sexta-feira, 22 de abril de 2011

EXIF: Os números detras das fotos

A metadata mostra coisas que nem imaginamos. É comum que a foto guarda a data e hora de uma foto, e uns modelos de câmera ou telefone equipados com GPS guardam o local, também. O modelo da câmera, e até seu número de série, poder estar visíveis para o mundo.

A variedade de metadata guardado junto com uma foto é grande. Há vários padrões, com vários propósitos - o padrão IPTC do International Press Telecommunications Council, por exemplo, pretende facilitar a identificação dos assuntos de fotos, e o pagamento de diretos autorias. A mesma fotografia pode ter metadata em vários formatos, por vários fins.

A padrão EXIF- Exchangeable image file format, um padrão que fabricantes japoneses desenvolveram para câmeras digitais conforme Wikipedia, é um dos mais comuns. É um padrão que permite muito, a opção do fabricante da máquina fotográfica, que pode incluir o que lhe convém.

Existe também diferenças entre os softwares que interpretam estes dados. Não são todos que interpretam "corretamente" todos os campos, e nem sempre há uma única maneira correta de guardar metadata. Uma programa pode escrever "palavras-chaves" no cabeçalho IPTC, enquanto outra escreve no EXIF. Ou em ambos os formatos. Experimentei vários softwares nas últimas dias, com resultadas ... variadas, vamos dizer.

Para ver metadata

O que precisamos, então, para ver metadata? E o que podemos ver?

O primeiro requisito é básico: precisamos de uma foto digital. Um foto impresso, como se encontra num processo, não tem a metadata, a menos que uma programa adequada foi configurada para imprimir isso junto.

Segundo, é preciso um software que mostra a metadata. Da mesma maneira que é impossível enxergar a própria foto sem uma programa que sabe interpretar um JPEG, ou um PNG, ou qualquer outro formato de imagem, é impossível enxergar a metadata, sem a programa correta.

Com a programa certa, o que podemos ver? Vamos tratar esta pergunta primeira. Sem saber o que podemos ganhar com isso, não dá para entender porque devemos fazer o esforço.

Um exemplo à mão: o blog de Glacy

A sra. Glacy, residente da Colina do Sol, mantém um blog no site www.pelados.com.br, onde o dono, sr. Marcelo Pacheco, tem umas idéias estranhas sobre a privacidade e a propriedade de fotos. Ele já é réu em dois ou três processos por uso indevido de imagem de menores (veja ao lado), mas ouvi que quando outro utilize uma foto do seu site, ele veja o uso indevido com outros óculos. E já vi ele interpelar um outro na praia pública (como são todos as praias do Brasil) em Praia Brava, em São Sebastião, por tirar fotos exatamente como Pacheco estava tirando. Ele coloca seu pingolim em incontáveis fotos no Internet, mas o endereço onde um oficial de justiça pode o encontrar para citar, é guardado a sete chaves.

Vamos ver, então, o que o Exif conta sobre sra Glacy e sr Pacheco. Acabei de recebeu um email com o postagem mais recente, sobre uma visita à praia de Pedras Altas. Encontramos a postagem no http://pelados.com.br/blog/?p=2424, com onze fotos e um pequeno retrato da autora. Mas como eu posso informar meus leitores sobre estes fotos, sem reproduzir as fotos aqui, que me obrigaria de classificar o blog como "adulto", e provocaria um chilique do Marcelo Pacheco?

O Checksum MD5

A solução está no MD5 checksum, um tipo de "dígito verificador", mas por um arquivo inteiro. Qualquer alteração no arquivo, na imagem ou na metadata, resultaria numa mudança completa do MD5. Os laudos do Instituto Criminalística descrevem o uso do checksum MD5. É um padrão internacional, que qualquer programador pode seguir. Usei a programa ExactFile, disponível grátis no http://www.exactfile.com/downloads/

Para que o leitor souber que eu estou falando dos mesmo fotos que ele está lá no blog da Glacy, é preciso somente salvar a página do blog de Glacy no seu micro, abaixar a programa Exactfile ou outra que faz cálculos MD5, rodar e comparar o resultado com meu, abaixo. Batendo os MD5, sabemos que estamos falando dos mesmos fotos:

; Checksums generated by ExactFile 1.0.0.15
; http://www.exactfile.com
; 4/22/2011 4:59:04 PM

500ceaa723d95be311592bd902d6823e *comment-reply.js
abb185ae0c89791c27b9d21c0320ddb9 *DSC_0183.jpg
4b0b0c524047c5846a05c76c47d04652 *DSC_0184.jpg
205af9bd66e297759054ddaeb6162650 *DSC_0197.jpg
bc0a26148189dd04906c4c292341ce50 *DSC_0198.jpg
e8e50fe7cce4759cff82a2cb228ea277 *DSC_0199.jpg
2692ac1f4e740c09fdceb519a80f59a7 *DSC_0212.jpg
9d2dffa12047be19fd10a5ba665e768c *DSC_0235.jpg
20e25090d97cdf1a7e897a7f71a69016 *DSC_0243.jpg
603deb191847505f20333d7570188b57 *DSC_0252.jpg
b9318396c44f49d182106b91fd25aa4c *DSC_0283.jpg
9c26eb068240b377e5ce0bc3384ddcc7 *DSC_0287.jpg
72ce5c6a310fe1946b9c364525c94d79 *glacyfoto_normal.jpg
25e59325cb47d2ab5ea650d47f431a9c *jquery.js
a831e384da8dc3356f1a735ec3ab7c68 *jquery_002.js
0ee254a56334189fd471afeec067186f *rss.png

; 16 files hashed.

Data e hora

A data e hora das imagens, pode ser visto já no Microsoft Explorer (neé File Manager), sem maiores esforços. São tirados, no caso, no 1º de março de 2001, de 8:52 as 10:03, no mesmo ordem que os nomes dos arquivos sugeriam.

Mas há mais!

Coloquei numa página separada todas as informações que a programa ExifTool extraiu da primeira das fotos.

A quantidade de informações é vasta, e em certos modelos de máquina fotográfica, é ainda maior. Mais esta foto nos informa que a máquina fotográfica atual de Marcelo Pacheco é um NIKON D5000, e o número de série é 3329656.

Em outras fotos (não estas, todas da Nikon) a sra. Glacy utiliza uma Samsung Digimax S1030/Kenox S1030. Uma foto de surf em Tambaba que ela colocou no blog em 31 de março foi feito com um "Digital Camera FUJIFILM A150 Ver1.01" , com número de série interna de 414131304D41 2009:05:18 BF359TA02835. Aquela foto é surf-8.jpg, com checksum MD5 de c25b5b44fa65f8dc97b00c27a20b3463.

Mas o que importa?

As informações estão lá, no blog da Glacy, públicas, mas o que importa?

Para dar um exemplo, há um TAC entre a Colina do Sol e a Promotoria de Taquara, em que o CNCS se compromete a não permitir que fotos de menores nús sejam tirados na Colina. Há sim fotos do filho pequeno de Etacir Manske no blog, e um dele no Carnaval de Colina já foi retirada. Mas há outros do menino ou outro menores nus, ou na presença da nudez de adultos, no blog também em março.

Alguém cobrando "quem tirou esta foto?" a tendência nestas horas, é de tudo mundo se esquivar. "Puxa, não lembro ter tirado, deveria ter sido outro" é a refrão. Mas o EXIF é o "DNA da foto", e pode apontar o autor da máquina responsável.

Enquanto o TAC entre CNCS e Colina especifica uma multa de R$10 mil por criança nas fotos - acho que é cada criança em cada foto, três fotos com duas crianças em cada daria R$60 mil - explicitamente especifica que isso não exclua outras penas, civis ou penais. A Colina, ou seus sócios, arcará com as multas. Mas quem tirou a foto, ou a publicou, ou o responsável pelo menor, ficaria sujeito às penas mais pesadas que as multas. Que são somente dinheiro.

As fotos com os menores são estas abaixo, e incluo o MD5 de novo para poder detectar futuras alterações, pois destruir evidências também é crime. Os arquivos .txt são os relatos gerados pelo ExifTool:


; Checksums generated by ExactFile 1.0.0.15
; http://www.exactfile.com
; 4/22/2011 8:12:29 PM

6feef54a83b860676a51db6accb1cf26 *marcio27.jpg
3eab6dd54234b9d3b88c840db2bc542a *DSCN0572.jpg
1adbdc44d26779b8e6126afa6ea3871d *DSCN0473.jpg
a8d81ab2e49164767c20c5fd9f69b43f *DSCN0639.jpg
c6eb23362ab550cf42115c63f15b1bb0 *DSCN0572.txt
985b10c493c7c340f4cb1d7a15867ce4 *DSCN0639.txt
3579a963bec2acec3c94724038404fbf *marcio27.txt
2f0e6754abc34a5e30a139d55de6776d *DSCN0473.txt
68238af83fe1089d8976e445435a3118 *DSCN0649.jpg
f64b48fc1d7a208bc309d61e5b1d3c7d *DSCN0649.txt

; 10 files hashed.

Dois dos fotos de Praia do Pinho foram tirados com um NIKON COOLPIX L110 - o número de série não é informado - e um mais antiga, de uma menor em frente ao restaurante da Colina, com um "SAMSUNG DIGITAL CAMERA", modelo não especificado.

Outros softwares

Uma maneira fácil de ver dados EXIF no browser Firefox é o Exif Viewer, que permite ver os dados não somente de fotos encontradas no Internet, mas também no disco do seu computador. Aplicativa integrada ao Windows Explorer que permite extrair os dados EXIF de muitos fotos de uma vez, Exif Pilot é grátis.

Outras utilidades

As informações que tenho são de que em Paraíba, fotos foram plantadas no processo contra Nelci Rones. Curiosamente, não plantaram fotos pornográficas de crianças, parece que plantaram fotos "ginecológicas" de adultas. Os dados EXIF podem ser de utilidade enorme para comprovar a fraude.

quinta-feira, 21 de abril de 2011

Metadata

A examinação de dados digitais - seja emails, contabilidade, ou fotos - é em grande parte a examinação de metadata.
É uma palavra que, como metafísica, sugere algo incompreensível, e de utilidade duvidoso.

Mas não é nada disso. Vamos primeiro ver uns exemplos, antes de falar de teoria.

Ao lado temos um foto de Douglas Anner Louderback, que já publicamos aqui antes. Quem clicar no foto, vai ver ela bem grande. Mas quem abaixa para seu computador, olhe no "Windows Explorer" (ou qual que seja o nome que deram para o File Manager em Windows XP), e clique com o botão direta do mouse, sob "Summary", vai ver os seguintes informações à esquerda. A foto foi tirado em  23 de setembro de 2007, as 11:26 , com um Canon PowerShot SD850 IS.

No caso Colina do Sol, estas dados adicionais são mais de dados, são informações. Fritz Louderback afirmou esta for foi tirado em California, para onde Fritz e Barbara tinham levado Douglas para conhecer suas nova família (e para esquecer da Sra. Zumbi, que não deu certo) e a data é consistente com isso.

PowerShot

A máquina fotográfica que tirou a foto é a mesma marca da que foi apreendida pela polícia na casa de Fritz, e que aguarda ser periciada, de novo.

O modelo da máquina é importante, pois dos mais de 70 testemunhas, que quase todos afirmaram acreditar na inocência dos acusados, e dos quais somente três dizeram algo contra (a corja acusou na polícia, mas não em juízo, onde mentir dá cana), renderam uma só "vitima", o Moleque que Mente®. Ele disse que nadou na piscina de Fritz (que não tem piscina) e que foi fotografado na casa de Fritz com "uma máquina grande". Um busca de Google informa que o tamanho deste PowerShot é 2.22" Height x 3.56" Width x 1.04 Depth; para quem não manga medidas inglesas, é um cada dimensão um pouquinho maior que um pacote de cigarros. Grande, então, não é.

A autenticidade das informações

Os "metadata" são, então, nada mais que aqueles dados que você veja na telinha da máquina digital. A imagem é parte dos dados que a máquina guarda. A "metadata" é outro. "Dados sobre dados" é o que "metadata" quer dizer.

Mas há garantia que a metadata é autêntica? Um máquina digital poder ser facilmente programado para registrar uma data 50 anos no futuro. E os dados podem ser editadas, na mesma maneira que a fotografia pode ser editada.

Mas qualquer documento pode ser adulterado. A metadata, como a própria fotografia, poder ter sua autenticidade contestada. Mas os dados devem ser, pelo menos, consultados.

Um exemplo típica seria as fotos de viagem de famílias de Morro da Pedra para o Natal Luz de Gramado em 2006, ao lado. Esta foto foi tirado em frente do Barracão de Morro da Pedra. O horário gravado no metadata da foto é de 19:34, e enquanto é o dia mais longo do ano, as sombras são curtas demais. Alguma decepção complicada? Não, é que a máquina é do homem da camisa laranja no frente na foto, Jorge, que é alemão. E ele deveria ter programado a máquina em Alemanha, onde seria 19:34 mesmo.

O que pode acontecer, até mesmo sem querer, é que os dados sejam apagados. Há cinco fotos de Douglas na postagem linkado acima sobre a máquina de Fritz, e em somente dois delas os metadados completa consta. As outras fotos foram editadas, tiveram a resolução reduzido, etc, e a programa de edição apagou a metadata.

Porém, a maneira mais seguro de apagar ou esconder a metadata ... é de imprimir a foto. No caso Colina do Sol, há várias fotos impressos no processo, mas são impressos sem a metadata.

Se a foto de Natal Luz estivesse no processo, haveria a data de 21/12/2006 no canto da foto. Seria útil. Mas o horário, a identificação da máquina, o lugar do foto na sequência, tudo isso seria invisível. Mas estes dados são tão reais quanto a data estampada no canto.

A peruca roxa

As únicas fotos do Moleque que Mente® o mostram completamente vestido. Um mostra ele com uma peruca roxa; um outro com os olhos fechados e uma expressão estranha. Da primeira, Dr. André Herdy informa que tanto o menino, quanto Dr. André, quando sua esposa e cunhada, provaram a peruca e tiraram foto, todos em sequência. A foto de olhos fechados (com qual a polícia queria insinuar que o menor estava drogado) foi tirado pelo próprio menino, na mesma ocasição.

Estas fotos todos estão no micro de Dr. André - e a polícia nem sequer informou a Justiça da existência deste micro por mais de oito meses! As fotos estão lá, e na metadata há um carimbo de data e hora em cada um, que permitiria verificar não somente que há mesmo uma série de fotos de peruca lilas, mas também confirmar a data e a ordem em que foram tiradas. Também, qualquer um poder sair come expressão de drogado ou maluco em uma foto ou outra. Mas no micro de Dr. André, haveria outras fotos antes e depois daquela de olhos fechados, mostrando que o menor estava perfeitamente normal.