Stáhli jsme všechny obrázky na portálu white-media.info na lokalní disk a zanalyzovali jsme jejich EXIF (Exchangeable Image File Format) informace, nebo-li metadata. Ty obsahují mnoho zajímavých a pro forenzní analýzu důležitých dat, například o typu fotoaparátu, jakým byly fotografie pořízeny, někdy i jméno jejich autora, software, ve kterém byly upravovány, či kdy byly změněny.
Ačkoliv si autoři White Medií dávají velký pozor, aby po nich metadata v obrázcích nezůstávala, po pěti letech provozu webových stránek se jim přesto několik chybiček do snahy o anonymizaci vloudilo.
Bezesporu nejzajímavější informaci obsahuje obrázek /amk1/kumar1.jpg. Na pohled jde o ne příliš zajímavý printscreen domu pravděpodobně pořízený z Google StreetView. Mnohem zajímavější je ale to, co jsme u obrázku našli v metadatech. Tam se totiž objevilo příjmení autora, který obrázek pořídil: Polák. Tento obrázek jsme se pokusili najít přes prohlížeč Google, jestli nebyl stažen z jiných stránek, ale nepodařilo se nám najít žádný jiný zdroj než právě ten z White Media.
Samozřejmě to nemusí nic znamenat. Metadata lze nejenom promazat, ale také zfalšovat, a obrázek může rovněž pocházet z něčí soukromé galerie, která není indexovaná vyhledávačem Google. Nicméně zasluhuje si to pozornost.
V metadatech tohoto obrázku je podepsán jako autor jakýsi Polák.
Další na první pohled zajímavou stopou je obrázek /amk1/vaclavak1.jpg. Zde se v metadatech nachází informace o tom, že fotografie byla pořízena digitálním fotoaparátem značky Olympus, model C2020Z. Jak se ale záhy ukázalo, White Media obrázek stáhla z francouzského článku o Praze na portálu radio.cz.
Obrázek to není příliš krásný, je značně rozmazaný, a tak by za úvahu přinejmenším stálo, proč si vybrali právě tento obrázek a proč právě z tohoto francouzského článku.
Podobně nese informaci o fotoaparátu i obrázek amk2/hesova.jpg pořízený fotoaparátem Kodak Easyshare model c813 zoom, sériového čísla C813 1E4613227. Snímek patří Zoře Hesové a umístila si ho na svůj blog na aktuálně.cz, kde ho White Media stáhla a pravděpodobně i upravila.
Metadata na White Media naznačují, že obrázek byl upraven softwarem GIMP 2.6.8. Pravděpodobně z něj udělali černobílý obrázek.
V grafickém programu stejné verze byly upraveny i další obrázky, například amk2/hribek2.jpg. Ještě zajímavější je ale fotografie amk2/qvabaiova.jpg, která kromě GIMPu opět obsahuje informace o fotoaparátu značky Olympus, model C2020Z.
Další záznam o fotoaparátu je skryt v obrázku amk2/tomanova.jpg, který byl pořízen Canonem PowerShot S5 IS. Ani tento obrázek se nám nepodařilo volně dohledat na internetu.
Mnoho obrázků obsahuje v metadatech záznam:
CREATOR: gd-jpeg v1.0 (using IJG JPEG v62)
Jde o grafickou knihovnu GD vytvořenou pro obrázky, rozšiřuje například PHP o možnost grafických výstupů. Používají ji často redakční systémy a webové galerie.
Jiné obrázky obsahují informace o primární platformě Apple Computer Inc. Jmenujme amk2/cisler.jpg či amk1/Tamara_Moyzes.jpg a amk2/daniel_vesely.jpg. A další informace svědčí o úpravě obrázků v Adobe Photoshopu, či použití Microsoft Windows Live PhotoGallery.
Drtivá většina fotografií má ale metadata promazaná, což nám ale vůbec nepřekáželo v tom, abychom z nich zjistili něco velmi zajímavého, co by rozhodně nemělo uniknout pozornosti. Patrné je to hlavně na posledních printscreenech e-mailů Bohuslava Sobotky. Zdá se, že printscreeny byly pořízeny dvěma rozdílnými metodami. Některé várky printscreenů e-mailů byly ve formátu jpg, jiné ve formátu png.
První várka e-mailů Bohuslava Sobotky nese datum změny v parametru File Modification Date/Time. Prvnímu screenu odpovídá časový údaj 2016:01:04 20:21:04+01:00. Jde o soubor screen/sobotka1.jpg, který je ve formátu jpg. Následující časové údaje změn mohou o ledasčem vypovídat:
screen/sobotka1.jpg | 2016:01:04 20:21:04+01:00 |
screen/sobotka15.jpg | 2016:01:04 20:21:13+01:00 |
screen/sobotka19.jpg | 2016:01:04 20:21:18+01:00 |
screen/sobotka20.jpg | 2016:01:04 20:21:19+01:00 |
screen/sobotka5.jpg | 2016:01:04 20:21:43+01:00 |
screen/sobotka8.jpg | 2016:01:04 20:21:45+01:00 |
Druhá várka Sobotkových e-mailů po sobě zanechává ale naprosto jiné stopy než byly nalezeny v první várce. První nejviditelnější rozdíl je, že tentokrát nejde o formát jpg, ale png. Software, kterým byly pořízeny, je gnome-screenshot. Rychlost, kterým pořizoval screeny, je tedy velice zajímavá informace.
screen/bsobotka1.png | 2016:01:10 12:44:05+01:00 |
screen/bsobotka10.png | 2016:01:10 12:44:06+01:00 |
screen/bsobotka11.png | 2016:01:10 12:44:06+01:00 |
screen/bsobotka12.png | 2016:01:10 12:44:07+01:00 |
screen/bsobotka13.png | 2016:01:10 12:44:09+01:00 |
screen/bsobotka14.png | 2016:01:10 12:44:09+01:00 |
… | … |
screen/bsobotka17.png | 2016:01:10 12:44:12+01:00 |
screen/bsobotka2.png | 2016:01:10 12:44:14+01:00 |
screen/bsobotka20.png | 2016:01:10 12:44:15+01:00 |
… | … |
screen/bsobotka3.png | 2016:01:10 12:44:22+01:00 |
screen/bsobotka30.png | 2016:01:10 12:44:23+01:00 |
… | … |
screen/bsobotka9.png | 2016:01:10 12:44:40+01:00 |
V neposlední řadě je tu série screenů „ssobotka“, které jsou střídavě typu jpg a png.
screen/ssobotka1.jpg | 2016:01:04 20:21:47+01:00 |
screen/ssobotka10.jpg | 2016:01:04 20:21:49+01:00 |
… | … |
screen/ssobotka2.png | 2016:01:04 20:22:01+01:00 |
screen/ssobotka20.png | 2016:01:04 20:22:02+01:00 |
… | … |
screen/ssobotka3.jpg | 2016:01:04 20:22:14+01:00 |
screen/ssobotka30.png | 2016:01:04 20:22:15+01:00 |
screen/ssobotka33.jpg | 2016:01:04 20:22:19+01:00 |
V příloze přikládáme metadata všech obrázků na portálu White Media ke dni 16. 1. 2016. Věříme, že někteří z vás v něm najdou další užitečné informace vedoucí k odhalení identit kolektivu kolem White Medií.
Metadata se samozřejmě nenachází jen v obrázcích, letmo jsme prohlédli všechny soubory s kaskádovými styly a v jednom z nich jsme objevili podepsaného autora. Jde o jakéhosi „Vencla“. Prohlídli jsme si letmo i metadata z „protiteroristického balíčku“ a dospěli jsme k závěru, žes ním bylo manipulováno – původně dokument vytvořilo Ministerstvo vnitra, ale poté ho pozměnil uživatel, který po sobě zanechal v metadatech podpis „jankul“.
AKTUALIZACE 21. 1. 2015
Ukázalo se, že „jankul“ je zaměstnancem Odboru bezpečnostní politiky Ministerstva vnitra ČR – jeho jméno je redakci známé, ale nebudeme ho zveřejňovat.
Fotka Zory Hessové se nachází i na Deníku Referendum.
Příloha
Metadata obrázků z portálu white-media.info ke stažení