Анализ модифицированных цифровых фотоизображений с помощью открытого программного обеспечения

DOI:

Согласно приказу Министерства Юстиции от 27.12.2012 г., № 237 структурными элементами рода «фототехническая экспертиза» являются два вида судебных экспертиз: фотографических изображений и материалов фотоснимков.

Каждый из видов судебной фототехнической экспертизы связан с решением определенного круга задач [6; 9].

Так, например, к идентификационным задачам относится: идентификация съемочной аппаратуры. Эта задача включает в себя установление типа, модели и отождествление конкретного экземпляра фотокамеры, репродукционного аппарата, сканирующего устройства по фотоснимку. В цифровой фотографии для идентификации съемочной техники наряду с фотоснимком используется исходное изображение в виде графического файла. Для анализа привлекаются служебные данные-метаданные, которые сохраняются в EXIF-разделе файла.

EXIF (Exchangeable Image File Format) – стандарт, позволяющий добавлять к изображениям и аудиофайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения, авторство. Получил широкое распространение в связи с появлением цифровых фотокамер. Информация, записанная в этом формате, может использоваться как пользователем, так и различными устройствами (например, принтером для прямой печати с фотоаппарата) [1; 4; 5].

Теги с метаданными, включенные в стандарт Exif, позволяют:

• –    увидеть съемочные настройки фотоаппарата для файла изображения;

• –    найти дату последнего вмешательства в целостность изображения;

• –    точные координаты места съемки при наличии данной функции у фотокамеры;

• –    установить в случае вмешательства в целостность изображения программное обеспечение, которым оно было произведено.

Возможность видеть эти метаданные имеет большое значение в фототехнической экспертизе, так как именно они позволяют узнать, какие настройки и инструменты использовались для создания или корректировки конкретной фотографии. К сожалению, един- ственным для веб-сайта форматом файла, который может обрабатывать EXIF, является JPEG, поэтому увидеть данные таких форматов как GIF и PNG невозможно. Кроме того, чтобы скрыть следы преступления, в рамках уголовного дела, мошенники предпочитают удалять EXIF данные со своих фотографий. Тем самым они скрывают свой стиль съемки, корректируют изображения с помощью фоторедакторов или удаляют все метаданные, тем самым усложняя работу эксперта [3; 7; 8].

Вторым из наиболее распространенных для файлов изображений, в частности – фотографий форматом метаданных можно назвать разработанную Расширяемую Платформу Метаданных, Adobe Extensible Metadata Platform (XMP), официальный сайт которой, тоже на английском. Главное его отличие от EXIF заключается в том, что метаданные записываются не в сам файл изображения, а в отдельный, сопутствующий ему файл с расширением XMP. XMP-метаданные, как правило, автоматически создают программы, обрабатывающие RAW-файлы. Например, Adobe Camera Raw, работающий как плагин Photoshop’а или от той же Adobe – Lightroom. Понимает и поддерживает XMP и входящий в пакеты C3 и C4 Adobe Bridge, служащий «мостиком» для передачи файлов изображений из одного приложения в другое. Главное удовольствие, доставляемое XMP-форматом – то, что в нем записываются все операции, которые вы проводили с RAW-файлом, при том, что сам файл остается в полной неприкосновенности. XMP-файл по существу является текстовым [2].

Одной из важной особенности метаданных является их упорядоченная структура. Информация точно отнесена к категории и содержит конкретный формат. Так, категорию времени создания можно заполнить только с помощью формата записи даты и времени.

Благодаря структурированному виду, метаданные доступны для чтения не только человеком, но и компьютерами. Таким образом, метаданные могут быть обработаны машинным методом и использованы для различных целей: индексация, поиск, объединение.

Существует несколько возможностей вносить изменения в полученные цифровые изображения. Одна из них – это внесение изменений в само изображение при помощи графических редакторов, либо с помощью стандарта Exif- добавить или изменить информацию о файле, содержащем графическое изображение.

Существует множество программ по работе с метаданными, одна из самых популярных Exiftool – простой и доступный способ добавить метаданные о географическом расположении, как в файлы цифровых фотографий, так и в файлы видео.

ExifTool – встраиваемая Perl библиотека и консольная утилита для просмотра, редактирования и создания метаданных у множества форматов файлов.

Удалить конкретные геотеги через пустое значение. Например, правильным считается при публикации фотографий в интернете удалить из них геотэги. Примечание: между двумя одинарными кавычками -geotag=” должно быть пустое значение, а не пробел.

И наоборот, например, установить долготу и широту в метаданных цифрового фотоснимка можно с помощью параметров -GPS Longitude и -GPS Latitude соответственно.

ExifTool может работать с GPS-треками, в результате чего можно синхронизировать координаты GPS-трека и время создания фотоснимка. То есть, если во время фотосъtмок создавался GPS-трек, то из него с помощью ExifTool можно автоматически извлечь геокоординаты, соответствующие времени создания снимка, и записать их в метаданные фотографии.

Так же для проверки подлинности фотоизображения существует такой бесплатный сервис как FotoForensics. Сервис FotoForensics разрабатывался для судебных экспертов и переводится на русский как фотокриминалистика. Инструмент будет полезен всем, кто работает с пользовательским контентом: редакциям, журналистам, фактчекерам, блогерам, SMM-специалистам.

FotoForensics использует метод ELA (error level analysis – анализ уровня ошибок), FotoForensics имеет свои четкие требования к снимкам:

• 1.    Сервис воспринимает файлы с расширениями: JPEG, PNG или WebP.

• 2.    Максимальный размер файла 8 Мб.

• 3.    Размер фотографий – не менее 100 х 100 и не более 10 000 х 10 000 пикселей.

Cервис поддерживает все современные браузеры. Сложности возникают с Apple Mobile Safari, который модифицирует изображение, загружаемое с устройства, – в этом случае выбирается способ загрузки изображения c помощью URL.

FotoForensics может позволить установить подлинность фотографий, но не дает точную гарантию. Разработчики сервиса предупреждают, что не несут ответственности за выводы о постобработке, которые делают пользователи. Они призывают при анализе собирать как можно больше информации, обращать внимание на детали и сопоставлять оригинал снимка с проанализированным изображением.

Методика проведения исследования

Открываем свойства цифрового изображения, раздел «Подробно» (см. рис. 3).

Проведя исследование полученных метаданных можно понять, что появились новые данные (рис. 6). Так как имеется информация о программном обеспечении, которое применялось для изменения, а также дата и время внесения корректировок: 2020:05:05; 12:59:22, то для фототехнической экспертизы эти метаданные являются целью выявление на фотоснимке монтажа или ретуши.

Рис. 1. Цифровое изображение до изменений

Рис. 2. Метаданные изображения «IMG_2054 (2)» до редактирования в разделе «подробно»

Рис. 3. Метаданные изображения «IMG_2054 (2)» до редактирования с использованием программы ExifTool

Рис. 4. Цифровое изображение после изменений в программе Paint. net

Рис. 5. Метаданные изображения «IMG_2054» после редактирования в разделе «подробно»

Рис. 6. Метаданные изображения после редактирования с использованием программы ExifTool

Для сравнения были использованы две фотографии. На исходном изображении (рис. 7) в правом нижнем углу изображена скамейка с людьми. Программным пакетом Adobe Photoshop версии CS6 выполняем заливку с последующей заменой и удаляем скамейку с помощью инструмента штамп.

Исследуемый объект (ботанический сад) фиксируем с помощью камеры смартфона Apple iPhone 7.

Открываем свойства цифрового изображения, раздел «Подробно» (рис. 8).

• •    Размеры: 4032 х 3024.

• •    Ширина: 4032 пикселей.

• •    Высота: 3024 пикселей.

• •    Горизонтальное разрешение: 72 точек на дюйм.

• •    Разрешение по вертикали: 72 точек на дюйм.

  

  Рис. 7. Цифровое изображение Ботанического сада до редактирования

  
  

  Свойство

  Источник

  Авторы

  Дата съемки

  Имя программы

  Дата приобретения

  Авторские права

  Изображение

  Код изображения

  Размеры

  Ширина

  Высота

  Горизонтальное разреше... Разрешение по вертикали Глубина цвета

  Сжатие

  Единица разрешения Представление цвета Сжатие, бит на пиксель

  
  

  Значение

  
  

  22.04.2019 15:58

  12.2

  
  

  4032 x 3024

  4032 пикселей

  3024 пикселей

  72 точек на дюйм

  72 точек на дюйм

  Не откалибровано

  
  

Рис. 8. Метаданные изображения до редактирования, раздел «подробно»

• •    Глубина цвета: 24.

• •    Единица разрешения: 2.

• •    Представление цвета: не откалибровано.

Открываем свойства цифрового изображения, раздел «подробно» (рис. 10).

• •    Размеры: 960 х 1280.

• •    Ширина: 960 пикселей.

• •    Высота: 1280 пикселей.

• •    Горизонтальное разрешение: 72 точек на дюйм.

• •    Разрешение по вертикали: 72 точек на дюйм.

• •    Глубина цвета: 24.

Сравнив метаданные, приведенные к обоим изображениям (см. рис. 7, 9), можно заметить новые строки, в которых указано программное обеспечение (которое использовалось для редактирования), дата / время редактирования – 18.05.2019 16:37, а также изменения в размере фотоизображения. Проанализировав два фоторедактора, а именно Adobe

Рис. 9. Цифровое изображение Ботанического сада после редактирования

Общие Безопасность Подробно

Свойство                 Значение                 А

Описание

Название

Комментарии

Источник

Дата съемки             18.05 2019 16:37

Имя программы           Adobe Photoshop CS6..

Дата приобретения

Авторские права

Изображение

Код изображения Размеры               960 х 1280

Ширима                  960 пикселей

Высота                   1280 пикселей

Удаление сеойств и личной информации

ОК Отмена | Применить |

Рис. 10. Метаданные изображения после редактирования в разделе «подробно»

Для фототехнической экспертизы метаданные являются целью выявление на фотоснимке монтажа или ретуши, как можно увидеть выше, из проанализированных изображений, то с помощью Exif можно увидеть какие конкретные изменения были внесены, для изменения подлинности фотоснимка.

Imago – это инструмент метаданных на Python, который может извлекать доказательства из изображений. Эта программа может быть использована для цифрового расследования и с целью выявления изменения на фотоснимке [2].

Если в формате JPEG присутствует геопозиция, то программное обеспечение Imago может получить информацию о том, где была сделана фотография, а именно страна, город, почтовый индекс (рис. 11; 12).

Прежде чем воспользоваться программным обеспечением Imago, необходимо отредактировать цифровое изображение в фоторедакторе, например, с использованием GIMP.

GIMP – это бесплатное программное обеспечение со свободным и открытым исходным кодом для редактирования изображений. Основная особенность фоторедактора GIMP заключается в том, что он не является заменителем Photoshop, так как Photoshop не поддерживает операционную систему Linux.

Далее запускается программа Imago и с помощью специальных команд, последова- га                          dan@dan-B4SO-AORUS-PRO: - Q =   - О X usage: tnago [-h] -I INPUT [-x] [-g] [-e] [-n] [-d (nd5,sha256,sha512,all}] [-p (abash,phash,dhash,whash,all}] [-0 OUTPUT] [-s] [-t (jpeg,tiff}]

tnago: error: argument -I/--Input Is required dan@dan-B4SO-AORUS-PRO:~$ tnago -t /hone/dan/opt -0 /hone/dan/opt -x -s -t jpeg -d all nn«nms»»mm»nn#n8tto»uni№u»wn$nutnitiunu#int$«»8»

8 Made with <3 by Matteo Redaellt

8 Twitter: gsolventred

Processing /hone/dan/opt/DSC04670 (l).JPC

Extraction of baste tnfornatton: /hone/dan/opt/DSC04670 (l).JPG

Calculating ndS of: /hone/dan/opt/DSC04670 (l).JPG

Рис. 11. Команды, используемые в терминале, для получения сравнения с помощью инструмента Imago

А            В C    ____________D____________ E                   F

• 1    filename        MIME     Size_Bytes Last_Modification_Time_UTC Last_Access_Time_UTC Creation_Time_UTC r

• 2    DSC046701.JPG image/jpeg 7536640 2013-11-12 23:33*12 * 2020*05-05 1*7:07:2*2 2020-05-05 17117:09!

• 3    lDSCC4670.jpg image/jpeg   3805023 |2020-05-05 17:06:37       , 2020-05-05 17:07:22    2020-05-05 17:07:09c

Рис. 12. Свойства цифрового изображения из конструктора Imago и          V           W          X           Y                Z          AA        AB            AC           AD            AE

Software ExiflmageWidth ISOSpeedRatings YResolution InteroperabilityVersion FocalLengthln35mmFilm Model Orientation DateTimeOriginal YCbCrPositioning InteroperabilityOffset J

NEX-C3Ver.O1          4912            1000        350|[48                                   491     48 48]                            30 NEX-C3 Rotated 90 CW 2

GIMP2.10.12            4912            1000        350                                          30 NEX-C3 Horizontal (normal)2013:11:13 03:33:13Co-sited

Рис. 13. Свойства цифрового изображения из конструктора Imago тельно записываемых в командную строку (терминал Linux), анализируются фотографии.

В результате выполнения сравнения двух фотографий до редактирования и после получаются данные, представленные на рисунках 12 и 13)

Из полученных данных можно увидеть изменения размера изображения, время и дату, фокусное расстояние, а также с помощью какого фоторедактора были внесены корректировки.

Из вышеперечисленных данных, видно то, что в анализе Imago отредактированное изображение уступает качеству оригинала, в EXIF стандарте указаны данные, которые подтверждают, что изображение изменялось в GIMP.

Таким образом, воспользовавшийся данной программой на операционной системе Linux эксперт может сделать вывод, с помощью какой программы были сделаны изменения, в какое время сделана корректировка изображения, что значительно сокращает время расследования.

На основе проведенного анализа можно констатировать, что Exif-данные могут быть использованы главным образом для сохранения установок фотокамеры, условий съемки и других параметров, например, координат GPS (точные координаты места, с которого производили фотографию), что может быть крайне полезным в ходе следственного действия. Но, к сожалению, эти данные могут быть не признаны вещественными доказательствами в силу простоты их последующего редактирования. Таким образом, данный стандарт требует дальнейшего изучения и создания специальных методик, которые могут быть внесены в данные, сохраненные в Exif-файле.