Tutorial ini akan menjelaskan cara untuk mengelabui investigasi “Digital Forensic” pada Metadata EXIF Gambar. Bisa juga disebut “Disguise Digital Forensic” dengan Mengubah EXIF Metadata Sebuah Photo.
Metadata
adalah istilah dalam dunia teknologi informasi yang berarti data dari
sebuah data, artinya data yang Anda miliki masih menyimpan data lain
dari data yang Anda miliki. Metadata ini letaknya ada di dalam file dan
bentuknya tidak terlihat langsung.
Biasanya metadata ini digunakan untuk keperluan digital forensic atau penyelidikan terkait dengan masalah dunia digital.
Sedangkan EXIF
sendiri merupakan metadata yang “hanya” digunakan dalam dunia digital
photography. Dari namanya EXIF dapat diterangkan sebagai Exchangeable
Image File Format.
EXIF
dikembangkan oleh Japanese Electronics Industry Development Association
(JEIDA) sebagai upaya untuk mempermudah dan membuat standar pertukaran
data antara perangkat lunak pengolah gambar/citra digital dan perangkat
keras seperti kamera.
Informasi umum yang bisa Anda dapatkan dari EXIF sebuah foto digital adalah antara lain :
1. Tanggal dan jam berapa sebuah foto dibuat
2. Merk, tipe kamera, dan jenis lensa yang dipakai untuk memotret/menghasilkan foto
3. Resolusi dari kamera yang digunakan untuk mengambil gambar
4. Digunakan atau tidaknya fitur flash pada kamera
5. Lokasi dimana file tersebut diambil jika kamera yang digunakan mendukung GPS
Masih
banyak hal terkait dengan kamera yang tersimpan dalam sebuah EXIF,
dengan EXIF kita dapat membandingkan perbedaan hasil jepretan dari
kamera yang berbeda, termasuk EXIF foto yang telah direkayasa dengan
software tambahan yang akan kita bahas di sini.
Bagaimana kita bisa melihat EXIF dari sebuah foto?
Melihat
EXIF sebuah foto secara instant dari fitur properties bawaan sebuah
Operating System dirasa terlalu mudah dan menghasilkan keakuratan yang
rendah. Untuk melihat EXIF dari foto secara lengkap kita bisa
menggunakan software yang khusus digunakan untuk itu. Di Linux, utamanya
seperti Backtrack dan Backbox linux kita mengenal software Exiftool
dalam shell mode (berbasis teks). Di Windows juga dibuat exiftool oleh
pembuat yang sama yaitu Phil Harvey, namun kelebihan di Windows ini kita
bisa menggunakan exiftool dalam GUI mode (berbasis visual) yang
memudahkan penggunaan exiftool.
Anda bisa mendapatkan exiftool dari website aslinya langsung dengan download disini:
http://owl.phy.queensu.ca/~phil/exiftool/
Dan saya membuat mirror windowsnya untuk memudahkan praktikum kita kali ini disini:
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftool-8.90.zip
http://www.pakarti.web.id/wp-content/uploads/exiftool/exiftool_windows/exiftoolgui510.zip
Cara install exiftool di Windows :
1. Download exiftool dari alamat web yang saya berikan tadi
2. Extract exiftool-8.90.zip ke Windows directory, sebagai contoh C:\Windows
3. Rename exiftool(-k).exe yang gambar unta menjadi exiftool.exe tanpa (-k)
4. Kemudian extract exiftoolgui510.zip ke tempat yang mudah untuk Anda mengakses exiftool GUI
5. Mulai exiftool GUI dengan menjalankan ExifToolGUI.exe
Pembahasan 1, Melihat EXIF sebuah Foto
Kita umpamakan akan melihat exif foto dari orang yang gambarnya ada di bawah ini :
Buka
exiftool dan arahkan ke lokasi dimana foto tersebut berada, Anda akan
melihat detail EXIF di panel bagian kanan. Bagian yang berwarna biru
muda dalam gambar adalah keterangan terkait dengan kamera atau software
yang digunakan.
Dari
gambar di atas kita memperoleh keterangan bahwa gambar/foto tersebut
diambil dengan kamera CASIO dengan model EX-Z33, orientation Horizontal
(normal), software 1.00, flash auto, focallength 13.1 mm. Yang
menandakan bahwa file foto tersebut asli hasil jepretan kamera.
Lalu bagaimana melihat EXIF file hasil editan photoshop? Arahkan exiftool ke foto editan
Dari
gambar di atas kita melihat baris Software memunculkan value Adobe
Photoshop CS4 Windows yang menandakan bahwa file foto tersebut hasil
editan Photoshop. Meskipun menggunakan kamera ponsel model Nokia
6120classic namun foto yang sudah sedikit saja tersentuh software akan
meninggalkan jejak khas dari software tersebut.
Pembahasan 2, Manipulasi EXIF sebuah Foto
Pada
pembahasan ini kita akan mempelajari teknik penghapusan EXIF metadata
software pada sebuah foto. Arahkan exiftool pada foto editan yang telah
kita buka tadi. Pada menubar pilih Modify lalu pilih Remove metadata.
Untuk
memudahkan pilih remove ALL metadata lalu klik Execute, kini semua
metadata telah berubah, masih ada bagian yang menandakan Adobe (masih
ada sentuhan software).
Kita coba untuk mengimpor EXIF metadata dari foto lain, usahakan fotonya agar sama atau paling tidak “mirip”.
Pada
menubar pilih Export/Import lalu pilih Copy metadata from single file,
klik OK, pilih file yang metadatanya akan dimasukkan ke foto editan lalu
klik Open. Pilih import ALL metadata. Sekarang metadata sudah berhasil
dimodifikasi dengan keterangan hasil jepretan kamera ponsel Nokia tanpa
embel-embel lain pada bagian Software, tinggal sedikit dimodifikasi
nilainya.
Malangnya
pada gambar di atas masih muncul keterangan Adobe. Pada pembahasan
berikutnya kita akan mencari cara untuk menghilangkan keterangan Adobe
ini.
Pembahasan 3, Menghilangkan ciri khas software
Pada
pembahasan sebelumnya foto yang telah kita edit masih menyertakan
embel-embel Adobe. Teknik umum yang biasa digunakan oleh pemalsu foto
adalahmengedit foto dengan software lain sebelum diproses.
Foto
yang telah diedit dengan software akan menyisakan jejak ciri dari
software tersebut, untuk merubah jejak software tersebut tentunya kita
harus menggunakan software lain. Intinya jejak software lama akan
ditimpakan dengan jejak software baru yang bisa dihilangkan. Saya biasa
menggunakan Paint dengan catatan ukuran file akan berubah dari ukuran
file semula.
Pertama copy foto yang akan diedit beserta foto yang
masih murni hasil jepretan kamera yang sama atau “mirip” ke directory
lain misal di My Documents. Buka file foto editan dengan Paint lalu Save
As dengan nama yang sama, jangan ada pengeditan lain apa pun itu.
Di
sini ukuran gambar saya akan mengecil. Buka exiftool lagi arakhan ke
gambar yang baru saja disimpan. Sekarang pertanda baik, tidak ada
keterangan Adobe. Remove lagi metadata seperti tadi lalu impor metadata
dari file foto asli.
Tidak ada keterangan Adobe lagi, exif juga mirip dengan file lain. Tinggal sedikit kustomisasi pada exif foto.
Pembahasan 4, Replace thumbnails
File
foto yang telah ditindih EXIF metadata-nya dengan EXIF metadata dari
file foto lain akan mengikutkan thumbnail gambar foto lain ke dalam foto
yang diedit. Tidak terlihat sekilas memang, tapi akan terlihat setelah
kita menggunakan tool
Exifer.
Dari
gambar di atas terlihat perbedaan thumbnail sekilas dengan thumbnail
yang dilihat dengan software Exifer. Data sekilas menunjukkan thumbnail
yang sama dengan gambar tapi kenyataannya berbeda, thumbnail masih
mengikut pada foto lain yang tadinya diimporkan EXIF metadata-nya
kedalam foto tersebut.
Nah di dalam Pembahasan 4 ini kita akan
mempelajari teknik pe-replace-an thumbnail file foto. Pertama buka tool
Exifer lalu arahkan ke foto editan yang EXIF metadata-nya telah dirubah
seolah asli. Pilih submenu Thumbnail dari menu EXIF/IPTC, pilih Insert
thumbnail lalu arahkan ke foto editan yang thumbnailnya masih murni.
Lalu
OK, pilih replace. Sekarang thumbnail telah seperti semula. Tinggal
sesuaikan tanggal modifikasi dan tanggal pembuatan seperti semula.
Sekarang siapa yang tahu kalau itu foto editan? 
Sebenarnya masih ada banyak cara untuk menyamarkan EXIF metadata ini seperti :
1.
Menggunakan kamera yang memiliki photo editor (kamera haurs sama).
Caranya dengan memasukkan foto kedalam kamera lalu menetapkan tanggal
dan dan waktu pengeditan foto pada kamera dengan tanggal dan waktu
pengambilan foto. Beberapa kamera berhasil menggunakan cara ini.
2. Save as web pada photoshop
3. Menggunakan software exifer untuk menindih Exif metadata seperti tadi
Pengambilan
gambar dari media web tidaklah valid, karena ketika didownload kadang
EXIF metadata telah dimodifikasi. Untuk penyelidikan ambilah gambar/foto
yang berasal dari media fisik seperti flashdisk/CD/memory card. Namun
hal ini juga tidak dapat dijadikan patokan, teknologi semakin berkembang
dan foto palsu pun sekarang bisa jadi asli seperti yang telah kita
praktikkan. Untuk mencocokan hash juga tidak mudah karena tidak
diketahui mana foto yang sekiranya asli. Orang biasanya menilai bila
hash file berbeda maka tidak ada file yang asli.
Semoga dengan sedikit ilmu yang saya berikan bisa menjadi manfaat dan tidak disalahgunakan, Amin.
Mohon
maaf bila ada salah sesuatu, karana basic saya di web and networking,
jadi saya tidak begitu tahu tentang fotografi. File akhir praktik ini
juga dideteksi sebagai editan oleh JPEGsnoop.
