Vom Bücherregal bis zum Bluescreen-Terrorfürsten
Wie Manipulationen in Videos und Bildern erkennbar werden
Neal Krawetz von Hacker Factor führte letzte Woche auf der Black-Hat-Konferenz in Las Vegas vor, wie sich Manipulationen in Digitalvideos zurückverfolgen lassen.
In seiner Präsentation zeigte Krawetz unter anderem mit Hilfe von Wavelets, der Quantisierungstabelle von JPEG-Dateien (die Auskunft darüber gibt, wie das Bild komprimiert wurde), dem von ihm geschriebenen Programm "jpegquality" und einen Verglich mit den Metadaten ob und wie Bilder und Videos verändert wurden.
Krawetz nutzte eine Analyse der Fehlerlevel eines Bildes, um zu bestimmen, welche Teile davon verändert wurden. Dabei wird ein Bild mit einer bekannten Fehlerrate kopiert. Anschließend wird dieses Bild elektronisch mit dem Original verglichen. Dadurch sieht man die Pixel, die verändert wurden, und den Grad, wie stark sie verändert wurden.
Anhand eines Bildes von Aiman al-Zawahiri (von Krawetz "Dr. Z" genannt) wies er solche Veränderungen im Detail nach. Auf dem analysierten Bild sitzt der Ägypter vor einem Schreibtisch, hinter ihm hängt eine Fahne mit einer arabischen Aufschrift. Mit der Fehleranalyse konnte Krawetz graphisch zeigen, dass al-Zawahiri im Farbstanzverfahren vor einem einfarbigen Hintergrund aufgenommen und nachträglich digital in das Bild eingefügt wurde. Zudem zeigte die Analyse, dass auch die Aufschrift auf der Fahne im Hintergrund verändert wurde.
Auch in einer Aufnahme al-Zawahiris, die ihn in einer Art Fernsehstudio zeigt, wurde der Terrorfürst nachträglich mit diesem Verfahren eingefügt. Die Aufnahme hatte im letzten Jahr Spekulationen darüber ausgelöst, wie es dem auf der ganzen Welt Gesuchten möglich war, sich in ein Fernsehstudio zu begeben, ohne dabei festgenommen zu werden. Krawetz lieferte eine Antwort auf dieses Rätsel: Das Studio ist wahrscheinlich rein virtuell, der verwendete Hindergrund wurde aus fünf verschiedenen Aufnahmen zusammengestellt.
In einem anderen Bild, das Krawetz ebenfalls einem Terrorvideo entnommen hatte, ist Azzam al-Amriki in einem weiß gestrichenen Zimmer mit einem Schreibtisch, einem Computer und einigen Büchern zu sehen. Hier zeigte die Analyse, dass die Bücher in der rechten unteren Ecke ein anderes Fehlerlevel aufweisen, als der Rest der Gegenstände – was darauf hindeutet, dass sie später eingefügt wurden. Dass die Bücher auch einen anderen Farbbereich aufweisen, deutet darauf hin, dass sie aus einer anderen Quelle stammen.
Die von Krawetz vorgenommenen Analysen sagen allerdings nichts darüber aus, wer die Manipulationen vorgenommen hat – sie beweisen lediglich, dass die Bilder an den entsprechenden Stellen digital verändert wurden, bevor sie Presse und Öffentlichkeit zugänglich waren.
Einer der Bearbeiter im Aiman-al-Zawahiri-Video ist zweifellos die Firma IntelCenter - ein Unternehmen, das sehr eng mit dem Pentagon zusammenarbeitet. Sie ist spezialisiert auf die Überwachung und Auswertung von Terrorvideos im Netz – ein Geschäftsfeld, in dem Militär und Geheimdienste wichtige Abnehmer sind. Dem entsprechend setzen sich die Mitarbeiter vorwiegend aus ehemaligen Arbeitskräften des amerikanischen Militärgeheimdienstes zusammen. Oft wird IntelCenter deshalb als "outgesourcte" Abteilung des Pentagon betrachtet. Terrorvideos durchlaufen häufig das Unternehmen bevor sie ein großes Medienecho hervorrufen.
Allerdings beweisen die von Krawetz durchgeführten Untersuchungen nicht, wie teilweise vorschnell behauptet wurde, dass das as-Sahab und das IntelCenter-Logo zur selben Zeit eingefügt wurden. Ben Venzke von IntelCenter teilte auf Anfrage von Wired mit, dass seine Firma das as-Sahab-Logo nicht eingefügt habe und wies bei dieser Gelegenheit darauf hin, dass ein identisches Fehlerlevel nicht beweist, dass die Änderungen zur selben Zeit vorgenommen wurden, sondern lediglich, dass sie beim Einfügen einen identischen Kompressionsgrad aufwiesen.