-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Metadane – Święty Graal czy ślepy zaułek? [Czwartki z OSINTem]

12 maja 2022, 22:33 | W biegu | komentarzy 5

Zanim przejdziemy do treści wszystkie dotychczasowe odcinki serii „Czwartki z OSINTem” możecie przeczytać tutaj. Żeby niczego nie przegapić oraz otrzymać dodatkowe materiały zachęcamy do zapisania się do listy poniżej (po zapisie sprawdź swoją skrzynkę, potwierdź zapis; jeśli nie przyszedł e-mail, sprawdź też spam):

***

Dzięki rosnącej liczbie satelitów, udostępniających zdjęcia wykonane z orbity, mamy na co dzień dostęp do ogromnej bazy ogólnodostępnych informacji na temat praktycznie każdego zakątka Ziemi. Tym samym możemy weryfikować i poddawać analizie to, co przekazują nam media, nie ruszając się nawet sprzed komputera. Znacząca część tych zdjęć dostępna jest w Internecie zupełnie za darmo, choć jeśli chcemy uzyskać większą szczegółowość obrazu, musimy liczyć się z większymi lub mniejszymi opłatami.

Metadane stanowią ciekawy element śledztw OSINT-owych. Są bardzo konkretną wskazówką przy ustalaniu źródła pochodzenia zdjęć, filmów lub dokumentów i przyczyniają się do lepszego zrozumienia kolejności zdarzeń. W jednej z poprzednich części tej serii pokazywałem przykład śledztwa, w którym ustalono pierwotnego autora filmiku na TikToku, a tym samym zdemaskowano fake newsa. Dzisiaj zajmę się sprawą metadanych zawartych bezpośrednio w plikach publikowanych w Internecie.

Na początku lutego 2022 roku Philipp-Harald Rack opublikował na swoim Twitterze informację, że z plików PDF można wyeksportować zdjęcia w pełnej rozdzielczości i z całym zestawem metadanych. W tym celu wystarczy skorzystać z narzędzia pdfimages (dla systemu Windows dostępnego w bibliotece poppler). O ile faktycznie okazuje się, że podczas tworzenia pliku PDF możliwe jest zawarcie w nim obrazka z pełnymi metadanymi, to jednak z przeprowadzonej przeze mnie na szybko analizy wynika, że większość programów generujących dokumenty w takim formacie usuwa metadane. Programem, który tego nie robi, jest Writer z Libre Office, ale tylko wtedy, gdy przy eksporcie do formatu PDF ustawimy opcję „brak kompresji” dla plików graficznych. Niemniej spostrzeżenie to jest bardzo ciekawe dla poszukiwania dodatkowych metadanych w dokumentach.

Metadane w obrazku wyeksportowanym z PDF-a.

Weryfikacji tego, jakie metadane pozostawiają przeróżne organizacje w dokumentach otwartych (z rozszerzeniem DOCX) lub eksportowanych do PDF-a, można dokonać, wyszukując dowolne pliki o tym rozszerzeniu w Google lub innej wyszukiwarce. Tutaj posłużę się zapytaniem do Google o brzmieniu: „audit report” ext:docx, które wskaże mi wszystkie dokumenty zawierające słowa „audit report” i posiadające rozszerzenie DOCX, a więc stworzone w Wordzie (w przypadku pakietu MS Office) lub Writerze (w przypadku Libre/Open Office).

Jeden z pierwszych wyników wyszukiwania przyniósł efekt w postaci pliku z bardzo dużą liczbilością metadanych, co pozwala zobaczyć, jak szeroki może być wachlarz informacji w nich zawartych: od wersji oprogramowania, w jakiej dokument powstawał, przez dane autora i firmy, aż po ścieżkę jego przechowywania. Ciekawym zestawem metadanych są etykiety MSIP, które dotyczą zabezpieczeń w ramach chmury Microsoft Azure.

Fragment metadanych z pliku w formacie DOCX. Zasłonięte elementy dotyczą danych osobowych autora lub innych osób zaangażowanych w obieg dokumentu.

W niektórych plikach można znaleźć bardzo dokładne dane o maszynie, na której tworzony był plik, łącznie z systemem operacyjnym, ścieżką pliku i nazwą użytkownika:

Ścieżka do pliku źródłowego dla PDF-a wraz z nazwą użytkownika komputera i oprogramowaniem używanym do generowania PDF-ów.

Jednak nie tylko dokumenty tekstowe mogą zawierać istotne metadane. 18 lutego 2022 roku w filmach opublikowanych na Telegramie (tutaj oraz tutaj) przez prorosyjskich separatystów pojawiła się informacja o ewakuacji ludności na wschodzie Ukrainy. Tematem szybko zainteresowali się m.in. dziennikarze śledczy z grupy Bellingcat. Zarówno Aric Toler, jak i Eliot Higgins opublikowali na Twitterze zrzuty ekranu pokazujące metadane plików, które dowodziły, że filmy zostały nagrane dwa dni wcześniej (czyli 16 lutego 2022 roku), a opublikowano je dopiero wtedy, kiedy sytuacja się zaogniła. Pomimo doniesień z wielu stron o zdemaskowaniu tej manipulacji autorzy postu nie przejęli się wpadką i nie usunęli filmów, co nadal umożliwia (w chwili pisania tego tekstu) każdej osobie posiadającej konto na Telegramie ściągnięcie plików i samodzielne zweryfikowanie tych metadanych.

Fragment metadanych z jednego z filmów z Telegrama, w którym widać datę utworzenia i modyfikacji – 16.02.2022.

Minusem jest tu konieczność posiadania konta na Telegramie, aby można pobrać wspomniane filmy i zainstalowanie aplikacji, gdyż w odróżnieniu np. od Twittera czy Facebooka, Telegram nie ma w pełni funkcjonalnej wersji przeglądarkowej. Plusem – oczywiście z punktu widzenia OSINT-u, a nie prywatności użytkowników – jest natomiast polityka Telegrama polegająca na nieusuwaniu metadanych z wgrywanych mediów. Dodatkowym ułatwieniem jest fakt, że Telegram umożliwia ściągnięcie pliku na dysk bezpośrednio z opcji aplikacji i nie trzeba w tym przypadku żadnych trików, jak to ma miejsce chociażby w przypadku pobierania filmów z Tiktoka. Jeśli jesteście zainteresowani innymi sposobami na pozyskiwanie plików bezpośrednio z różnych mediów społecznościowych, zajrzyjcie na kurs OSINT master #2 – geolokalizacja.

Oczywiście do metadanych w pliku należy zawsze podchodzić z dużą ostrożnością, gdyż modyfikowanie ich jest bardzo proste i z pomocą kilku komend lub kliknięć można zarówno usunąć metadane, jak i wprowadzić je lub modyfikować. Metadane zależą także od czasu ustawionego na urządzeniu, np. aparacie fotograficznym. Telefony komórkowe zazwyczaj podają aktualną datę i godzinę, jednak w przypadku aparatów, które są urządzeniami działającymi offline, data i godzina są określane przez użytkownika, który wprowadza je ręcznie.

Nie mniej ciekawie przedstawiają się pozostałe metadane, do których możemy uzyskać dostęp, posługując się np. wszechstronnym narzędziem Exiftool. W pierwszej kolejności, po wpisach dotyczących dat, o których wspominałem powyżej, znajdują się informacje dotyczące oprogramowania  wykorzystanego do stworzenia klipu.

Informacje o oprogramowaniu i datach modyfikacji klipu.

Widoczne na zrzucie ekranu wpisy wskazują na Adobe Premiere Pro 2020.0 dla Windows, czyli są to dokładne informacje o środowisku, w którym powstawał docelowy klip. Aplikacja ta to rozbudowana wersja oprogramowania do tworzenia klipów filmowych od Adobe, jednak nie w najnowszej wersji. Także przebieg samego tworzenia pliku jest dość dokładnie udokumentowany, ponieważ widoczne są cztery wpisy (saved, created, saved, saved) oraz daty im odpowiadające. Wszystkie one wskazują na 16 lutego 2022 roku.

To jednak nie koniec metadanych. Kolejne wpisy wskazują, jakich plików źródłowych użyto do produkcji docelowego filmu. Były to dwa nagrania, zarejestrowane godzinę wcześniej (ale nadal 16 lutego) aparatem Panasonic DC-GH5. Szybki rekonesans pokazuje, że jest to model flagowego, bezlusterkowego aparatu marki Panasonic z serii Lumix. Takie drobne szczegóły są ważne, gdyż mogą się przydać w późniejszej korelacji kolejnych badanych filmów z tym samym źródłem.

Informacje o aparacie, za pomocą którego utworzono pierwotne ujęcia.

Każdy trop warto zweryfikować, więc dodatkowo można porównać sposób nazywania plików (zdjęć i filmów) ze wzorcem nazewnictwa plików dla aparatów danej marki. Tego typu zestawienia można wyszukać w kilku miejscach w Internecie, jednak dla własnej wygody, a także dla innych osób potrzebujących takich informacji, zebrałem je w jedną listę, która jest dostępna na moim Githubie. Wszystko się zgadza – pliki rozpoczynające się od „P10” pochodzą z aparatów Panasonic lub Olympus.

Zestaw metadanych ze ścieżką, w której zapisany był klip podczas tworzenia.

Kolejne wpisy w zestawie metadanych pozwalają stwierdzić, w jakiej ścieżce na dysku zapisywany był film przez Adobe Premiere. Z pola „Windows Atom Unc Project Path” możemy wyczytać zbiór dalszych informacji: potwierdzenie, że oprogramowanie działało na systemie Windows, użytkownik najprawdopodobniej pracował na koncie administratora, a plik był tworzony dość krótko. Ten ostatni wniosek pozwoliłem sobie wysnuć na podstawie nazwy pliku „Untitled.prproj” w katalogu automatycznego zapisywania stanu projektu – skoro plik nie miał nawet nadanego tytułu, to prawdopodobnie nie był elementem jakiegoś większego projektu. Daty zapisu i edycji pliku zdają się to potwierdzać.

Na podstawie analizy zaledwie jednego pliku możliwe było zdobycie wielu informacji: czasu stworzenia klipu, systemu operacyjnego twórcy, oprogramowania wykorzystywanego do edycji filmu, modelu aparatu fotograficznego wykorzystanego do nagrania, a nawet nazwy użytkownika systemu operacyjnego i prawdopodobnie też poziomu jego uprawnień. Oczywiście każda z tych informacji (a nawet wszystkie naraz) może być fałszywym tropem, jednak zdają się one zazębiać ze sobą i tworzyć spójny obraz procesu produkcji nagrania.

Podsumowanie i rady:

  • Metadane, jeśli są obecne, mogą stanowić źródło różnorodnych informacji o procesie powstawania pliku:, zdjęcia, filmu czy dokumentu.
  • Manipulacja metadanymi jest procesem niewymagającym szerokiej wiedzy lub specjalistycznego oprogramowania.
  • Im więcej możliwości połączenia faktów w spójną całość lub potwierdzenia ich za pomocą innych technik, tym lepiej.
  • Chociaż wiele serwisów internetowych czyści pliki multimedialne z metadanych, niektóre tego nie robią, a co za tym idzie, narażają twórców na zdradzenie większej ilości informacji, niż ci prawdopodobnie chcieliby opublikować.

Krzysztof Wosiński

@SEINT_pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zapisy

    Hehe, metadane można zmieniać i zapisywać, z czego skwapliwie korzystają obie walczące strony.
    Historia na randkach. Przedstawia się jako programista z US. Przesyła zdjęcie nad czym pracuje, zrobione telefonem. Otagowane GPSem, rzeczywiście był z US, z San Francisco, ale nie miał pojęcia, że telefon mu fotki taguje współrzędnymi :-)

    Odpowiedz
  2. Torinthiel

    Autorze, zdecyduj się czy liczbą czy ilością:
    „bardzo dużą liczbilością metadanych”

    Odpowiedz
  3. anonymus

    exifcleaner i po wszystkim…

    Odpowiedz
  4. buu

    Hej jak nazywa się to narzędzie na cmd to wyświetlania metadanych?

    Odpowiedz
  5. wk

    Metadane plików graficznych to jedna bajka, a metadane komunikacji (maile, telefon, komunikatory, repozytoria) to inna bajka. Dla mnie ciekawsza ;)

    Odpowiedz

Odpowiedz