Úterý 12. listopadu, 2024
Evropský rozhled

Co prozrazují metadata obrázků z portálu White Media

Úvodní stránka portálu WM.

 
Stáhli jsme všechny obrázky na portálu white-media.info na lokalní disk a zanalyzovali jsme jejich EXIF (Exchangeable Image File Format) informace, nebo-li metadata. Ty obsahují mnoho zajímavých a pro forenzní analýzu důležitých dat, například o typu fotoaparátu, jakým byly fotografie pořízeny, někdy i jméno jejich autora, software, ve kterém byly upravovány, či kdy byly změněny.

 
Ačkoliv si autoři White Medií dávají velký pozor, aby po nich metadata v obrázcích nezůstávala, po pěti letech provozu webových stránek se jim přesto několik chybiček do snahy o anonymizaci vloudilo.

Bezesporu nejzajímavější informaci obsahuje obrázek /amk1/kumar1.jpg. Na pohled jde o ne příliš zajímavý printscreen domu pravděpodobně pořízený z Google StreetView. Mnohem zajímavější je ale to, co jsme u obrázku našli v metadatech. Tam se totiž objevilo příjmení autora, který obrázek pořídil: Polák. Tento obrázek jsme se pokusili najít přes prohlížeč Google, jestli nebyl stažen z jiných stránek, ale nepodařilo se nám najít žádný jiný zdroj než právě ten z White Media.

Samozřejmě to nemusí nic znamenat. Metadata lze nejenom promazat, ale také zfalšovat, a obrázek může rovněž pocházet z něčí soukromé galerie, která není indexovaná vyhledávačem Google. Nicméně zasluhuje si to pozornost.

 
kumar1V metadatech tohoto obrázku je podepsán jako autor jakýsi Polák.
 

Další na první pohled zajímavou stopou je obrázek /amk1/vaclavak1.jpg. Zde se v metadatech nachází informace o tom, že fotografie byla pořízena digitálním fotoaparátem značky Olympus, model C2020Z. Jak se ale záhy ukázalo, White Media obrázek stáhla z francouzského článku o Praze na portálu radio.cz.

OLYMPUS DIGITAL CAMERAObrázek to není příliš krásný, je značně rozmazaný, a tak by za úvahu přinejmenším stálo, proč si vybrali právě tento obrázek a proč právě z tohoto francouzského článku.

Podobně nese informaci o fotoaparátu i obrázek amk2/hesova.jpg pořízený fotoaparátem Kodak Easyshare model c813 zoom, sériového čísla C813 1E4613227. Snímek patří Zoře Hesové a umístila si ho na svůj blog na aktuálně.cz, kde ho White Media stáhla a pravděpodobně i upravila.

Metadata na White Media naznačují, že obrázek byl upraven softwarem GIMP 2.6.8. Pravděpodobně z něj udělali černobílý obrázek.

V grafickém programu stejné verze byly upraveny i další obrázky, například amk2/hribek2.jpg. Ještě zajímavější je ale fotografie amk2/qvabaiova.jpg, která kromě GIMPu opět obsahuje informace o fotoaparátu značky Olympus, model C2020Z.

Další záznam o fotoaparátu je skryt v obrázku amk2/tomanova.jpg, který byl pořízen Canonem PowerShot S5 IS. Ani tento obrázek se nám nepodařilo volně dohledat na internetu.

Mnoho obrázků obsahuje v metadatech záznam:

CREATOR: gd-jpeg v1.0 (using IJG JPEG v62)

Jde o grafickou knihovnu GD vytvořenou pro obrázky, rozšiřuje například PHP o možnost grafických výstupů. Používají ji často redakční systémy a webové galerie.

Jiné obrázky obsahují informace o primární platformě Apple Computer Inc. Jmenujme amk2/cisler.jpg či amk1/Tamara_Moyzes.jpg a amk2/daniel_vesely.jpg. A další informace svědčí o úpravě obrázků v Adobe Photoshopu, či použití Microsoft Windows Live PhotoGallery.

Drtivá většina fotografií má ale metadata promazaná, což nám ale vůbec nepřekáželo v tom, abychom z nich zjistili něco velmi zajímavého, co by rozhodně nemělo uniknout pozornosti. Patrné je to hlavně na posledních printscreenech e-mailů Bohuslava Sobotky. Zdá se, že printscreeny byly pořízeny dvěma rozdílnými metodami. Některé várky printscreenů e-mailů byly ve formátu jpg, jiné ve formátu png.

První várka e-mailů Bohuslava Sobotky nese datum změny v parametru File Modification Date/Time. Prvnímu screenu odpovídá časový údaj 2016:01:04 20:21:04+01:00. Jde o soubor screen/sobotka1.jpg, který je ve formátu jpg. Následující časové údaje změn mohou o ledasčem vypovídat:

 

screen/sobotka1.jpg 2016:01:04 20:21:04+01:00
screen/sobotka15.jpg 2016:01:04 20:21:13+01:00
screen/sobotka19.jpg 2016:01:04 20:21:18+01:00
screen/sobotka20.jpg 2016:01:04 20:21:19+01:00
screen/sobotka5.jpg 2016:01:04 20:21:43+01:00
screen/sobotka8.jpg 2016:01:04 20:21:45+01:00

 

Druhá várka Sobotkových e-mailů po sobě zanechává ale naprosto jiné stopy než byly nalezeny v první várce. První nejviditelnější rozdíl je, že tentokrát nejde o formát jpg, ale png. Software, kterým byly pořízeny, je gnome-screenshot. Rychlost, kterým pořizoval screeny, je tedy velice zajímavá informace.

 

screen/bsobotka1.png 2016:01:10 12:44:05+01:00
screen/bsobotka10.png 2016:01:10 12:44:06+01:00
screen/bsobotka11.png 2016:01:10 12:44:06+01:00
screen/bsobotka12.png 2016:01:10 12:44:07+01:00
screen/bsobotka13.png 2016:01:10 12:44:09+01:00
screen/bsobotka14.png 2016:01:10 12:44:09+01:00
screen/bsobotka17.png 2016:01:10 12:44:12+01:00
screen/bsobotka2.png 2016:01:10 12:44:14+01:00
screen/bsobotka20.png 2016:01:10 12:44:15+01:00
screen/bsobotka3.png 2016:01:10 12:44:22+01:00
screen/bsobotka30.png 2016:01:10 12:44:23+01:00
screen/bsobotka9.png 2016:01:10 12:44:40+01:00

 

V neposlední řadě je tu série screenů „ssobotka“, které jsou střídavě typu jpg a png.

 

screen/ssobotka1.jpg 2016:01:04 20:21:47+01:00
screen/ssobotka10.jpg 2016:01:04 20:21:49+01:00
screen/ssobotka2.png 2016:01:04 20:22:01+01:00
screen/ssobotka20.png 2016:01:04 20:22:02+01:00
screen/ssobotka3.jpg 2016:01:04 20:22:14+01:00
screen/ssobotka30.png 2016:01:04 20:22:15+01:00
screen/ssobotka33.jpg 2016:01:04 20:22:19+01:00

 

V příloze přikládáme metadata všech obrázků na portálu White Media ke dni 16. 1. 2016. Věříme, že někteří z vás v něm najdou další užitečné informace vedoucí k odhalení identit kolektivu kolem White Medií.

Metadata se samozřejmě nenachází jen v obrázcích, letmo jsme prohlédli všechny soubory s kaskádovými styly a v jednom z nich jsme objevili podepsaného autora. Jde o jakéhosi „Vencla“. Prohlídli jsme si letmo i metadata z „protiteroristického balíčku“ a dospěli jsme k závěru, žes ním bylo manipulováno – původně dokument vytvořilo Ministerstvo vnitra, ale poté ho pozměnil uživatel, který po sobě zanechal v metadatech podpis „jankul“.

 
AKTUALIZACE 21. 1. 2015
Ukázalo se, že „jankul“ je zaměstnancem Odboru bezpečnostní politiky Ministerstva vnitra ČR – jeho jméno je redakci známé, ale nebudeme ho zveřejňovat.

Fotka Zory Hessové se nachází i na Deníku Referendum.

 
Příloha
Metadata obrázků z portálu white-media.info ke stažení