Como detectar se os metadados de uma foto foram alterados?

15

Houve um concurso de fotografia, limitado a apenas três dias de filmagem - mas a foto vencedora parecia um pouco fora de época.

Por isso, suspeito que o vencedor alterou os metadados da foto. Existe alguma maneira de detectar se foram feitas alterações nos metadados? Ou alguma maneira de reverter para os dados originais?

Kursat
fonte
dê uma olhada neste site para ver como é fácil alterar a data exif: askubuntu.com/questions/101688/…
woliveirajr 4/13/13
Mesmo que houvesse alguma maneira de ajudar, duvido que isso se aplique aos JPEGs e a todos os formatos brutos (Canon / Nikon etc.) do mundo.
dcaswell
@kursat Não sei ao certo o que você espera obter da recompensa aqui - você tem a resposta, que é um claro "não". Uma recompensa do Stack Exchange não vai mudar isso.
precisa
11
Lembre-se de que "fora de estação" pode ser alcançado estando em um local diferente. É verão na Argentina, enquanto é inverno nos EUA, por exemplo. Alterações de elevação e percipitação podem permitir o acesso a diferentes climas a distâncias relativamente pequenas.
Olin Lathrop
2
Por fim, alguém não precisa alterar seus dados EXIF ​​para fazer isso. Eles podem simplesmente mudar a data na câmera, tirar uma foto e alterar a data de volta.
dcaswell

Respostas:

12

Infelizmente, é impossível provar quando uma imagem (ou qualquer arquivo) foi originada. É possível (se o autor quiser) provar que um arquivo existia antes de um determinado momento, assinando o arquivo em um servidor de carimbo de data / hora de terceiros (através do qual o terceiro prova que o arquivo existia no momento da assinatura) mas essas informações não são automaticamente possíveis e podem ser facilmente removidas.

Eu também sou um responsável pela segurança de TI e não há uma maneira segura possível de provar a data de criação de qualquer arquivo se o usuário controlar o sistema que está criando o arquivo com a tecnologia atual que eu conheço. A melhor aposta seria um dispositivo com um relógio bloqueado que tivesse um armazenamento de chaves oculto ao qual o usuário não deveria ter acesso e criar uma assinatura com base nisso, para que não pudessem falsificar sua própria assinatura, mas como a chave deve ainda residem no dispositivo, ainda é possível que alguém quebre, pois todas as informações necessárias estão em sua posse, mesmo que seja difícil de acessar.

Quanto à detecção de um trabalho amador, geralmente há uma data de criação de arquivo nos metadados do próprio sistema de arquivos que pode ser examinada e comparada com os metadados EXIF, mas se eles forem bons nisso, eles terão alterado ambos e haverá alguma possibilidade de os valores do sistema de arquivos serem perdidos, dependendo de como o arquivo é transferido; portanto, pode até não ser confiável.

AJ Henderson
fonte
1

Se for bem feito, é absolutamente impossível detectar (são apenas bits em um arquivo). Se for feito de maneira grosseira, pode haver alguns sinais indicadores ... mas meu palpite pessoal seria que não foi adulterado e é apenas um bom fotógrafo.

Philip Kendall
fonte
1

Depois do fato, é bem difícil dizer, a menos que a imagem tenha sido postada em outro lugar com um carimbo de data / hora diferente ou algo nesse sentido. Lembre-se de que é sempre sempre primavera / verão / outono / inverno em algum lugar e, se forem globais, eles podem ter legitimamente capturado essa imagem (ou alterada para ficar dessa maneira, dependendo da política de edição desse concurso).

Para quem procura provar seu caso, caso se suspeite de violação, a Canon possui uma função personalizada em algumas câmeras para "adicionar dados de verificação de imagem", que basicamente assina cada imagem. Agora, isso não impedirá que alguém mude o tempo na câmera antes de tirar a foto, mas mostra se a imagem foi editada posteriormente. Isso não se destina a tipos criativos, mas a coisas que serão usadas como prova em tribunal e similares.

dez milhas
fonte
4
A verificação personalizada da Canon foi interrompida anos atrás. Existem ferramentas para redefinir a verificação após a modificação de um arquivo.
James Snell
Interessante; Eu não sabia disso, embora não possa dizer que estou surpreso.
Tenmiles
1

Se a única modificação no arquivo de imagem estiver relacionada ao campo EXIF ​​DateTime, isso poderá ser alterado facilmente sem deixar nenhum rastro. É possível verificar incompatibilidades no nível do sistema de arquivos: idealmente, o EXIF ​​DateTime deve corresponder ao horário da última modificação definido pelo sistema operacional, mas isso pode ser diferente por razões legítimas, como uma cópia de arquivo, e, em qualquer caso, pode ser simplesmente substituído por ferramentas apropriadas.

Se você acha que alguma outra modificação ocorreu no nível do pixel, isso geralmente é identificado pelas técnicas apropriadas. Você pode ver alguns exemplos de análise com uma ferramenta especializada para análise forense de imagens, como Amped Authenticate ( http://ampedsoftware.com/authenticate-samples - AVISO LEGAL: Eu sou o fundador da empresa).

martjno
fonte