Identificazione della manomissione EXIF

3

È davvero impossibile rilevare le modifiche ai dati EXIF? Leggendo da questo link, sembra che non sia possibile rilevare le modifiche EXIF: link

Ho pensato che avrei dovuto porre la domanda in questo forum perché abbiamo più esperti di sicurezza qui. Non sono semplicemente convinto che non ci sia modo di identificare che un'informazione EXIF è stata manomessa. Conosci un modo per identificare le modifiche ai dati EXIF? Nel nostro caso le immagini sono prese con dispositivi mobili.

    
posta Oxon 22.06.2015 - 19:16
fonte

2 risposte

2

EXIF non può essere considerato affidabile.

I am just not convinced that there is no way to identify that an EXIF information has been tampered with.

È difficile dimostrare un aspetto negativo. Ma penso che siate proprio fortunati in questo mentre provate a provare che un file di testo ASCII non è stato alterato: non c'è modo di farlo.

Non possiedi la fotocamera, la videocamera è stupida e devi affidarti a qualcuno per farla funzionare.

Quindi, se quel qualcuno si trova alla fotocamera, la fotocamera non ha modo di dirlo. E nemmeno tu dopo.

Quindi, a meno che non vi siano alcune incongruenze grossolane in qualche luogo (es. EXIF dice "no flash fired" quando si tratta ovviamente di fotografia flash, ad esempio la posizione di segnalazione EXIF-GPS come Polo Nord quando ci sono palme nella foto, ecc.) non hai vero modo di scoprirlo.

Penso che EXIF è stato pensato per essere più di una caratteristica di comodità, piuttosto che una funzione di fiducia.

Quindi è molto simile al timbro data che alcune fotocamere analogiche usavano per mettere le foto: È bello avere ma facile da simulare se si imposta la fotocamera in modo sbagliato nella data desiderata o se si scatta una foto senza timestamp abilitata e quindi aggiungerne una quando si esegue una copia.

    
risposta data 24.10.2015 - 01:15
fonte
1

Con i dati del computer in generale ci sono solo due modi per essere in grado di rilevare la manomissione:

  • A: controlla se il tuo file / dati differisce dalla versione originale e non modificata. Ovviamente devi avere il file / i dati originali per questo.
  • B: controlla se l'hash del tuo file / dati è uguale a quello originale. È necessario disporre dell'hash originale per questo.

Anche se solo i metodi sopra riportati possono fornire una risposta verificabile valida in tribunale (poiché questo è il motivo principale dell'esistenza della scientifica - da cui il nome), è possibile fare ipotesi plausibili basate sui dati EXIF del file sconosciuto e contenuto.
(Ad esempio, i dati EXIF che affermano che l'immagine è stata scattata nel 2000 e l'immagine mostra chiaramente qualcosa che verificabile non esisteva in quel periodo potrebbe indicare che l'immagine è stata manomessa o potrebbe indicare che l'immagine è stata creata con un software che ha strane stranezze .)

    
risposta data 25.07.2015 - 15:57
fonte

Leggi altre domande sui tag