Метаданные как формирование цифрового следа при исследовании вмешательств в цифровые фотоизображения

DOI:

Е.Р. Россинская и И.А. Рядовский считают, что «...цифровой след представляет собой криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи» [7; 8]. Сегодня такими следами являются содержимое оперативной памяти, файлы и их обрывки, создаваемая программными и аппаратным средствами. Также это может быть служебная информация об этих файлах, располагающихся на материальных носителях в виде цифровых кодированных последовательностей [9; 10]. Только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме такая информация доступна восприятию человеком. Здесь важно отметить, что ввиду своей подвижности и сложной структуры хранения подобного рода данные могут быть получены и интерпретированы в полном объеме.

Цифровые следы обладают своей специфичностью и представляют собой след, запечатленный в виде цифрового образа, изменяющий состояние информации в памяти абонентского устройства. Следует отметить, что отыскание цифровых следов является сложным процессом и требует привлечения специальных экспертов, обладающих определенным образованием в сфере цифровых технологий и опытом. Преимуществами появления цифровых следов является их объективное и последовательное отражение преступной деятельности лица, поскольку, используя данный вид следов, правоохранительные органы могут проследить порядок событий и действий лиц, участвующих в совершении преступления посредством применения информационных технологий [2; 9; 11].

Цифровые следы, возникающие в результате взаимодействия человека с цифровыми устройствами и интернет-пространством, становятся важным объектом исследования в контексте судебной фототехнической экспертизы. В условиях роста компьютерных преступлений и киберугроз, актуальность изуче- ния цифровых следов не вызывает сомнений, так как они могут служить ключевыми доказательствами в расследовании преступлений.

Метаданные представляют собой важные данные, которые формируют цифровой след пользователя в сети [5; 6]. Они могут включать информацию о файлах, таких как автор, дата создания, использованные приложения, а также геолокационные данные. Эти метаданные становятся критическими для проведения расследований, позволяя отслеживать действия пользователей и выявлять паттерны их поведения. Кроме того, правовая основа для работы с цифровыми следами продолжает развиваться, и в 2022 г. в России был принят стандарт для специалистов по анализу данных цифрового следа.

В современном мире, где цифровые технологии проникают во все сферы жизни, понятие метаданных и их роль в формировании цифрового следа пользователя становятся все более актуальными.

Судебные дела, касающиеся метаданных, становятся все более распространенными. Например, в делах, связанных с уголовными преступлениями, применяются метаданные для отслеживания действий подозреваемых. Такие случаи подчеркивают необходимость четкого определения границ между легитимным использованием данных для обеспечения безопасности и незаконным вмешательством в частную жизнь граждан.

Цифровые следы, возникающие в результате взаимодействия человека с цифровыми устройствами и интернет-пространством, становятся важным объектом исследования в контексте судебной фототехнической экспертизы. В условиях роста компьютерных преступлений и киберугроз, актуальность изучения цифровых следов не вызывает сомнений, так как они могут служить ключевыми доказательствами в расследовании преступлений.

Актуальность данной работы обусловлена не только увеличением числа преступлений, связанных с использованием цифровых технологий, но и необходимостью совершенствования методов и подходов к их расследованию. В условиях, когда традиционные методы криминалистики сталкиваются с новыми вызовами, цифровые следы открывают новые горизонты для правоохранительных органов. Важно отметить, что цифровые следы могут быть использованы не только для идентификации преступников, но и для восстановления хода событий, что делает их незаменимыми в судебной экспертизе. В условиях постоянного изменения законодательства и появления новых технологий исследование метаданных и их правового статуса становится важной задачей для специалистов, работающих в области информационных технологий и права.

Методика проведения исследования

При исследовании цифровых фотоизображений следует иметь точное представление о том, какие изменения могли быть внесены в данный объект. Существуют несколько областей, которым следует уделить особое внимание. Первая область – это именно та информация, которая находится в самом снимке. Для исправления таких данных используют графические редакторы, одним из часто использованных является Adobe Photoshop. Вторая область исследования фотоснимка – стандарт, позволяющий добавлять к изображениям специальную информацию, комментирующую данный файл, то есть EXIF (англ. Exchangeable Image File Format). EXIF-файлы предоставляют такую информацию о фотоснимке, как обстоятельства и методы его получения, авторство, модель камеры, время получения снимка. Метаданным так же свойственно подвергаться изменению и это может усложнить выполнение экспертного исследования. К примеру, есть вероятность того, что перед экспертом возникнет вопрос отождествления фотоизображений и камеры, благодаря, которой они были сделаны. Для того чтобы исследование было выполнено наиболее точно, необходимо максимально изучить описанные выше области и возможности внесения в них изменений и корректировок [1].

При просмотре фотографий в интернете, можно заметить, как некоторые сайты предоставляют важную информацию, которая относится к этим изображениям, такую как время, параметры экспозиции, бренд камеры и т. д. Эта информация, называемая EXIF, позволяет рассказать о том, какими настройками пользовался фотограф, на какое оборудование была запечатлено изображение.

Возможность видеть эти метаданные имеет большое значение в фототехнической экспертизе, так как именно они позволяют узнать, какие настройки и инструменты использовались для создания или корректировки конкретной фотографии. К сожалению, единственным для веб-сайта форматом файла, который может обрабатывать EXIF, является JPEG, поэтому увидеть данные таких форматов, как GIF и PNG, невозможно. Кроме того, чтобы скрыть следы преступления, в рамках уголовного дела, мошенники предпочитают удалять EXIF-данные со своих фотографий. Они скрывают свой стиль съемки, корректируют изображения с помощью фоторедакторов или удаляют все метаданные, тем самым усложняя работу эксперта.

Изображения, полученные при помощи различных цифровых устройств, могут стать вещественными доказательствами по уголовному делу [1]. В этом случае могут возникнуть вопросы о подлинности этих снимков, на которые будет необходимо ответить эксперту в рамках фототехнической экспертизы [3; 4].

Существует несколько возможностей вносить изменения в полученные цифровые изображения. Одна из них – это внесение изменений в само изображение при помощи графических редакторов, либо с помощью стандарта EXIF – добавить или изменить информацию о файле, содержащем графическое изображение. Теги с метаданными, включенные в стандарт EXIF, позволяют:

• –    увидеть съемочные настройки фотоаппарата для файла изображения; целостность изображения;

• –    точные координаты места съемки при наличии данной функции у фотокамеры;

• –    установить в случае вмешательства в целостность изображения программное обеспечение, которым оно было произведено [11].

Одной из важных особенностей метаданных является их упорядоченная структура. Информация точно отнесена к категории и содержит конкретный формат. Так, категорию времени создания можно заполнить только с помощью формата записи даты и времени.

Благодаря структурированному виду, метаданные доступны для чтения не только человеком, но и компьютерами. Таким образом, метаданные могут быть обработаны машинным методом и использованы для различных целей: индексация, поиск, объединение [3; 5].

Существует множество онлайн-серви-сов и программ для просмотра и изменений данных EXIF, которые были более подробно описаны в практической части данной статьи.

При анализе будут использоваться изображения, сделанные при помощи смартфона iPhone XR и сохраненные в формате JPG.

Далее цифровые изображения были перемещены на персональный компьютер. Затем были созданы копии оригинальных изображений, которые подверглись обработке в Adobe Photoshop 2018 версии СС 20.0.3.

Исследуемый объект, пятиэтажное кирпичное здание (рис. 1), фиксируем с помощью смартфона iPhone XR.

Выполнен вырез и заливка с последующей заменой, проведена штампом, увеличено облако, данное увеличение заметно при увеличении масштаба. Результат отражен на рисунке 2.

Рис. 1. Цифровое изображение до изменений

Рис. 2. Цифровое изображение после изменения в программе Photoshop

Открываем свойства цифрового изображения, затем вкладку «Подробно» (рис. 3), для того чтобы ознакомиться с метаданными изображения, представленного на рисунке 1.

Размер изображения: 694 х 635, а именно, ширина – 694 пикселей, высота – 635 пикселей.

Горизонтальное разрешение составляет 220 точек на дюйм, по вертикали – 220 точек на дюйм с глубиной цвета 24 бит.

То же самое проделываем с цифровым изображением после изменения (рис. 4).

Размер изображения: 588 х 537, а именно, ширина – 588 пикселей, высота – 537 пикселей. Горизонтальное разрешение составляет 96 точек на дюйм, по вертикали – 96 точек на дюйм с глубиной цвета 24 бит.

Исходное цифровое изображение обрабатываем с помощью сайта Foto Forensics.

Для сравнения рассмотрим другой вид модификаций фотоизображений и иной способ их выявления.

С помощью инструментов, предлагаемых программой FotoForensics, воспользуемся инструментом ELA (Error Level Analysis), который идентифицирует внутри самого изображения области с различной степенью сжатия. Дело в том, что формат JPEG использует систему сжатия с потерями. Каждая последующая перезапись (сохранение) в этом формате увеличивает потери качества. Далее рассматривая изображения после изменения выборочно увеличивая нужную область изображения (см. рис. 5–7).

Таким образом, можно сделать вывод о том, что EXIF-стандарт позволяет находить вмешательства в цифровое фотоизображение по метаданным, отображенным в свойствах файла. В формате же ELA области с изменениями в цифровом фотоизображение будут определяться по их различной степени сжатия.

К сожалению, метаданные, полученные после обработки цифровых фотоизображений с помощью инструментов, предлагаемых программой FotoForensics, не всегда могут дать информацию о том, что в данный файл произошло вмешательство (см. рис. 8).

Далее проиллюстрируем работу hash-функции. Она обладает возможностью обеспечения достоверности информации, генерируемой, передаваемой и хранящейся в цифровом виде. Возьмем оригинал фотографии, изменим размер, обрезав часть информации,

Рис. 3. Метаданные цифрового изображения до их изменения в разделе «Подробно»

Рис. 4. Метаданные цифрового изображения после их изменения в разделе «Свойства»

Так как hash-данные двух образцов не соответствуют оригиналу, можно сделать вывод о недостоверности информации.

Рис. 5. ELA-анализ уровня ошибок изображения до изменения

Рис. 6. ELA-анализ уровня ошибок изображения после его изменения

Рис. 7. ELA-анализ изображения после его изменения

File:	1,180 x 1,080 JPEG (1.3 megapixels) 364,802 bytes (356 kilobytes)
Color Encoding:	WARNING: No color-space metadata and no embedded color profile: Windows and Mac web browsers treat colors randomly.
	Images for the web are most widely viewable when in the sRGB color space and with an embedded color profile. See my Introduction to Digital-Image Color Spaces for more information.

Рис. 8. Метаданные, полученные с помощью сайта Foto Forensics

Рис. 9. Оригинал изображения

Рис. 10. Hash-значения для оригинала изображения

Рис. 11. Обрезанное изображение

Рис. 12. Hash-значения для обрезанного изображения

Рис. 13. Редактированное изображение (скопирован столб)

Rie:    C:\Usera\Maraea\Downloads\IMG_1218 (1) heic

MD5 Q 9A1EBF5F12A258DA43E0DC6GB9FF84CE

SHA-1 О A4DCEE8DC13591BA0D57A62BE59AB8F857D000D5

SHA-256 Q 5E9CD5A50AF689619E8CE3A8EAE0802F6FCE211E6BDE7D588ACB0F5BE83E9568

Рис. 14. Hash-значения для редактированного изображения

Рис. 15. Результаты вычисления hash-значений

Аналогичным образом можно провести сравнение hash-значений SHA1, sha256 и убедиться в том, что hash-значения оригинала не совпадают с двумя другими изображениями.

Цифровая природа информации делает применение hash-функций независимым от содержания информации. В данном пункте работы описано использование hash-функций для установления неизменности файла, содержащего цифровой фотоснимок.

Выводы

В заключение данной работы можно подвести итоги, касающиеся значимости метаданных как важного элемента цифрового сле- да пользователя в сети. Метаданные, представляющие собой структурированную информацию о данных, играют ключевую роль в формировании цифрового следа, который, в свою очередь, становится основой для идентификации и отслеживании действий пользователей, но и в определенных случаях может служить важным инструментом для проведения фототехнической экспертизы.

Таким образом, метаданные как цифровой след представляют собой важный и многогранный инструмент, который требует внимательного и ответственного подхода. Важно продолжать исследовать и развивать подходы к работе с метаданными, учитывая, как их потенциал, так и риски, связанные с их использованием.