Rastreando ubicaciones reales en los metadatos de las fotografías con FOCA

lunes, 9 de mayo de 2016

 
FOCA es una herramienta muy sencilla de utilizar que nos permite obtener, entre otras cosas, metadatos en documentos ofimáticos. Su funcionamiento consiste en utilizar buscadores que potencien los resultados de los archivos, por ejemplo Google y Bing, y conseguir obtener todos los archivos ofimáticos asociados a un dominio. Esto se puede llevar a cabo gracias a los dorks. Una vez encontramos los documentos ofimáticos asociados a un dominio, es decir, a una empresa que sea el target los podremos descargar masivamente y extraer de ellos los metadatos a su vez clasificándolos en diferentes subgrupos, entre los que podemos encontrar nombres de usuario del sistema, impresoras utilizadas, correos electrónicos, software utilizado, e incluso, el sistema operativo en el que fue creado el documento.

Como usar FOCA en 4 sencillos pasos:

Comenzaremos por abrir el programa, una vez abierto crearemos un nuevo proyecto (clic en la opción “Project” -> “New Project”).


Rellenaremos los campos de nombre, dominio y seleccionaremos una carpeta en la que guardar todos los documentos del proyecto (tras rellenar estos campos haremos clic en “Create”).


Una vez creado el proyecto seleccionaremos los motores de búsqueda que queramos utilizar y el tipo de extensiones de los archivos en los que estemos interesados.

Hecho esto ya estaremos listos para comenzar la recopilación de documentos (clicaremos en “Search All” y comenzaran a aparecer archivos en el panel derecho).

Cuando haya finalizado la recopilación de documentos haremos clic derecho sobre cualquiera de ellos y seleccionaremos “Download All” (descargar todos), esto normalmente llevara un rato. Tras descargar todos los documentos volveremos a hacer clic derecho pero esta vez seleccionaremos “Extract All Metadata” (extraer todos los metadatos).


Ahora que ya hemos extraído los metadatos solo tendremos que ir al panel superior izquierdo donde podremos observar un resumen de los metadatos obtenidos, los cuales podremos analizar individualmente si lo deseamos.


También podemos utilizar FOCA para extraer metadatos de archivos que tengamos en nuestro ordenador, para esto solo tendremos que abrir el programa y arrastrar el archivo hasta él.

Caso de Ejemplo: Fotos que engañan, metadatos que no

Como ya sabréis hoy en día los Smartphones nos permiten hacer muchas cosas, entre ellas grabar videos, tomar fotos, compartir nuestra ubicación y mucho más. Estos Smartphones también guardan metadatos en los archivos ofimáticos que manejan (por ejemplo las fotografías en JPEG). Supongamos el caso ficticio de un sujeto acusado de haber cometido una serie de robos en Valencia.

Frente a las acusaciones el sujeto proporciona su dispositivo móvil. En el se pueden obtener una serie de imágenes que, tras ser analizadas, muestran algo extraño. Son fotografías de Venecia, pero según sus metadatos la ubicación GPS marca Valencia. ¿Qué ha sido modificado? Él acusado indica en su coartada que estuvo en Venecia y que estuvo haciéndose fotografías en esta ciudad de Italia. ¿Pudo modificar la imagen y olvidar las coordenadas GPS? Él indica que estaba de viaje en Venecia mientras se cometieron los robos. Esta es una de las fotografías facilitadas por el acusado:


Para comprobar su cuartada solo tendremos que seguir los siguientes pasos: Primero arrastraremos las fotos a la ventana de FOCA y extraeremos sus metadatos, hecho esto iremos al panel superior izquierdo para investigar un poco.

Al investigar los metadatos de la fotografía podemos observar varias de las características del dispositivo con el que fue tomada la foto, ya sea el modelo, la marca, la fecha y hora, el programa de la cámara utilizado e incluso la ubicación exacta expresada en coordenadas.


Con los datos obtenidos sabremos si el acusado tomo la foto en el lugar que dijo, si esta fue tomada por su dispositivo móvil y si la fecha en la que fue tomada corresponde a la de su supuesto viaje. Al introducir las coordenadas podemos observar el punto exacto en el que fue tomada la fotografía.


Tras hacer esto nos damos cuenta de que el acusado nos ha entregado una prueba en su contra al intentar demostrar su inocencia. Esto es un caso ficticio, pero podría darse en la vida real. Descarga la FOCA desde nuestro sitio web y disfruta del potencial que la herramienta proporciona.

 
Sergio Sancho Azcoitia
11Paths


No hay comentarios:

Publicar un comentario