Ninas Schmierblo(g)ck

Konservierungsmittel...

Geocaching Mysteries lösen - Kapitel 5 - Bilderanalyse - Teil 2: Technische Bilderverstecke

Geschrieben von Nina • Montag, 14. Januar 2013 • Kategorie: Mysteries lösen
Geocaching Mysteries lösen

5.2 Bilderanalyse - Teil 2: Technische Bilderverstecke

Neben dem rein optischen Varianten lassen sich mit digitalen Bildern auf technische Weise eine Menge Scheußlichkeiten anstellen. Bei Geocaching-Mysteries am Schlimmsten finde ich computergestützte Steganografie. So schön es ist, unsichtbar und fast unknackbar mit kostenlos erhältlichen Programmen fast alle erdenklichen Dinge in Bildern zu verstecken, so ist es für den Mysterylöser eher mühsam, da man zum Entschlüsseln genau die Software benutzen muss, mit der auch verschlüsselt worden ist. Weiß man welche es ist, muss man möglicherweise nur noch ein Passwort ermitteln und ist eine Runde weiter. Kennt man die Software nicht, ist es ein frustrierend langweiliges Durchprobieren der üblichen Verdächtigen.



Es gibt aber viel schönere und einfachere Methoden, Informationen in Bildern zu verstecken und wiederzufinden. So könnte einfach die Bildgröße, Höhe und Breite in Pixeln, die fehlende Nord- und Ostkoordinate sein (oder doch wenigstens deren letzte drei Ziffern). Alternativ könnte auch die Stelle eines relevanten Pixels die Koordinate anzeigen.



Ist das Bild ein JPEG (die Endung des Bildes .jpg), kann es EXIF-Zusatzinformationen beinhalten. Gedacht sind diese für Autorenvermerke, Kommentare oder Daten zu Kameras und Fotoeinstellungen. Neuere Fotoapparate enthalten oft schon einen GPS-Empfänger und speichern die Koordinate, an der das Bild gemacht wurde, gleich mit. Smartphones können dies ebenfalls. Und so mancher Mystery verrät seine Finalkoordinaten so schon durch unachtsame Geocacher, die Fotos mit derart interessanten Zusatzinformationen unwissentlich in ihren Logs mit hochladen.



Für das Sichtbarmachen dieser Zusatzinformationen (EXIF, IPTC, Comments) kann man Bildbetrachter benutzen (das erwähnte IrfanView oder xnview) oder das Internet bemühen (Jeffreys Exif viewer) . Bildbearbeitungsprogramme zeigen dieses ebenfalls an. Mein Favorit hierbei ist die Freeware Gimp, die ihrem großen Bruder Photoshop zumindest in meinen semi-professionellen Anwendungsgebieten in nichts nachsteht. Wer Firefox nutzt, kann auch auf einige entsprechende Add-ons zurückgreifen, welche das Herunterladen des Bildes möglicherweise überflüssig machen. Bei meinen Tests funktionierten diese aber eher nur mäßig gut.



Findet sich in den Bildereigenschaften nichts sinnvolles, sollte man sich das Bild mal in einem Hexeditor anschauen. Im IrfanView kann man dies mit View -> Show hex view bzw. durch das Drücken der Taste F3. Im IrfanView werden dann in einem Extrafenster links die Hexadezimaldaten angezeigt, rechts der "Klartext", der bei einem Bild natürlich weitestgehend nicht menschenlesbar ist.

Ein normaler Hexeditor (wie z.B. HxD) tut selbiges natürlich ebenfalls. In der Hexansicht kann man nun vielleicht Informationen oder auch Manipulationen entdecken, die man dem Bild selber nicht ansieht. Das Format jpg ist zwar grundsätzlich an feste Regeln gebunden, nur kann man diese ziemlich beugen und das Bild wird noch immer fehlerfrei angezeigt. So lässt sich an einigen Stellen (im oberen Bereich und ganz unten) Text verbergen, den der geneigte Leser nur in der Hexansicht zu lesen bekommt. Beim Geocaching gern benutzt ist das Anhängen eines Zips, also einer gepackten Datei, an das jpeg-Bild. Öffnet man dieses jpg in einem Zip-Programm (z.B. Winrar), öffnet sich das Archiv und man kann den Inhalt entpacken. Manchmal hat der Owner des Mysterys noch ein Passwort eingebaut, was sich dann hoffentlich aus dem Listing ergibt (vielleicht Cachetitel, GC-Code oder Ownername?).



Ob einem Jpeg-Bild etwas angehängt worden ist, lässt sich über die Hex-Ansicht leicht überprüfen. Laut den JPEG-Spezifikationen muss ein JPEG-Bild mit dem Hexadezimal-Wert FF D8 beginnen und mit FF D9 enden. Endet es anders, ist es manipuliert. Etwas ist wie das Gezippte ist angehängt worden, oder möglicherweise einfach Text am Ende eingefügt. Um diesem Geheimnis auf die Spur zu kommen, muss man - wenn die Infos nicht schon direkt ablesbar sind - mit einem Hex-Editor alles, was nach dem eigentlichen Ende des JPEG-Bildes, also dem Hex FF D9 , abschneiden und in eine neue Datei packen (das FF D9 kann, beabsichtigt oder nicht, mehrfach vorkommen! Dann müssen eventuell alle möglichen "Schnittvarianten" ausprobiert werden). Dieses neue Dokument nun unter einem passenden Namen speichern und mit sinnvollen Programmen öffnen. Es könnte sich ja ebenfalls um ein Bild handeln, dann wäre ein Bildbetrachter angebracht. Vielleicht auch ein Texteditor. Ein Video- oder Musikplayer vielleicht? Mag möglicherweise ein PDF-Reader Inhalte anzeigen?

Auch an PNG-Dateien lassen sich Daten anhängen. In HEX betrachtet fängt ein PNG mit den HEX-Zahlen 89 50 4E 47 an und endet mit 49 45 4E 44 AE 42 60 82 . Gibt es nach der Endung noch weiteren Hexcode, würde ich den per HEX-Editor mal abschneiden, abspeichern und gucken, was es wohl sein könnte. Sollte es wieder mit 89 50 4E 47 beginnen, ist es ein neues PNG. Alternativ kann man unbekannte Dateien mit den typischen Programmen (Bildbetrachter, Audioanalyser, Notepad, o.äh.) zu öffnen versuchen. Oder das Internet bemühen und die ersten HEX-Zeichen einer Suchmaschine geben. Die allermeisten Dateiformate haben spezielle Startsequenzen.

Zur tieferen Analyse von PNG-Dateien kann ich das Tool tweakpng empfehlen.

Eine weitere Entzauberung fieser Bilderrätsel kann man über die Farb-/Kontrast-/Sättigungs- und Gammaregler einer geneigten Bildbetrachtungs- oder -bearbeitungssoftware durchführen. Einfach mal die vorhandenen Regler (im IrfanView unter Image / Color correction zu finden, im Gimp gibt es verschiedene Fenster unter dem Menüpunkt Farben) hin und her schieben. Besonders den Gammaregler auch gern komplett mal an beide Enden bewegen, so manches Mal taucht dann, wie von Zauberhand, etwas im Bild auf, was vorher definitiv unsichtbar gewesen ist. Nun... eigentlich nicht ganz unsichtbar, je nach Bildart und Farbfüllung wäre man diesem Trick auch auf die Schliche gekommen, wenn man die Bearbeitungsfunktion (zB. Im IrfanView Edit, Paint Dialog) benutzt und mit diesem schicken Eimerchensymbol Farbe über diverse, optisch einfarbige Bereiche kippt (Toleranzschwelle auf so klein wie möglich setzen). Dieser Gegenzauber hilft aber nur bei Bildern mit wenig Details und großflächig einfarbigen Stellen. Alternativ kann man auch mit dem "Zauberstab" der Bildbearbeitungssoftware und einer Empfindlichkeit von "0" oder "1" versuchen, alle exakt gleichfarbigen Stellen zu markieren und erhält so die, die sich vielleicht nur marginal und optisch unsichtbar unterscheiden.

Hat man ein Bild vorliegen, was nur aus zwei Farben besteht oder besonders auffällige Bildbereiche besitzt, könnten die Farbwerte der Schlüssel sein. Mit Gimp und der Pipette im Werkzeugfenster kann man den Farbwert "aufnehmen" und mit einem Doppelklick auf das Quadrat, welches nun im Werkzeugfenster nun die Farbe angenommen hat, erfährt man Details zu ihr. Zum Beispiel die RGB-Farbwerte, bei denen Rot, Gelb und Blau jeweils mit einer Zahl dargestellt werden (R 52/G 12/B 33) oder der Hexadezimalwert der Farbe, wie #4fad91. Oh wie hübsch, dezimal ist das 5221777, eine Nordkoordinate! ;) . Was man alles mit Farben in Geocaches anstellen kann, habe ich hier versucht zu erklären.

Hat man eine GIF-Datei vorliegen (endet mit .gif), kann diese aus mehreren Teilen bestehen, die nach einer vorbestimmten Zeit wie ein Daumenkino ablaufen. Das kann so schnell sein, dass es wie ein solches aussieht, oder so langsam, dass man vermutlich gar nicht mehr hinschaut, wenn das Bild endlich mal wechselt. Daher sollte man GIFs immer auseinandernehmen. Im Gimp geöffnet erkennt man dann im Ebenenfenster die verschiedene Ebenen, in xnview kann man unter Ansicht -> Frame zwischen den einzelnen hin und herspringen und sieht deren Anzahl und die eigene Position unten links in der Statusleiste. Jeffreys Exif viewer zeigt alle Einzelbilder auch online an.

GIFs und PNGs können Informationen beinhalten, die man vor einem weißen Hintergrund nicht sieht (der sowohl bei geocaching.com als auch bei den üblichen Bildbetrachtern üblich ist). Vor einem anders farbigen erkennt man vielleicht, was vorher nicht zu sehen war.

Handelt es sich um ein bekanntes Bild oder ist das Bild vielleicht zwei Mal im Listing, lohnt es sich, nach Unterschieden zu suchen. Sollten die nicht optisch offenkundig sein, kann man in einem Bildbearbeitungsprogramm, welches Ebenen beherrscht (gimp zum Beispiel mal wieder als Vertreter der Freeware-Fraktion oder natürlich der fast-alles-Könner Photoshop), diese beiden Bilder als solche übereinander legen. Dann das oben liegende Bild durchscheinend (transparent) machen, vielleicht noch etwas an den Kontrast- und Transparenzreglern spielen oder den Modus auf Abziehen stellen und gucken, ob der Zauber wirkt.

Kann man auf dem Bild nichts erkennen außer einer wirren "Tapetengrafik" eines Designers unter LSD, könnte es sich um ein Stereogramm handeln. Mit ausreichend Training, etwas schielen und den passenden Augen lassen sich von vielen Menschen nach einer Weile Dinge hier drin sehen, die ich leider nicht erkennen kann. Ich nehme, wenn ich gerade keinen passenden "Schieler" in der Nähe habe, Software, die mir die verborgene Information im Stereogramm anzeigt. Derer gibt es inzwischen eine wahre Flut, so dass ich mir eine Empfehlung lieber spare. Wer gut mit Bildbearbeitungssoftware umgehen kann, dem mag auch diese hierfür reichen: das Bild in eine neue Ebene kopieren, auf Differenzmodus stellen (in Gimp im Ebenenfenster, Modus, Abziehen). Nun hat man ein schwarzes Bild und kann die neue Ebene so lange hin- und herschieben, bis sichtbar wird, was versteckt sein wollte. Die Verschiebung kann gut und gern 50 Pixel betragen.

Mein vorerst letzter Bildertipp, den ich fast täglich nutze: tineye und (meist noch ergiebiger) die Google-Bildersuche! Will man bestimmte Informationen zu einem bestimmten Bild, weiß man nicht, wer oder was hier gerade abgebildet ist, diese beiden Dienste leisten großartige Arbeit! Tineye gibt es als Firefox-Plugin, mein absolutes Lieblingsplugin. Dafür kann die google-Bildersuche mehr finden, tineye findet nur, was genau den gleichen Ausschnitt hat, wie das gesuchte Bild. Die google Bildersuche benutzt sich für mich am einfachsten, in dem ich die komplette URL des Bildes bei Google ins Suchfenster packe und im folgenden Fenster oben auf "Passende Bilder finden Sie mit der Bildersuche" klicke.


Zurück zum Inhaltsverzeichnis
Zurück zum Teil 1 der Bilderanalyse - Einleitung und optisches Verstecken

Geocaching Mysteries lösen - Kapitel 5 - Bilderanalyse - Teil 1: Einleitung und optisches Verstecken

Geschrieben von Nina • Sonntag, 13. Januar 2013 • Kategorie: Mysteries lösen
Geocaching Mysteries lösen

5.1 Bilderanalyse - Teil 1: Einleitung und optisches

In Bildern lassen sich auf erschreckend viele Arten Informationen verbergen. Und auch die Bilder selber sind gar nicht immer auf Anhieb zu finden. Ein komplett weißes Hintergrundbild zum Beispiel muss man erst mal aktiv suchen, um es als vom Mystery-Ersteller integriertes Bild wahrzunehmen.

Befinden sich Bilder im Listing, sollte man immer - am sichersten per Quelltext * nachschauen, ob nicht noch weitere Bilder hinter diesem sichtbaren verlinkt worden sind. Man kann einen Link hinter ein Bild legen oder ein weiteres Bild. Gern auch das gleiche Bild in größerer Auflösung. Möglicherweise soll das größere Bild aber auch nur den Anschein wecken, genau gleich zu sein und enthält in Wirklichkeit den gesuchten Hinweis?

Etwas nervig sind die Bilder, bei denen nur ein winziger Bildpunkt mit einem Link versehen ist, was den Rätselnden dazu bringt, Ewigkeiten mit der Maus hin und her zu fahren, bis er diesen gefunden hat. Schneller erledigt man die Suche auch hier über den Quelltext. Hierzu beispielsweise mit dem Firefox den Bereich mit dem Bild markieren, mit der rechten Maustaste auf das Listing klicken, View Selection Source / Quelltext anzeigen klicken und nun den blau hervorgehobenen Bereich untersuchen. Ein Bild beginnt im HTML-Code mit < img src = " dargestellt, Links mit href = ".

Folgen dem Bild Eintragungen wie: < area shape = " rect" coords="0,0,603,105 " href = " befinden sich diese Verweis-sensitive Grafiken (Image Maps) hinter dem Bild. Die Links kann man nun über das Quelltextfenster direkt öffnen oder kopieren.

Liegen die verlinkten Bilder auf einem anderen Webspace, sind also nicht bei Geocaching.com hochgeladen, sind sie gleich ein Stückchen verdächtiger. Wo die Bilder im Internet liegen sieht man zum Beispiel im Firefox, in dem man mit der rechten Maustaste auf das Bild klickt und "view Image" oder "Bild anzeigen" wählt. Der Pfad, in dem das Bild zu finden ist, steht nun oben in der Adresszeile. Alternativ lässt sich diese Information auch über Eigenschaften (auch in anderen Browsern, sogar im Internet Explorer 10) anzeigen.

Wenn man Bilder bei geocaching.com oder Bilderhostern wie z.B. Imagehack hoch lädt, kann man den Dateinamen nicht beeinflussen. Anders bei eigenem Webspace. Findet man gar keinen Einstieg in das Rätsel, könnte hier dann auch der Bildername von Bedeutung sein. Rot13? Hex? Base64? Irgendwas, was man mit google entzaubern kann?

Liegt das Bild auf einem privaten Webspace, wäre es auch möglich, dass sich das im Listing verlinkte Bild zu bestimmten Uhrzeiten verändert, dann also ein ganz anderes zu finden ist. Gibt es im Listing oder im Bild einen Hinweis darauf, dann sollte man zur passenden Uhrzeit mal die ganze Seite neu laden. Dies am Sichersten, in dem man den in den Webbrowsern normalerweise verwendete Cache (gemeint ist hier der Zwischenspeicher vom Browser, keine Dosensuche ;) ) umgeht, sonst würde ein verändertes Bild gar nicht neu geladen werden. Drückt man (bei allen typischen Windowsbrowsern) die Taste Strg und F5 wird der Cache umgangen, die gesamte Seite neu geladen und ein eventuell verändertes Bild auch angezeigt.

Optisches Versteckspiel

Die einfachste Art, in einem Bild weitere Informationen zu verstecken, ist es, diese deutlich sichtbar einfach drauf zu schreiben. Hat dieses Bild eine sehr große Auflösung und wird daher auf dem Bildschirm stark verkleinert dargestellt, kann derartige Beschriftung - je nach Untergrund - fast unsichtbar sein. Sehr große Bilder sollten daher immer ganz besonders unter die - wortwörtliche - Lupe genommen werden, also in einem Bildbetrachter geöffnet und vergrößert angeschaut werden. Mein Lieblingsbildbetrachter ist seit einer digitalen Ewigkeit die Freeware IrfanView. Ebenfalls aus meiner kleinen Weltsicht empfehlenswert ist xnview. Von diesen beiden abgesehen gibt es aber eine Hülle und Fülle an weiteren, nützlichen Tools, die als Bildbetrachter gute Dienste leisten.

Eine durchaus klassische, optische Methode, Informationen in Bildern zu verbergen, die schon lange vor Geocachingspielereien genutzt worden, ist, ist das Anbringen von kleinen Details in einem Bild, die sich, wenn man den Code kennt, entschlüsseln lassen. Ein Beispiel ist dieses Bild mit den Grashalmen am Bachlauf (wegen unklaren Besitzverhältnissen an den Rechten hab ich es nur verlinkt und nicht selbst im Blog dargestellt).

Die kurzen und langen Grashalme sind Morsecode und ergeben den Text:
"Compliments of CSPA MA to our chief Col. Harold R.Shaw on his visit to San Antonio May 11th 1945."

Einen Gruß an den damaligen Chef der US Zensurbehörde, die sich viel Mühe gegeben hat, die Post auf Auffälligkeiten zu untersuchen. Überliefert sind so nette Geschichten wie die, dass man bei einer Lieferung von Uhren alle Zeiger verstellt hat, da man fürchtete, in der voreingestellten Uhrzeit wäre einen Code verborgen. In einem anderen Brief fand man ein Strickmuster und lieferte diesen erst aus, nachdem eine Mitarbeiterin dieses nachstrickte und somit bewies, dass es wirklich einen Pullover ergibt. Niemand geringerer als Charles Dickens hat eben diese Verschlüsselungsform in einem seiner Romane, "Eine Geschichte aus zwei Städten" benutzt und damit vermutlich auch erfunden. Umgekehrt wurden im zweiten Weltkrieg von deutschen Agenten in England Pullover verschickt, die, beim Geheimdienst wieder aufgeribbelt, Fäden ergaben, in denen in bestimmten Abständen angebrachte Knoten einen Code enthielten.

Punktchiffres sind historisch belegt und wurden schon vor 400 Jahren benutzt. Hierbei wird ein Achsenkreuz benutzt, wobei eine Achse die Buchstaben und eine die Reihenfolge dieser Buchstaben im Text ist. Als Punkte können dann zum Beispiel Sterne wie in Blaise de Vigeneres Buch "Traicte des Chiffres, ou Secretes Manires d Escrire" oder Bienen wie in der französischen Zeitschrift Spirou benutzt und mit ausreichend Tarnung zu einem Bild verknüpft werden.

Man kann von den Geheimdienstmethoden der Zeit und die beiden Weltkriege und den kalten Krieg viel lernen, waren computerbezogene Verschlüsselungen ja noch unbekannt und mussten Informationen gut verborgen und verschlüsselt übertragen werden. So ist es geheimdiensttechnisch klassisch, bestimmte Buchstaben oder Wörter eines Textes unauffällig zu markieren. Mit einem fast unsichtbaren Punkt über bestimmten Zeichen oder einem verrutschten Schreibmaschinenbuchstaben, einer fast zufällig angebrachten Verschmierung auf dem Papier. Irgendwas, was Teile des Textes von anderen unterscheidet. Das Verstecken von Informationen in irgend gearteten Containern (zum Beispiel Bildern oder Texten) nennt man Steganographie. Eine Unterart davon, das Verstecken in Details dieser Texte und Bilder hat den schönen Namen Semagramm.

Hat man das Verschlüsselte gefunden, oder weißt das Bild sowieso sehr deutlich darauf hin, wo es die für die Koordinatenermittlung benötigten Informationen enthält, muss man diese ja "nur noch" entschlüsseln. Am Einfachsten, in dem man erst mal die bekanntesten Techniken und Codelisten dagegen hält. Wie viel unterschiedliche Codezeichen gibt es denn? Zwei? Dann vielleicht Dualzahlen, Morse, Braille, (siehe Binärcodes). Oder muss man etwas bestimmtes Recherchieren und hierbei benutzten? Dann ergibt das Listing, der Titel oder der Hint hoffentlich einen kleinen Stubser in die richtige Richtung.

Hat man nichts gefunden, kann man es ja mal mit dem folgenden Beitrag, der technischen Bilderanalyse versuchen

Zurück zum Inhaltsverzeichnis
Weiter mit Teil 2, technische Bilderverstecke
gratis Counter by GOWEB