bellingcat.com als Alibi für westliche Medien und Regierungen?

@taren
Danke, verständlich. :D

@pike | @taren | @Kruzitürk | @evilparasit | @kokokokoko

So nun habe ich mal selber eine ganz einfache "Bildanalyse" gemacht, habe dabei nur Farbbereiche einheitlich über die Bilder verschoben. Es ist nun so, hat man zwei Bilder, könnten die sich von den Farben sehr ähnlich sehen, sind sie aber nur selten. Wenn beide Bilder aus unterschiedlichen Quellen stammen, verteilen sich die Farbwerte unterschiedlich über die einzelnen Bildteile, so kann man recht schnell einfache Manipulationen erkennen. Fangen wir mal mit dem Bild von Paris Match an:
Original anzeigen (0,7 MB)
Original anzeigen (0,6 MB)
Man sieht eine gleichmäßige Verteilung, es beschränkt sich nicht nur auf den Teil mit der BUK, dazu nun das Bild von @LaDerobee und wir sehen:

Original anzeigen (0,7 MB)
Original anzeigen (0,7 MB)

Auch kann man zeigen, dass die BUK wohl schlecht mit der Hand ausgeschnitten wurde, die Kante ist klar zu erkennen und verdeckt Teile des Hintergrunds:
Original anzeigen (0,6 MB)

Mal mein Fazit auf die Schnelle, das Bild von @LaDerobee ist eine sehr schlechte Fälschung, vermutlich von ihm selber, die Bilder von Paris Match zeigen bei allen Farbwerten eine gleichmäßige Verteilung über alle Bildteile.

Ein Profi mischt als erstes die beiden Farbbereiche beider Bilder, erstellt also für das neue Bild ein einheitliches Farbprofil. Dann werden Bildbereiche die man von dem einen in das andere übernehmen will, nicht von Hand freigestellt und dann noch so mit einem Pinsel an den Kanten entlang gefahren, und das ganz sicher auch nicht so dilettantisch, das man dabei Teile des Hintergrund übermalt.

Wer keine Ahnung hat, denkt sich, die Farbe vom Pinsel sieht da fast genauso aus, sieht man ja kaum, aber selbst einfache Bildbearbeitungsprogramme können Farbwerte verschieben, und so wird aus einem kaum sichtbaren Unterschied eine fette rote Linie, wie eben in dem Bildausschnitt den ich als letztes zeigte.

Nun wäre es noch schön, wenn @LaDerobee mal erklären würde, woher er das Bild nun wirklich hat und ob er selber dafür verantwortlich ist.

@LaDerobee

So und noch mal ein Bildteil aus dem unteren Bild:
Original anzeigen (0,7 MB)

Ost schon recht offensichtlich, dazu der Vergleich mit dem Teil aus dem oberen Bild:
Original anzeigen (0,6 MB)

Es ist offensichtlich, dass da im oberen Ausschnitt ein Zipfel fehlt.


Hier noch mal die Farbverteilung in rot von dem Paris Match Bild:
Original anzeigen (0,7 MB)

Gleichmäßig über das Bild verteilt, wie gesagt, war nur eine ganz einfache Analyse der Farbwerte, Profis haben da extra Tools und machen das nicht so eben von Hand, da kommt dann noch viel mehr raus. Mal sehen ob ich da noch mal mit entsprechenden Programmen nachschaue.

So oder so ist es aber recht offensichtlich, welches Bild mal eben manipuliert wurde.

So ich musste nun doch noch mal mit einem echten Bildforensik Programm das Bild von @LaDerobee grob analysieren, dabei werden die Komprimierungalgorithmen in einzelnen Bildbereichen untersucht, bei dem Bild finden sich zwei unterschiedliche Algorithmen, die Aufnahmen könnten also mit folgenden Kameras gemacht worden sein:

CAM: [Minolta Co., Ltd. ] [DiMAGE F100 ] [ ] No

CAM: [NIKON ] [E100 ] [FINE ] No
CAM: [NIKON ] [E500 ] [FINE ] No
CAM: [NIKON ] [E000 ] [FINE ] No
CAM: [NIKON ] [E400 ] [FINE ] No
CAM: [NIKON ] [E700 ] [FINE ] No
CAM: [NIKON ] [E700 ] [FINE ] No

CAM: [SAMSUNG TECHWIN ] [VLUU NV 7, NV 7 ] [ ] No
CAM: [SAMSUNG TECHWIN ] [VLUU NV10, NV10 ] [ ] No

CAM: [SEIKO EPSON CORP.] [PhotoPC 3000Z ] [ ] No

CAM: [SONY ] [CYBERSHOT ] [ ] No
CAM: [SONY ] [DSC-H2 ] [ ] No
CAM: [SONY ] [DSC-H5 ] [ ] No
CAM: [SONY ] [DSC-H7 ] [ ] No
CAM: [SONY ] [DSC-H9 ] [ ] No
CAM: [SONY ] [DSC-L1 ] [ ] No
CAM: [SONY ] [DSC-R1 ] [ ] No
CAM: [SONY ] [DSC-V1 ] [ ] No
CAM: [SONY ] [DSC-V3 ] [ ] No
CAM: [SONY ] [DSC-W7 ] [ ] No
CAM: [SONY ] [DSC-W80 ] [ ] No
CAM: [SONY ] [SONY ] [ ] No

SW: [IJG Library ] [094 ]


Und noch was zu gefunden Signaturen:

The following IJG-based editors also match this signature:

SW :[GIMP ] [094 ]
SW :[IrfanView ] [094 ]
SW :[idImager ] [094 ]
SW :[FastStone Image Viewer ] [094 ]
SW :[NeatImage ] [094 ]
SW :[Paint.NET ] [094 ]
SW :[Photomatix ] [094 ]
SW :[XnView ] [094 ]

Based on the analysis of compression characteristics and EXIF metadata:

ASSESSMENT: Class 1 - Image is processed/edited

This may be a new software editor for the database.

If this file is processed, and editor doesn't appear in list above,

PLEASE ADD TO DATABASE with [Tools->Add Camera to DB]


Im Bild von Paris Match findet sich nur eine einzige Komprimierung:

*** Searching Compression Signatures ***

Signature: 0146EE5B5D76D719749C039D6B2FD335
Signature (Rotated): 0146EE5B5D76D719749C039D6B2FD335

File Offset: 0 bytes

Chroma subsampling: 2x2
EXIF Make/Model: NONE
EXIF Makernotes: NONE
EXIF Software: OK [Adobe Photoshop CC 2014 (Macintosh)]

Das Bild wurde aber auch offensichtlich "bearbeitet", heißt es ist natürlich nicht das Original RAW (das wäre gut zu bekommen), sondern das RAW wurde sehr wahrscheinlich am Macintosh mit Adobe Photoshop CC 2014 in ein JPG umgewandelt und neu skaliert.

Ich habe das nun nur wirklich ganz grob auf die Schnell gemacht, Bildforensiker gehen da ganz anders ran und steigen noch sehr viel tiefer ein. Wollte aber mal eben zeigen, was so schon möglich ist.

Fazit, im Bild von @LaDerobee lassen sich zumindest zwei unterschiedliche Komprimierungen finden, damit ist es sehr unwahrscheinlich, dass das Bild nicht aus mindestens zwei einzelnen Aufnahmen zusammengefügt wurde und jede Aufnahme mit einer anderen Kamera gemacht wurde.

Das Bild von Paris Match zeigt nur eine Komprimierung.

Hier noch mal ein paar Daten aus der Analyse des Paris Match Bildes:

*** Marker: APP1 (xFFE1) ***

OFFSET: 0x00000014

Length = 276
Identifier = [Exif]
Identifier TIFF = 0x[4D4D002A 00000008]
Endian = Motorola (big)
TAG Mark x002A = 0x002A

EXIF IFD0 @ Absolute 0x00000026

Dir Length = 0x0008

[IFD.0x0106 ] = 2
[Orientation ] = 1 = Row 0: top, Col 0: left
[XResolution ] = 300/1
[YResolution ] = 300/1
[ResolutionUnit ] = Inch
[Software ] = "Adobe Photoshop CC 2014 (Macintosh)"
[DateTime ] = "2014:12:30 10:12:41"
[ExifOffset ] = @ 0x00B6

Offset to Next IFD = 0x00000000

EXIF SubIFD @ Absolute 0x000000D4

Dir Length = 0x0005

[ExifVersion ] = 02.21
[DateTimeDigitized ] = "2014:12:23 21:42:15
[ColorSpace ] = sRGB
[ExifImageWidth ] = 0x[00000537] / 1335
[ExifImageHeight ] = 0x[0000037A] / 890

*** Marker: APP1 (xFFE1) ***

OFFSET: 0x0000012A

Length = 3572
Identifier = [http://ns.adobe.com/xap/1.0/]
XMP =

*** Marker: APP13 (xFFED) ***

OFFSET: 0x00000F20

Length = 100
Identifier = [Photoshop 3.0]

8BIM: [0x0404] Name = "" Len= [0x002C] DefinedName="IPTC-NAA record"

IPTC [001:090] Coded Character Set = "%G"
IPTC [002:000] Record Version = 2
IPTC [002:062] Digital Creation Date = "20141223"
IPTC [002:063] Digital Creation Time = "214215+0100"

8BIM: [0x0425] Name = "" Len=[0x0010] DefinedName="Caption digest"

Caption digest = | 0x1D 5C CA 46 9E 9A C2 14 85 06 45 60 3F 59 2A FF | .\.F......E`?Y*.

Damit haben wir ein paar Daten zum Datum. Im anderen Bild lässt sich nichts mehr finden, auch ein Zeichen dafür, dass das Bild von @LaDerobee selber bearbeitet wurde.

Habe mal ein wenig mit Forensiktools experimentiert und habe was gefunden:
Original anzeigen (0,9 MB)

Eine Error Level Analyse zeigt was man auch so schon erkennt, wenn man das Bild vergrößert, Poroschenko ist unschärfer und ins Bild eingefügt:
Original anzeigen (0,3 MB)

Und mal ohne Poroschenko:


Seltsam das sich das nicht größer finden lässt, hier die ELA dazu:

So nun in groß:
Original anzeigen (0,3 MB)

Und die ELA:
Original anzeigen (0,2 MB)

@evilparasit

So ich habe nun aus den Metadaten des Bildes von Bellincat nach Signaturen gesucht und was interessantes gefunden, die EXIF Photo ImageUniqueID:

This tag indicates an identifier assigned uniquely to each image. It is recorded as an ASCII string equivalent to hexadecimal notation and 128-bit fixed length.
Additional data:

EXIF Photo ImageUniqueID: 397e07077179ae6a2dcffca83c9fee2b

Spannend ist, dass die ID im Web nicht zu finden ist, ich gehe doch davon aus, dass da schon andere mal in den Signaturen danach gesucht haben. Mit der ID könnte man eventuell sogar die Kamera mit der das Bild aufgenommen wurde identifizieren.

So eine ID sollte einmalig für ein Bild sein, hab noch andere Signaturen gefunden. Bisher deutet nichts auf eine Manipulation hin. In dem Bild von @LaDerobee finden sich gar keine Signaturen, generell sind da kaum Metadaten drin, deutet also vieles auf Manipulation hin. Ganz sicher ist es kein originales Bild, das nur mal eben verkleinert und zum jpg umgewandelt wurde, denn dabei gehen Metadaten so nicht verloren.

Man könnte nun versuchen aus der ID die Kamera-ID zu bekommen und andere Bilder darauf prüfen. Findet man die ID bei einem Bild, wo der Fotograf bekannt ist, ...

So ...

Wenn ich erst einmal in Fahrt bin,...

Hier mal lesen:
http://sublab.org/dump/cryptocon13/2013-04-14-15-00-metadaten-und-wasserzeichen-slides.pdf

Seite 3 und 4, mit der ID geht also schon was. Ich stöbere mal weiter ...

The camera model could not be found in the exif.

Also das Bild von Paris Match enthält nicht offen in den EXIF Daten das Kameramodell, auch GPS Daten sind nicht drin. Sind schon viele Daten da, aber es fehlt doch das was wirklich interessant wäre. Die Frage ist warum.

Klar ist, dass es nicht das originale Bild ist, das wir haben, es gibt aber auch viel Kopien im Web. Nun könnte man schauen ob es bestimmte Kameras gibt, die eben kein GPS haben und ein bestimmtes Profil an EXIF Daten bereitstellen, auch könnte man nun versuchen den Sensor Typ aus dem Bild selber zu identifizieren, das ist aber dann wirklich was für Profis, da muss man das Rauschen analysieren, das ist nun echt nicht ohne.

Gibt ja Tools, die da suchen, aber wer selber mit einem HEX Editor schauen will:
http://www.awaresystems.be/imaging/tiff/tifftags/privateifd/exif.html

Da steht wo man was finden kann, oder auch nicht.

Dann zum Beitrag davor:

In this paper, we propose a new method for the problem of digital camera identification from its images based on the sensor's pattern noise. For each camera under investigation, we first determine its reference pattern noise, which serves as a unique identification fingerprint. This is achieved by averaging the noise obtained from multiple images using a denoising filter. To identify the camera from a given image, we consider the reference pattern noise as a spread-spectrum watermark, whose presence in the image is established by using a correlation detector. Experiments on approximately 320 images taken with nine consumer digital cameras are used to estimate false alarm rates and false rejection rates. Additionally, we study how the error rates change with common image processing, such as JPEG compression or gamma correction.

http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=1634362&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D1634362 (Archiv-Version vom 29.03.2015)

Das PDF dazu:
https://harpurpalate.binghamton.edu/ia/publication/FridrichPDF/double.pdf

Dann noch eines:
https://isis.poly.edu/memon/pdf/2007_improvement.pdf

No Two Digital Cameras Are the Same: Fingerprinting Via Sensor Noise

The previous article looked at how pieces of blank paper can be uniquely identified. This article continues the fingerprinting theme to another domain, digital cameras, and ends by speculating on the possibility of applying the technique on an Internet-wide scale.

For various kinds of devices like digital cameras and RFID chips, even supposedly identical units that come out of a manufacturing plant behave slightly differently in characteristic ways, and can therefore be distinguished based on their output or behavior. How could this be? The unifying principle is this:

Microscopic physical irregularities due to natural structure and/or manufacturing defects cause observable, albeit tiny, behavioral differences.

Digital camera identification belongs to a class of techniques that exploits ‘pattern noise’ in the ‘sensor arrays’ that capture images. The same techniques can be used to fingerprint a scanner by analyzing pixel-level patterns in the images scanned by it, but that’ll be the focus of a later article.


A long-exposure dark frame. Click image to see full size. Three ‘hot pixels’ and some other sensor noise can be seen.

A photo taken in the absence of any light doesn’t look completely black; a variety of factors introduce noise. There is random noise that varies in every image, but there is also ‘pattern noise’ due to inherent structural defects or irregularities in the physical sensor array. The key property of the latter kind of noise is that it manifests the same way every image taken by the camera. Thus, the total noise vector produced by a camera is not identical between images, nor is it completely independent.

The pixel-level noise components in images taken by the same camera are correlated with each other.

Nevertheless, separating the pattern noise from random noise and the image itself — after all, a good camera will seek to minimize the strength or ‘power’ of the noise in relation to the image — is a very difficult task, and is the primary technical challenge that camera fingerprinting techniques must address.

Security vs. privacy. A quick note about the applications of camera fingerprinting. We saw in the previous article that there are security-enhancing and privacy-infringing applications of document fingerprinting. In fact, this is almost always the case with fingerprinting techniques.

Camera fingerprinting can be used on the one hand for detecting forgeries (e.g., photoshopped images), and to aid criminal investigations by determining who (or rather, which camera) might have taken a picture. On the other hand, it could potentially also be used for unmasking individuals who wish to disseminate photos anonymously online.

Sadly, most papers studying fingerprinting study only the former type of application, which is why we’ll have to speculate a bit on the privacy impact, even though the underlying math of fingerprinting is the same.

Most fingerprinting techniques have both security-enhancing and privacy-infringing applications. The underlying principles are the same but they are applied slightly differently.

Another point to note is that because of the focus on forensics, most of the work in this area so far has studied distinguishing different camera models. But there are some preliminary results on distinguishing ‘identical’ cameras, and it appears that the same techniques will work.

In more detail. Let’s look at what I think is the most well-known paper on sensor pattern noise fingerprinting, by Binghamton University researchers Jan Lukáš, Jessica Fridrich, and Miroslav Golja. Here’s how it works: the first step is to build a reference pattern of a camera from multiple known images taken from it, so that later an unsourced image can be compared against these reference patterns. The authors suggest using at least 50, but for good measure, they use 320 in their experiments. In the forensics context, the investigator probably has physical possession of the camera and therefore can generate an unlimited number of images. We’ll discuss what this requirement means in the privacy-breach context later.

There are two steps to build the reference pattern. First, for each image, a denoising filter is applied, and the denoised image is subtracted from the original to leave only the noise. Next, the noise is averaged across all the reference images — this way the random noise cancels out and leaves the pattern noise.

Comparing a new image to a reference pattern, to test if it came from that camera, is easy: extract the noise from the test image, and compare this noise pixel-by-pixel with the reference noise. The noise from the test image includes random noise, so the match won’t be close to perfect, but nevertheless the correlation between the two noise patterns will be roughly equal to the contribution of pattern noise towards the total noise in the test image. On the other hand, if the test image didn’t come from the same camera, the correlation will be close to zero.

The authors experimented with nine cameras, of which two were from the same brand and model (Olympus Camedia C765). In addition, two other cameras had the same type of sensor. There was not a single error in their 2,700 tests, including those involving the two ‘identical’ cameras — in each case, the algorithm correctly identified which of the nine cameras a given image came from. By extrapolating the correlation curves, they conservatively estimate that for a False Accept Rate of 10^-3, their method achieves a False Reject Rate of anywhere between 10^-2 to 10^-10 or even less depending on the camera model and camera settings.

The takeaway from this seems to be that distinguishing between cameras of different models can be performed with essentially perfect accuracy. Distinguishing between cameras of the same model also seems to have very high accuracy, but it is hard to generalize because of the small sample size.

Improvements. Impressive as the above numbers are, there are at least two major ways in which this result can, and has been improved. First, the Binghamton paper is focused on a specific signal, sensor noise. But there are several stages in image acquisition and processing pipeline in the camera, each of which could leave idiosyncratic effects on the image. This paper out of Turkey incorporates many such effects by considering all patterns of certain types that occur in the lower order (least significant) bits of the image, which seems like a rather powerful technique.

The effects other than sensor noise seem to help more with identifying the camera model than the specific device, but to the extent that the former is a component of the latter, it is useful. They achieve a 97.5% accuracy among 16 test cameras — but with cellphone cameras with pictures at a resolution of just 640×480.

Second is the effect of the scene itself on the noise. Denoising transformations are not perfect — sharp boundaries look like noise. The Binghamton researchers picked their denoising filter (a wavelet transform) to minimize this problem, but a recent paper by Chang-Tsun Li claims to do it better, and shows even better numerical results: with 6 cameras (all different models), accurate (over 99%) identification for image fragments cropped to just 256 x 512.

What does this mean for privacy? I said earlier that there is a duality between security and privacy, but let’s examine the relationship in more detail. In privacy-infringing applications like mass surveillance, the algorithm need not always produce an answer, and it can occasionally be wrong when it does. The penalty for errors is much lower. On the other hand, the matching algorithm in surveillance-like applications needs to handle a far larger number of candidate cameras. The key point is:

The parameters of fingerprinting algorithms can usually be tweaked to handle a larger number of classes (i.e., devices) at the expense of accuracy.

My intuition is that state-of-the-art techniques, configured slightly differently, should allow probabilistic deanonymization from among tens of thousands of different cameras. A Flickr or Picasa profile with a few dozen images should suffice to fingerprint a camera. Combined with metadata such as location, this puts us within striking distance of Internet-scale source-camera identification from anonymous images. I really hope there will be some serious research on this question.

Finally, a word defenses. If you find yourself in a position where you wish to anonymously publicize a sensitive photograph you took, but your camera is publicly tied to your identity because you’ve previously shared pictures on social networks (and who hasn’t), how do you protect yourself?

Compressing the image is one possibility, because that destroys the ‘lower-order’ bits that fingerprinting crucially depends on. However, it would have to be way more aggressive than most camera defaults (JPEG quality factor ~60% according to one of the studies, whereas defaults are ~95%). A different strategy is rotating the image slightly in order to ‘desynchronize’ it, throwing off the fingerprint matching. An attack that defeats this will have to be much more sophisticated and will have a far higher error rate.

The deanonymization threat here is analogous to writing-style fingerprinting: there are simple defenses, albeit not foolproof, but sadly most users are unaware of the problem, let alone solutions.

http://33bits.org/2011/09/19/digital-camera-fingerprinting/ (Archiv-Version vom 07.04.2015)

Noch ein PDF dazu:
https://engineering.purdue.edu/~prints/public/papers/khanna_fsc.pdf

Interessant, das FBI plaudert auch ausführlich darüber:
http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/jan2009/index.htm/research/2009_01_research01.htm (Archiv-Version vom 22.11.2014)

Es ist also möglich, aus dem individuellen Rauschen des Bildsensors die Kamera zu identifizieren, man kann auch zwei Bilder vergleichen und schauen, ob es dieselbe Kamera war. Auch kann man so nach Manipulationen in einem Bild suchen, wenn da ein Teil ein anderes Rauschen vom Sensor hat, ist das recht eindeutig.

Das mal nur so auf die Schnelle, echte Experten, die das jeden Tag seit Jahren machen und auch Programme die man nicht so mal eben bekommt, können Bilder ganz anders analysieren. Sprich automatisch, die NSA hat da sicher interessante Programme, die das Web nach solchen Dingen durchsuchen. Da gibt man ein Bild ein, und die Software sucht überall nach anderen Bildern, die zum Beispiel ähnliche Signaturen haben.

Und wer weiß, eventuell haben die schon eine Datenbank wo jeder Sensor hinterlegt ist. Es geht ja viel mehr, als man so glaubt. Theoretisch könnte so eine Software am Ende den Käufer und den Laden wo die Kamera verkauft wurde ausspucken. Schon unheimlich...

Hey @nocheinPoet
Ernsthaft, ich bin beeindruckt und das nicht nur da das der erste fundierte und sehr gut aussehende Artikel von dir ist, den ich gesehen habe.
Ich habe die Fälschung in meinem Bild daran erkannt das die BUK seitenverkehrt ist und die zeichen (3x2) dementsprechend spiegelverkehrt drauf sind (Ebenso erkennbar die Platten links in der Mitte da wo der Auspuff eigentlich sein sollte).
Den Rest habe ich mir mal gespart, obwohl das Bild schon sehr schräg aussieht =)
Da ich selber nicht so in die Tiefe gehen kann kurz: ich weiss aber das wenn man eine richtig gute Fäschung machen will, die zusammengesetzen oder veränderten Komponenten auf einen hochauflösenden Druck, Beamer oder Plasma laufen lässt und von da nochmal abfotografiert/abfilmt.
Mit der Methode lassen sich fast alle Signaturen oder von dir beschriebenen Diagnosemöglichkeiten neutralisieren.

@LaDerobee

LaDerobee schrieb:Ernsthaft, ich bin beeindruckt und das nicht nur da das der erste fundierte und sehr gut aussehende Artikel von dir ist, den ich gesehen habe.

Dann hast Du noch nicht viele von mir gesehen, oder kannst Qualität nicht erkennen. ;)

Ich habe die Fälschung in meinem Bild daran erkannt, dass die BUK seitenverkehrt ist und die Zeichen (3x2) dementsprechend spiegelverkehrt drauf sind (Ebenso erkennbar die Platten links in der Mitte da wo der Auspuff eigentlich sein sollte).

Das sieht auf Deinem Bild nicht so aus, als sei die Nummer spiegelverkehrt:

Da ich selber nicht so in die Tiefe gehen kann kurz: ich weiß aber das wenn man eine richtig gute Fälschung machen will, die zusammengesetzten oder veränderten Komponenten auf einen hochauflösenden Druck, Beamer oder Plasma laufen lässt und von da nochmal abfotografiert/abfilmt. Mit der Methode lassen sich fast alle Signaturen oder von dir beschriebenen Diagnosemöglichkeiten neutralisieren.

Also die Signaturen bekommt man auch mit Software raus, ist aber nicht das Ziel, fehlen sie, ist das auffällig, normal sind sie bei einer guten Fälschung dabei und wurden nur verändert. ;) Interessanter wäre da künstlich ein Sensorrauschen über das gesamte Bild gleichmäßig zu legen. Auch könnte anderes Rauschen zuvor raus gerechnet worden sein.

Mit spiegelverkehrt meine ich das erst das Basisobjekt genommen wurde, dort dann die Bereiche mit den Bezeichnungen gespiegelt wurden damit es nicht auffällt wenn das ganze Objekt gespiegelt wird.
Und das Objekt ist bestimmt gespiegelt da eine BUK an beiden seiten völlig unterschiedlich ausschaut.
In Fahrtrichtung links ist der Auspuff und spezielle Auf/Anbauten und Fahrtrichtung rechts sind andere Auf- und Anbauten.
Und die Aufbauten die man auf dem Bild sieht was ich Freitag gepostet habe sind jene die in Fahrtrichtung links sind, wenn die nun rechts erscheinen muss das gespiegelt sein und dementsprechend auch die "Bezeichnungen" (Die in Fahrtrichtung rechts eigentlich auch noch oftmals in vertauschter Reihenfolge sichtbar sind: 3-stellige Nr. und die anderen Kennzeichnungen.)

Verstehe nicht was du meinst. Was soll da wie gespiegelt worden sein? An der Buk auf dem Tieflader ist jedenfalls alles so wie es sein soll.

Hier ist Buk 3_2 ja in gleicher Position auf einem anderen Tieflader. Was soll da jetzt im Paris Match gespiegelt worden sein? Ist doch alles identisch.

Original anzeigen (0,2 MB)

Original anzeigen (0,9 MB)

@nocheinPoet

Ausgezeichnete Arbeit =)

Hast dir wohl echt mühe gegeben.

Kannst du das Programm öfters benutzen ?, Wäre oftmals echt gut, wenn man die Fotos auf die schnelle testen könnte.

@evilparasit

Recht einfach geht es hier online:
http://www.imageforensic.org (Archiv-Version vom 27.03.2015)

Da mal dann alle Registerseiten und da dann rumklicken, je mehr Infos, desto mehr Seiten, mit dem ganz großen Bild hier im Thread am Anfang von Bellingcat geht es gut, da findet sich dann auch die Image-ID und die Signaturen.

Das Joint investigation Team verwendet übrigens alle Bilder die hier angesprochen worden sind:

http://www.jitmh17.com/

https://www.youtube.com/watch?v=olQNpTxSnTo (Video: MH17)

@evilparasit

Das Bild hier hat die Registerkarten:


Dashboard
Static
EXIF
IPTC
XMP
ELA
Signatures

und damit viele Informationen aus dem Originalbild erhalten. Da findet sich unter EXIF:

YResolution: 300
ResolutionUnit: inch
ExifTag: 182
DateTime: 2014:12:30 10:12:41
PhotometricInterpretation: RGB
XResolution: 300
Software: Adobe Photoshop CC 2014 (Macintosh)
Orientation: top, left

unter XMP findet sich:

History[2]/stEvt:when: 2014-12-30T10:12:41+01:00
History[1]/stEvt:when: 2014-12-23T22:00:11+01:00
History[2]/stEvt:instanceID: xmp.iid:fdf5056b-c681-4b3c-82ef-ec210117f378
History[1]/stEvt:action: saved
InstanceID: xmp.iid:fdf5056b-c681-4b3c-82ef-ec210117f378
History[2]/stEvt:softwareAgent: Adobe Photoshop CC 2014 (Macintosh)
OriginalDocumentID: F90A30DA463CA8F4BC1B1D07A961DE02
History[1]/stEvt:instanceID: xmp.iid:fd3953a3-dd65-4f23-8f2e-4839dc0b821b
History[1]/stEvt:softwareAgent: Adobe Photoshop CC 2014 (Macintosh)
History[1]/stEvt:changed: /
History[2]/stEvt:changed: /
History[2]/stEvt:action: saved
DocumentID: adobe:docid:photoshop:a98ed028-ca1e-1177-a9e5-84359bbe1fe2

Und bei Static unter Hashes

Type Value
SHA1 57be1b239e2a6cbf4622470fbc21ca28c44fb3ae
SHA224 ab9fb963c5a3e5bf7d5fdffc02ffeb91582949dfea21ff07a2d37232
SHA384 0cf9136a47d15889f60941ea9ef18042f50966c6cc07626daea6d7b452c52a93d31bdad4b30369976d0ace202be4099a
CRC32 45EC58D4
SHA256 d95fc0678b4a1281dbe01369212cfd3e8ca822f9109d0971f0658bf4814e86a5
SHA512 c52e809a70031ad7c740c747c1af77ed3e10fb34f87e47029c75ac587d7a7f26576e8cdf4b0cb0a5654e2479100b961cddf3259da9ea2752ee5f74ecaecd8c16
MD5 2afde476e6cfca93b212562940fd108e

Also schon eine Menge Daten, sehr individuell und ein Hinweis auf das original Bild.