Представим ситуацию: к вам в руки попала фотография и вам надо найти ее автора, что вы будете делать?
Ответу на этот вопрос и будет посвящена данная глава, мы расскажем вам, какую информацию могут получить недоброжелатели из полученной фотографии.
IP-адрес загрузившего фотографию
Предположим, вы загрузили фотографию на файлообменник или хостинг картинок. И файлообменники, и хостинги картинок всегда сохраняют довольно много информации о загрузившем фотографию, включая его IP-адрес, дату и время загрузки. Некоторые файлообменники хранят эту информацию и о каждом просмотревшем или скачавшем файл.
Но и это еще не все. Некоторые файлообменники даже используют сотрудников и машинные алгоритмы для анализа загружаемых фотографий. Для простых пользователей это вряд ли несет серьезную угрозу, а вот курьеров-наркоторговцев немало попалось на этом.
Самый популярный способ продажи наркотиков предполагает продажу запрещенных товаров через закладки. Вкратце суть его такова: клиент звонит или пишет продавцу, делает заказ, оплачивает его. Затем курьер едет и в районе проживания клиента в каком-нибудь укромном месте делает закладку, например, приклеивает на скотч к гаражу. Дальше курьер при помощи телефона делает фотографию, заливает ее на хостинг картинок и отправляет ссылку менеджеру вместе с данными о месте закладки.
Иногда закладки раскладываются заранее, и клиенту сразу сообщают место. Нас в данном случае интересует фотография закладки, которую делает закладчик.
На самом крупном русскоязычном форуме, посвященном торговле наркотическими и психотропными средствами, появилась даже специальная тема. Вот ее дословный текст:
Уважаемые пользователи. Поступила неопровержимая информация о том, что сервис Радикал, активизировал программу борьбы с нарко-фотками. Если быть точнее, они устроили настоящую охоту за всеми фотографиями откровенных наркотиков, копий паспортов закладчиков (которые пишут подтверждения для каких-либо продавцов) и, что особо важно, мест закладок.
Все вы знаете, что как минимум каждый второй продавец или клиент загружает подобные фотки именно на Радикал или ipicture. Когда-то причин для беспокойства не было, это удобные быстрые сайты и все ими пользовались без опасений. Но теперь эти сервисы работают напрямую с ФСКН, и все эти данные отправляют напрямую им.
По нашей информации, за данными фотографиями охотятся и живые сотрудники этих сервисов и специальные автоматизированные методы обнаружения. То есть фотки находят и спец-программы и специально обученные люди, модераторы Радикала.
Данные о фотографиях (сами фотки и ip адреса их запостивших) собираются и отправляются на изучение куда следует. Фотографии собираются и пересылаются оперативно, поэтому клиента на кладе уже может ждать наряд. И будет приём с поличным. Это более чем реально.
Что это означает для простых пользователей, не имеющих никакого отношения к наркобизнесу? Лишь то, что с высокой вероятностью загруженную картинку проанализируют, сохранят IP и, «если что», передадут, куда надо…
Не стоит исключать и возможность утечки данных с фотохостинга, тем более подобные примеры свежи в памяти. В свое время у популярного фотохостинга Imgur было украдено свыше 1,7 миллиона учетных записей, включая логины, пароли и информацию о пользователях. Самое неприятное в этой истории, что об утечке данных стало известно лишь спустя три года.
Точное место создания фотографии
Наверное, вы замечали, что, когда загружаете фотографии со смартфона на некоторые сайты, например в социальные сети, они точно определяют место их создания и даже предлагают отметить это на карте. А знаете ли вы, каким образом это происходит?
Большинство современных смартфонов и фотоаппаратов по умолчанию добавляют GPS-координаты места съемки в метаданные фотографии. Данные, добавляемые к фотографии, называются EXIF (англ. Exchangeable Image File Format).
EXIF — стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию (метаданные), комментирующую этот файл, описывающий условия и способы его получения, авторство и т. п. Информация, записанная в этом формате, может использоваться как пользователем, так и различными устройствами, например принтером. Стандарт EXIF является чрезвычайно гибким (например, позволяет сохранить полученные с приемника GPS координаты места съемки) и допускает широкое развитие — как правило, фотоаппараты добавляют к файлу информацию, специфичную только для данной конкретной камеры. Правильно интерпретировать такую информацию могут только программы от изготовителя фотоаппарата.
В качестве примера информации, записываемой в EXIF, можно указать следующее:
- производитель камеры,
- модель,
- информация о правообладании,
- выдержка,
- диафрагма,
- ISO,
- использование вспышки,
- разрешение кадра,
- фокусное расстояние,
- размер матрицы,
- эквивалентное фокусное расстояние,
- дата и время съемки,
- ориентация камеры (вертикально/горизонтально) для камер со встроенным акселерометром,
- тип баланса белого,
- географические координаты и адрес места съемки.
Источник Wikipedia.
Как вы можете понять из информации выше, все данные относительно безобидны, кроме географических координат и адреса места съемки.
Как узнать, где была сделана фотография, на основе метаданных? Первый вариант: вы можете проверить EXIF-метаданные фотографии, взять оттуда координаты GPS и посмотреть место на карте в Google.
Второй вариант: воспользоваться сервисом вроде Pic2Map. Работает он предельно просто: загружаете фотографию, если сервис обнаруживает в метаданных GPS-координаты, то отмечает место создания фотографии на карте.
Вы думаете, деанонимизация через метаданные фотографии это просто шутки? Хакер Хигинио Очоа, также известный как w0rmer, член хакерской группы CabinCr3w, думал так же, когда взламывал государственные сайты и выкладывал в сеть данные сотрудников полиции. И, чтобы красиво оформить взлом, вместе с полученными данными он выложил фотографию грудастой женщины с распечатанным приветствием.
Однако в метаданных фотографии, сделанной на iPhone, сохранились GPS-координаты места ее создания, которые позволили установить личность женщины. А затем, изучив ее страничку в Facebook, удалось выйти на ее бойфренда, который и оказался тем разыскиваемым хакером.
И в одно прекрасное утро 8 агентов ФБР наведались в апартаменты Хигинио Очоа для его ареста. Его личность была установлена благодаря опрометчивому поступку – выкладыванию в сеть фотографии, содержащей GPS-координаты места съемки.
Не только Хигинио Очоа подвели GPS-координаты фотографии, погорел на этом и эксперт в области кибербезопасности Джон Макафи – создатель одноименного антивируса.
В то время Джон скрывался от правительства Белиза, подозревающего его в убийстве. Обвинение, скорее всего, было ложным, сфабрикованное дело требовалось для вымогательства денег у предпринимателя, и Макафи подался в бега. Но бегать и прятаться тихо Джон не захотел и пригласил к себе журналистов.
Журналисты Vice несколько дней находились с беглецом и даже выложили с ним фотографию. Как вы уже догадались, фотография содержала GPS-координаты беглеца.
Джон прятался в Гватемале.
Поиск картинок
Наверное, у вас уже возник логичный вопрос, как поиск по картинкам может привести к деанонимизации?
На самом деле, может. Например, так я один раз установил личность общавшейся со мной девушки. Она поделилась со мной только одной своей фотографией, загрузив которую в поиск, я нашел ее странички в социальных сетях.
Как это возможно? Картинка – это ведь не что иное, как набор пикселей, данных, а также метаданных; если картинка выкладывалась публично и была проиндексирована, ее можно найти.
Самый популярный поисковик – Google Картинки, с него я обычно и начинаю поиск. Картинку можно как загрузить со своего устройства, так и указать ссылку.
Второй в моем списке Яндекс.Картинки.
Третий поисковик по картинкам в моем списке TinEye.
Извлечение ценной информации из содержания фотографии
Перед вами фотография человека. За информацию, которая приведет к его аресту, ФБР готово заплатить 3 миллиона долларов. Это – Евгений Богачев, о котором сегодня известно все или почти все.
Но еще 6-7 лет назад это был таинственный анонимный создатель вредоносного программного обеспечения ZeuS, по мнению большинства экспертов, лучшего творения хакеров за все время разработок вредоносного софта для кражи финансов.
Появившийся в 2007 году ZeuS олицетворил собой новую эру вредоносного программного обеспечения, на голову превосходя своих конкурентов. ZeuS поражал компьютеры под управлением операционной системы Windows, для заражения было достаточно прав учетной записи гостевого пользователя. Общий ущерб от ZeuS превысил 1 миллиард долларов. Почти все современные трояны используют опыт ZeuS, а его автор занял почетное первое место в списке самых разыскиваемых хакеров.
Агенты ФБР и независимые эксперты проделали огромную работу для установления создателя ZeuS, но первым шагом стала фотография, извлеченная из одного компьютера – временного центра управления ботнетом. Там была фотография мужчины в черных очках. У экспертов не было шанса установить его личность, так как закрыта была значительная часть лица, но они смогли проанализировать попавшую на фотографию растительность за окном. Это была пальма, по ней было установлено, что предположительно фотография сделана в районе Сочи или Анапы. Так, по крайней мере, писали СМИ.
И только спустя несколько лет, когда ФБР опубликовало информацию, стало доподлинно известно, что Евгений Богачев действительно проживает в городе Анапа. Так одна пальма в окне помогла определить местоположение самого разыскиваемого в мире хакера.
А теперь посмотрите на фотографию ниже: вам кажется это обычный российский турист, который сфотографировался в Амстердаме? На самом деле, это Дмитрий Смилянец – руководитель киберспортивной команды Moscow Five, а по совместительству хакер, который давно был на заметке у ФБР.
И не просто так. Дмитрий Смилянец – член преступной группировки, похитившей в общей сложности данные о свыше 160 миллионов кредитных карт США, Канады и Европы, общий ущерб от деятельности которой превышает 300 миллионов евро. ФБР регулярно просматривало его страничку в социальных сетях, и фотография из Амстердама не могла их не обрадовать.
Агенты ФБР, подключив своих голландских коллег, обзвонили все отели, находящиеся поблизости. Так было установлено место проживания Дмитрия. Утром к нему наведалась полиция, и спустя год он под конвоем агентов ФБР полетел в Америку, где его ждал суд.
Пошаговая инструкция поиска данных по фотографии
А на конец мы приготовили вам самое интересное: установление личности человека по фотографии. Представьте себе ситуацию: у вас оказалась фотография неизвестного человека и вы очень хотите узнать, кто изображен на снимке. Думаете, это невозможно?
На самом деле, это действительно очень непросто. Но мы предложим вам небольшой чек-лист.
Первым делом надо понять, не фотошоп ли перед нами, так как искать человека по обработанному лицу – гиблое дело. Проверке фотографий на факт использования Фотошопа у нас посвящена отдельная глава.
Потом необходимо посмотреть метаданные EXIF: а нет ли там чего интересного?
Дальше подключаются поисковики по картинкам: Google Картинки, Яндекс.Картинки и TinEye. О них уже было сказано выше, это работает в основном с известными личностями. На картинке ниже я искал по фото Анджелины Джоли, Google без проблем установил личность и нашел другие изображения звезды.
Следом, если не удалось найти с помощью поисковых систем, можно попробовать специализированный сервис поиска в социальной сети vk.com FindFace (с сентября 18-го года работает по гос. заказам и не работает с частными лицами). Про сервис написано много хорошего в интернете, но мне он ни разу не помог.
Для его использования вам надо будет авторизоваться через VK и загрузить фотографию разыскиваемого лица. Затем указать пол, возрастной диапазон и некоторые другие известные вам данные. Система предложит вам подходящих, по ее мнению, пользователей социальной сети Вконтакте.
Вот так я искал Анджелину Джоли в VK.
Пожалуй, это все инструменты, доступные простому смертному. В арсенале спецслужб имеются свои решения, однако даже они, по сообщениям бывших сотрудников, не впечатляют эффективностью. Гораздо эффективнее удается установить личность по отпечатку голоса, но об этом мы расскажем в будущих главах.
