Der Bereich der Forensik ist vielfältig. Im Rahmen dessen geht es jeweils um das Identifizieren von verborgenen Informationen und dem Erkennen von Zusammenhängen. Zum Beispiel kann versucht werden mittels Carving einzelne Dateien aus einem Datenträger zu extrahieren. Oder durch das Analysieren von Netzwerkkommunikationen kann versucht werden einen Angriff als solchen zu erkennen.

Der Bereich der Bild-Forensik ist nicht minder spannend. Zwei Mechanismen sollen nachfolgend vorgestellt werden. Sie helfen dabei Hinweise auf die Herkunft eines digitalen Fotos zusammenzutragen. Zum Zweck dieser Untersuchung wurde ein beliebiges Foto aus dem Internet heruntergeladen und analysiert. Es wird anbei dargestellt.

Exif-Tags – Bildinformationen auslesen

Das Exchangeable Image File Format ist ein Standard der Japan Electronic and Information Technology Industries Association (JEITA) für das Dateiformat, in dem moderne Digitalkameras Informationen über die aufgenommenen Bilder speichern.

Diese Metadaten enthalten grundlegende Details, die für eine Analyse von Interesse sein kann. Nachfolgend werden die vom Original-Bild extrahierten Exif-Daten dargestellt. Zu einem jeden Tag wird ein entsprechender Value bereitgestellt. Es werden nur die im Rahmen einer forensischen Untersuchung besonders interessanten Werte dargelegt.

Zum Beispiel wird im Tag Make der Name des Herstellers der Kamera, die für die Aufnahme herangezogen wurde, ausgewiesen. Zusätzlich findet sich in Model die Modellbezeichnung des Geräts. So wurde für die besagte Aufnahme eine Konica Minolta DiMAGE G400 verwendet. Der Zeitpunkt der Aufnahme als solche wird im Tag DateTimeOriginal abgelegt. Sie erfolgte damit am 2006/07/08 um 12:49 Uhr (Wir haben als Fallbeispiel absichtlich ein etwas älteres Foto genommen).

Ebenso finden sich einige grundlegenden technischen Informationen zur Konfiguration der Kamera. Zum Beispiel in Flash, ob ein Blitz verwendet, in Contrast, ob Anpassungen am Kontrast vorgenommen und in DigitalZoomRatio, welche Ratio des digitalen Zooms verwendet wurden.

Längerfristig werden vor allem GPS-Informationen, wie sie in den Tags GPSLatitude und GPSLongitude abgelegt werden, von Interesse sein. Gerade weil immer mehr Kameras einen entsprechenden GPS-Chip mitbringen und die Daten auch entsprechend taggen – So zum Beispiel das iPhone 3GS. Gerade anonyme Bilder, wie sie zum Beispiel in Erotik-Inseraten verbreitet werden, können so unter Umständen Rückschluss auf die Personendaten zulassen. Eine erste statistische Analyse in dieser Richtung im Zusammenhang mit Twitpic wurde von Johannes Ullrich publiziert.

Thumbnails – Originalbilder erkennen

Viele Kameras und Bildbearbeitungsprogramme speichern in den jeweiligen Bildern ein Thumbnail ab. Hierbei handelt es sich um eine kleinere Version des Bilds, die beispielsweise bei einer gekachelten Übersicht herangezogen werden kann. Da nur ein kleines Bild dargestellt werden will, muss auch nur eine kleine Version mit erheblich hoher Geschwindigkeit geladen werden (z.B. 120×90 anstatt 1280×960).

Oftmals werden Bilder weiterverarbeitet, ohne das Thumbnail des Original-Bilds anzupassen bzw. zu löschen. Erstmals grosse Aufmerksamkeit erlangte dieser Effekt, als die TechTV-Moderatorin Catherine Schwartz vermeintliche Portraitfotos von sich online stellte. Im Thumbnail des Bilds war jedoch klar zu sehen, dass dies ursprünglich eine Ganzkörperaufnahme mit ohne Kleidung war.

Dieser Effekt soll nun an nachfolgender Bildserie illustriert werden. Als erstes wird das effektive Original-Bild dargestellt, das als Thumbnail abgelegt wurde. Bei der Bildbearbeitung wurde sich entschieden, den im zweiten Bild markierten Bereich auszuschneiden und als neues Originalbild in der dritten Abbildung (Hund im Wasser) einzusetzen. Indem nun das Thumbnail des neuen Originalbilds extrahiert werden konnte, liess sich das effektive Originalbild (Mann mit Hund) ausmachen:

Der Finne Tõnu Virolaismies Samuel bietet auf seiner Webseite einen auf PHP basierenden Crawler an, der automatisiert derlei Thumbnails ausmachen kann. In der Gallery sind einige schöne Beispiele dafür zu sehen, wie sich bisweilen ganz kuriose Originalbilder ausmachen lassen. Eric Schmidt, der CEO von Google hat diesen Effekt mit folgenden Worten abgetan:

If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://ca.konicaminolta.com/products/consumer/digital_camera/dimage/dimage-g400/
• http://gawker.com/5419271/google-ceo-secrets-are-for-filthy-people
• http://graphicssoft.about.com/b/2003/07/26/techtvs-cat-schwartz-exposed-is-photoshop-to-blame.htm
• http://isc.sans.org/diary.html?storyid=8203
• http://no.spam.ee/~tonu/exif/
• http://phoneboy.com/2306/product-leaks-and-what-can-be-done
• http://www.digicamsoft.com/exif22/exif22/html/exif22_1.htm