Tutorial ini akan menjelaskan cara untuk mengelabui investigasi “Digital Forensic” pada Metadata EXIF Gambar. Bisa juga disebut “Disguise Digital Forensic” dengan Mengubah EXIF Metadata Sebuah Photo.
Metadata adalah istilah dalam dunia teknologi informasi yang berarti data dari sebuah data, artinya data yang Anda miliki masih menyimpan data lain dari data yang Anda miliki. Metadata ini letaknya ada di dalam file dan bentuknya tidak terlihat langsung.
Biasanya metadata ini digunakan untuk keperluan digital forensic atau penyelidikan terkait dengan masalah dunia digital.
Sedangkan EXIF sendiri merupakan metadata yang “hanya” digunakan dalam dunia digital photography. Dari namanya EXIF dapat diterangkan sebagai Exchangeable Image File Format.
EXIF dikembangkan oleh Japanese Electronics Industry Development Association (JEIDA) sebagai upaya untuk mempermudah dan membuat standar pertukaran data antara perangkat lunak pengolah gambar/citra digital dan perangkat keras seperti kamera.
Informasi umum yang bisa Anda dapatkan dari EXIF sebuah foto digital adalah antara lain :
1. Tanggal dan jam berapa sebuah foto dibuat
2. Merk, tipe kamera, dan jenis lensa yang dipakai untuk memotret/menghasilkan foto
3. Resolusi dari kamera yang digunakan untuk mengambil gambar
4. Digunakan atau tidaknya fitur flash pada kamera
5. Lokasi dimana file tersebut diambil jika kamera yang digunakan mendukung GPS
Masih banyak hal terkait dengan kamera yang tersimpan dalam sebuah EXIF, dengan EXIF kita dapat membandingkan perbedaan hasil jepretan dari kamera yang berbeda, termasuk EXIF foto yang telah direkayasa dengan software tambahan yang akan kita bahas di sini.
Bagaimana kita bisa melihat EXIF dari sebuah foto?
Melihat EXIF sebuah foto secara instant dari fitur properties bawaan sebuah Operating System dirasa terlalu mudah dan menghasilkan keakuratan yang rendah. Untuk melihat EXIF dari foto secara lengkap kita bisa menggunakan software yang khusus digunakan untuk itu. Di Linux, utamanya seperti Backtrack dan Backbox linux kita mengenal software Exiftool dalam shell mode (berbasis teks). Di Windows juga dibuat exiftool oleh pembuat yang sama yaitu Phil Harvey, namun kelebihan di Windows ini kita bisa menggunakan exiftool dalam GUI mode (berbasis visual) yang memudahkan penggunaan exiftool. Anda bisa mendapatkan exiftool dari website aslinya langsung dengan download disini:
http://owl.phy.queensu.ca/~phil/exiftool/
Dan saya membuat mirror windowsnya untuk memudahkan praktikum kita kali ini disini:
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftool-8.90.zip
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftoolgui510.zip
Cara install exiftool di Windows :
1. Download exiftool dari alamat web yang saya berikan tadi
2. Extract exiftool-8.90.zip ke Windows directory, sebagai contoh C:\Windows
3. Rename exiftool(-k).exe yang gambar unta menjadi exiftool.exe tanpa (-k)
4. Kemudian extract exiftoolgui510.zip ke tempat yang mudah untuk Anda mengakses exiftool GUI
5. Mulai exiftool GUI dengan menjalankan ExifToolGUI.exe
Pembahasan 1, Melihat EXIF sebuah Foto
Kita umpamakan akan melihat exif foto dari orang yang gambarnya ada di bawah ini :
Buka exiftool dan arahkan ke lokasi dimana foto tersebut berada, Anda
akan melihat detail EXIF di panel bagian kanan. Bagian yang berwarna
biru muda dalam gambar adalah keterangan terkait dengan kamera atau
software yang digunakan.
Dari gambar di atas kita memperoleh keterangan bahwa gambar/foto
tersebut diambil dengan kamera CASIO dengan model EX-Z33, orientation
Horizontal (normal), software 1.00, flash auto, focallength 13.1 mm.
Yang menandakan bahwa file foto tersebut asli hasil jepretan kamera.
Lalu bagaimana melihat EXIF file hasil editan photoshop? Arahkan exiftool ke foto editan
Dari gambar di atas kita melihat baris Software memunculkan value
Adobe Photoshop CS4 Windows yang menandakan bahwa file foto tersebut
hasil editan Photoshop. Meskipun menggunakan kamera ponsel model Nokia
6120classic namun foto yang sudah sedikit saja tersentuh software akan
meninggalkan jejak khas dari software tersebut.
Pembahasan 2, Manipulasi EXIF sebuah Foto
Pada pembahasan ini kita akan mempelajari teknik penghapusan EXIF metadata software pada sebuah foto. Arahkan exiftool pada foto editan yang telah kita buka tadi. Pada menubar pilih Modify lalu pilih Remove metadata.
Untuk memudahkan pilih remove ALL metadata lalu klik Execute, kini semua metadata telah berubah, masih ada bagian yang menandakan Adobe (masih ada sentuhan software).
Kita coba untuk mengimpor EXIF metadata dari foto lain, usahakan fotonya agar sama atau paling tidak “mirip”.
Pada menubar pilih Export/Import lalu pilih Copy metadata from single
file, klik OK, pilih file yang metadatanya akan dimasukkan ke foto
editan lalu klik Open. Pilih import ALL metadata. Sekarang metadata
sudah berhasil dimodifikasi dengan keterangan hasil jepretan kamera
ponsel Nokia tanpa embel-embel lain pada bagian Software, tinggal
sedikit dimodifikasi nilainya.
Malangnya pada gambar di atas masih muncul keterangan Adobe. Pada
pembahasan berikutnya kita akan mencari cara untuk menghilangkan
keterangan Adobe ini.
Pembahasan 3, Menghilangkan ciri khas software
Pada pembahasan sebelumnya foto yang telah kita edit masih menyertakan embel-embel Adobe. Teknik umum yang biasa digunakan oleh pemalsu foto adalahmengedit foto dengan software lain sebelum diproses.
Foto yang telah diedit dengan software akan menyisakan jejak ciri dari software tersebut, untuk merubah jejak software tersebut tentunya kita harus menggunakan software lain. Intinya jejak software lama akan ditimpakan dengan jejak software baru yang bisa dihilangkan. Saya biasa menggunakan Paint dengan catatan ukuran file akan berubah dari ukuran file semula.
Pertama copy foto yang akan diedit beserta foto yang masih murni hasil jepretan kamera yang sama atau “mirip” ke directory lain misal di My Documents. Buka file foto editan dengan Paint lalu Save As dengan nama yang sama, jangan ada pengeditan lain apa pun itu.
Di sini ukuran gambar saya akan mengecil. Buka exiftool lagi arakhan
ke gambar yang baru saja disimpan. Sekarang pertanda baik, tidak ada
keterangan Adobe. Remove lagi metadata seperti tadi lalu impor metadata
dari file foto asli.
Tidak ada keterangan Adobe lagi, exif juga mirip dengan file lain. Tinggal sedikit kustomisasi pada exif foto.
Pembahasan 4, Replace thumbnails
File foto yang telah ditindih EXIF metadata-nya dengan EXIF metadata dari file foto lain akan mengikutkan thumbnail gambar foto lain ke dalam foto yang diedit. Tidak terlihat sekilas memang, tapi akan terlihat setelah kita menggunakan tool Exifer.
Dari gambar di atas terlihat perbedaan thumbnail sekilas dengan
thumbnail yang dilihat dengan software Exifer. Data sekilas menunjukkan
thumbnail yang sama dengan gambar tapi kenyataannya berbeda, thumbnail
masih mengikut pada foto lain yang tadinya diimporkan EXIF metadata-nya
kedalam foto tersebut.
Nah di dalam Pembahasan 4 ini kita akan mempelajari teknik pe-replace-an thumbnail file foto. Pertama buka tool Exifer lalu arahkan ke foto editan yang EXIF metadata-nya telah dirubah seolah asli. Pilih submenu Thumbnail dari menu EXIF/IPTC, pilih Insert thumbnail lalu arahkan ke foto editan yang thumbnailnya masih murni.
Lalu OK, pilih replace. Sekarang thumbnail telah seperti semula.
Tinggal sesuaikan tanggal modifikasi dan tanggal pembuatan seperti
semula.
Sekarang siapa yang tahu kalau itu foto editan?
Sebenarnya masih ada banyak cara untuk menyamarkan EXIF metadata ini seperti :
1. Menggunakan kamera yang memiliki photo editor (kamera haurs sama). Caranya dengan memasukkan foto kedalam kamera lalu menetapkan tanggal dan dan waktu pengeditan foto pada kamera dengan tanggal dan waktu pengambilan foto. Beberapa kamera berhasil menggunakan cara ini.
2. Save as web pada photoshop
3. Menggunakan software exifer untuk menindih Exif metadata seperti tadi
Pengambilan gambar dari media web tidaklah valid, karena ketika didownload kadang EXIF metadata telah dimodifikasi. Untuk penyelidikan ambilah gambar/foto yang berasal dari media fisik seperti flashdisk/CD/memory card. Namun hal ini juga tidak dapat dijadikan patokan, teknologi semakin berkembang dan foto palsu pun sekarang bisa jadi asli seperti yang telah kita praktikkan. Untuk mencocokan hash juga tidak mudah karena tidak diketahui mana foto yang sekiranya asli. Orang biasanya menilai bila hash file berbeda maka tidak ada file yang asli.
Semoga dengan sedikit ilmu yang saya berikan bisa menjadi manfaat dan tidak disalahgunakan, Amin.
Metadata adalah istilah dalam dunia teknologi informasi yang berarti data dari sebuah data, artinya data yang Anda miliki masih menyimpan data lain dari data yang Anda miliki. Metadata ini letaknya ada di dalam file dan bentuknya tidak terlihat langsung.
Biasanya metadata ini digunakan untuk keperluan digital forensic atau penyelidikan terkait dengan masalah dunia digital.
Sedangkan EXIF sendiri merupakan metadata yang “hanya” digunakan dalam dunia digital photography. Dari namanya EXIF dapat diterangkan sebagai Exchangeable Image File Format.
EXIF dikembangkan oleh Japanese Electronics Industry Development Association (JEIDA) sebagai upaya untuk mempermudah dan membuat standar pertukaran data antara perangkat lunak pengolah gambar/citra digital dan perangkat keras seperti kamera.
Informasi umum yang bisa Anda dapatkan dari EXIF sebuah foto digital adalah antara lain :
1. Tanggal dan jam berapa sebuah foto dibuat
2. Merk, tipe kamera, dan jenis lensa yang dipakai untuk memotret/menghasilkan foto
3. Resolusi dari kamera yang digunakan untuk mengambil gambar
4. Digunakan atau tidaknya fitur flash pada kamera
5. Lokasi dimana file tersebut diambil jika kamera yang digunakan mendukung GPS
Masih banyak hal terkait dengan kamera yang tersimpan dalam sebuah EXIF, dengan EXIF kita dapat membandingkan perbedaan hasil jepretan dari kamera yang berbeda, termasuk EXIF foto yang telah direkayasa dengan software tambahan yang akan kita bahas di sini.
Bagaimana kita bisa melihat EXIF dari sebuah foto?
Melihat EXIF sebuah foto secara instant dari fitur properties bawaan sebuah Operating System dirasa terlalu mudah dan menghasilkan keakuratan yang rendah. Untuk melihat EXIF dari foto secara lengkap kita bisa menggunakan software yang khusus digunakan untuk itu. Di Linux, utamanya seperti Backtrack dan Backbox linux kita mengenal software Exiftool dalam shell mode (berbasis teks). Di Windows juga dibuat exiftool oleh pembuat yang sama yaitu Phil Harvey, namun kelebihan di Windows ini kita bisa menggunakan exiftool dalam GUI mode (berbasis visual) yang memudahkan penggunaan exiftool. Anda bisa mendapatkan exiftool dari website aslinya langsung dengan download disini:
http://owl.phy.queensu.ca/~phil/exiftool/
Dan saya membuat mirror windowsnya untuk memudahkan praktikum kita kali ini disini:
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftool-8.90.zip
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftoolgui510.zip
Cara install exiftool di Windows :
1. Download exiftool dari alamat web yang saya berikan tadi
2. Extract exiftool-8.90.zip ke Windows directory, sebagai contoh C:\Windows
5. Mulai exiftool GUI dengan menjalankan ExifToolGUI.exe
Pembahasan 1, Melihat EXIF sebuah Foto
Kita umpamakan akan melihat exif foto dari orang yang gambarnya ada di bawah ini :
Lalu bagaimana melihat EXIF file hasil editan photoshop? Arahkan exiftool ke foto editan
Pembahasan 2, Manipulasi EXIF sebuah Foto
Pada pembahasan ini kita akan mempelajari teknik penghapusan EXIF metadata software pada sebuah foto. Arahkan exiftool pada foto editan yang telah kita buka tadi. Pada menubar pilih Modify lalu pilih Remove metadata.
Untuk memudahkan pilih remove ALL metadata lalu klik Execute, kini semua metadata telah berubah, masih ada bagian yang menandakan Adobe (masih ada sentuhan software).
Pembahasan 3, Menghilangkan ciri khas software
Pada pembahasan sebelumnya foto yang telah kita edit masih menyertakan embel-embel Adobe. Teknik umum yang biasa digunakan oleh pemalsu foto adalahmengedit foto dengan software lain sebelum diproses.
Foto yang telah diedit dengan software akan menyisakan jejak ciri dari software tersebut, untuk merubah jejak software tersebut tentunya kita harus menggunakan software lain. Intinya jejak software lama akan ditimpakan dengan jejak software baru yang bisa dihilangkan. Saya biasa menggunakan Paint dengan catatan ukuran file akan berubah dari ukuran file semula.
Pertama copy foto yang akan diedit beserta foto yang masih murni hasil jepretan kamera yang sama atau “mirip” ke directory lain misal di My Documents. Buka file foto editan dengan Paint lalu Save As dengan nama yang sama, jangan ada pengeditan lain apa pun itu.
Pembahasan 4, Replace thumbnails
File foto yang telah ditindih EXIF metadata-nya dengan EXIF metadata dari file foto lain akan mengikutkan thumbnail gambar foto lain ke dalam foto yang diedit. Tidak terlihat sekilas memang, tapi akan terlihat setelah kita menggunakan tool Exifer.
Nah di dalam Pembahasan 4 ini kita akan mempelajari teknik pe-replace-an thumbnail file foto. Pertama buka tool Exifer lalu arahkan ke foto editan yang EXIF metadata-nya telah dirubah seolah asli. Pilih submenu Thumbnail dari menu EXIF/IPTC, pilih Insert thumbnail lalu arahkan ke foto editan yang thumbnailnya masih murni.
Sekarang siapa yang tahu kalau itu foto editan?
Sebenarnya masih ada banyak cara untuk menyamarkan EXIF metadata ini seperti :
1. Menggunakan kamera yang memiliki photo editor (kamera haurs sama). Caranya dengan memasukkan foto kedalam kamera lalu menetapkan tanggal dan dan waktu pengeditan foto pada kamera dengan tanggal dan waktu pengambilan foto. Beberapa kamera berhasil menggunakan cara ini.
2. Save as web pada photoshop
3. Menggunakan software exifer untuk menindih Exif metadata seperti tadi
Pengambilan gambar dari media web tidaklah valid, karena ketika didownload kadang EXIF metadata telah dimodifikasi. Untuk penyelidikan ambilah gambar/foto yang berasal dari media fisik seperti flashdisk/CD/memory card. Namun hal ini juga tidak dapat dijadikan patokan, teknologi semakin berkembang dan foto palsu pun sekarang bisa jadi asli seperti yang telah kita praktikkan. Untuk mencocokan hash juga tidak mudah karena tidak diketahui mana foto yang sekiranya asli. Orang biasanya menilai bila hash file berbeda maka tidak ada file yang asli.
Semoga dengan sedikit ilmu yang saya berikan bisa menjadi manfaat dan tidak disalahgunakan, Amin.
0 komentar:
:)) :)] ;)) ;;) :D ;) :p :(( :) :( :X =(( :-o :-/ :-* :| 8-} ~x( :-t b-( :-L x( =))
Posting Komentar