidad y prestaciones de las mismas hacen que sean de uso común, desbancando poco a poco a las Cámaras fotográficas digitales. Este escenario produce que el análisis forense de este tipo de imágenes cobre especial importancia y sea necesario y útil en multitud de situaciones (pruebas en casos judiciales, espionaje industrial, privación de la libertad de prensa, pederastia, etc). Dentro de las diversas ramas del análisis forense, este trabajo se centra en la adquisición de la fuente que produjo la imagen. Para ello se ha desarrollado una técnica que a partir de los metadatos Exif, permite en ciertos casos la obtención de la fuente (marca y modelo) con la que se realizó la fotografía. Asimismo se ha desarrollado una herramienta de ayuda al analista forense que permite diversas funciones complejas que ayudan al analista forense, como son los distintos tipos de consultas avanzadas sobre la información de los metadatos Exif de grandes conjuntos de imágenes o funciones de geoposicionamiento. Palabras clave Adquisición de la imagen, identificación de fuente, cámara de teléfonos móviles, Exif, metadatos, análisis forense, métodos forenses, clasificación de fotos. iii Abstract Currently the number of cameras in mobile devices is growing at an unstoppable rate. Also the quality and performance of the same make are in common use, edging slowly to Digital Cameras. This scenario causes the forensic analysis of such images is particularly important and necessary and useful in many situations (pruebas en casos judiciales, espionaje industrial, privación de la libertad de prensa, pederastia, etc.). Among the various branches of forensic analysis, this paper focuses on the acquisition of the source that produced the image. For this we have developed a technique based on Exif metadata, allows certain cases to obtain the power (make and model) with which the photo was taken. It has also developed a tool to help the forensic analyst allowing various complex functions that help the forensic analyst, such as different types of advanced queries on Exif metadata information of large sets of images or functions of geopositioning. Keywords Image adquisition, source identification, camera mobile phones, Exif, metadata, forensics analysis, forensic methods, photo classification. v Lista de acrónimos A-GPS Assisted Global Positioning System BMP Bit Mapped Picture CCD Charge-Copled Device CFA Color Filter Array CIPA Camera and Imaging Products Association CMOS Complementary Metal Oxide Semiconductor CMY Cyan-Magenta-Yellow CYGM Cyan-Yellow-Green-Magenta DCF Design rule for Camera File system DIP Digital Image Processor DSC Digital Still Camera EM Expectation Maximization EMS Enhanced Messaging Service EXIF Exchangeable Image File Format GA Genetic Algorithm GIF Graphics Interchange Format GRGB Green-Red-Green-Blue HTML HyperText Markup Language IFD Image File Directory vii IIM Information Interchange Model IPTC International Press Telecomunication Council IPTC-IIM International Press Telecomunication Council - Information Interchange Model JEITA Japan Electronics and Information Technology industries Association JFIF JPEG File Interchange Format JPEG Joint Photographic Expert Group KML Keyhole Markup Language MMS Multimedia Messaging System MP3 MPEG Audio Layer III MP4 MPEG-4 Part 14 PIL Python Imaging Library PNG Portable Network Graphics PNU Pixel Non-Uniformity PSD PhotoShop Document RDF W3C Resource Description Framework RGBE Red-Green-Blue-Emerald SMS Short Message Service SVM Support Vector Machine viii TIFF Tagged Image File Format WAV Waveform Audio Format XML Extensible Markup Language XMP eXtensible Metadata Platform ix ÍNDICE 1. INTRODUCCIÓN ................................................................................................................................ 1 1.1 OBJETO DE LA INVESTIGACIÓN ........................................................................................................... 2 1.2 TRABAJOS RELACIONADOS ................................................................................................................ 3 1.3 ESTRUCTURA DEL TRABAJO ............................................................................................................... 6 2. ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES .................................................................. 9 2.1. NECESIDAD DE ANÁLISIS FORENSE EN DISPOSITIVOS MÓVILES ........................................................... 9 2.2. ELEMENTOS INVOLUCRADOS EN LA ADQUISICIÓN Y CREACIÓN DE IMÁGENES ................................. 10 2.3. TÉCNICAS DE ANÁLISIS FORENSE DE IMÁGENES ............................................................................... 12 2.3.1. Técnicas basadas en la aberración de las lentes ...................................................................... 13 2.3.2. Técnicas basadas en el uso de las imperfecciones del sensor ................................................. 13 2.3.3. Técnicas basadas en el proceso de interpolación de la matriz CFA ........................................ 14 2.3.4. Técnicas basadas en las características de las imágenes ......................................................... 16 2.3.5. Técnicas basadas en metadatos ............................................................................................... 17 3. METADATOS EN IMÁGENES ....................................................................................................... 19 3.1. EXCHANGEABLE IMAGE FILE FORMAT (EXIF) ................................................................................. 21 3.1.1. Estructura general del formato JPEG ...................................................................................... 23 3.1.2. Estructura de datos Exif .......................................................................................................... 24 3.1.2.1. Image File Directory ........................................................................................................................ 27 3.1.3. Información thumbnail ........................................................................................................... 29 3.2. TAGGED IMAGE FILE FORMAT ........................................................................................................... 30 3.3. JPEG FILE INTERCHANGE FOMAT ..................................................................................................... 31 3.4. INTERNATIONAL PRESS TELECOMUNICATION COUNCIL ....................................................................... 31 3.5. EXTENSIBLE METADATA PLATFORM ................................................................................................... 32 4. ANÁLISIS BINARIO DE IMÁGENES DE DISPOSITIVOS MÓVILES .................................... 35 4.1. ANOMALÍAS EN EL SEGUIMIENTO DE LA ESPECIFICACIÓN EXIF ........................................................ 49 5. HERRAMIENTA PARA EL ANÁLISIS FORENSE DE IMÁGENES DE DISPOSITIVOS MÓVILES ................................................................................................................................................. 57 5.1. COMPARATIVA CON OTRAS HERRAMIENTAS .................................................................................... 58 5.1.1. PhotoInfoEx ............................................................................................................................ 58 5.1.2. JHead ...................................................................................................................................... 59 5.1.3. ExifTool .................................................................................................................................. 60 5.1.4. Exif Viewer............................................................................................................................. 60 5.1.5. ExifPro Image Viewer ............................................................................................................ 61 5.1.6. Conclusiones de la comparativa ............................................................................................. 62 6. ANÁLISIS DE UN BANCO DE IMÁGENES MEDIANTE LA HERRAMIENTA ....................