The Sunny Side of Geolocation Verifications

The sun is a useful helper in investigations and geolocation verifications. Looking at shadows in pictures could reveal the moment of capture. This helps debunking false information.

Three weeks ago we showed you how to use EXIF data in pictures to receive indications on the location and precise moment of capture. Unfortunately, not all pictures contain EXIF data, or even worse: the EXIF data could be falsified. The shadow cast in pictures enables us to check if the sun position correlates with the exposure time contained in the pictures‘ metadata.

Let us look at the following picture:

IMG_5542_2

I claim, that this picture was taken in front of my office on April 11, 2018 at 10:30am. True or false?

An evaluation of the EXIF data confirms that the coordinates and exposure time back my claim. The following screenshots depict the results of the fotoforensic check on fotoforensics.com. Try it yourself, the picture actually contains the EXIF data.

  1

2.png

Case closed, information verified? Not really, because I altered the EXIF data in the picture. While the coordinates were left unchanged, the exposure time was modified. To verify this, we’ll take a closer look at the picture and dissect it into it’s single pieces of information. Hereby, we will concentrate on the shadow cast by the tree on the left.

Bild1-eng.png

Next we will use the website suncalc.org to check the casted shadow. Suncalc uses Google Maps to diplay results and the existing satellite imagery on Google is good enough to pinpoint each tree. In the first step, tree 1 will be used as the reference point (red marking). It is important to know the precise location of your reference point, or else the final results may be distorted. Afterwards, we add the presumed exposure time. The result of this actually shows, that the cast shadow (black arrow) of tree 1 fell towards the west, and not towards tree 2 as shown in our picture.

Bild2-eng.png

EXIF data canbe manipuliated, however, no one can change the course of the sun. Without any doubt the exposure time in the picture’s metadata is wrong.  Now, let us cross check the actual exposure time. The picture was taken on April 25, 2018 at 02:58pm.

Bild3-eng.png

This method can be used in many different ways. Imagine someone stands trial and presents  a picture of himself containing EXIF data to prove that he or she was at a certain location at a certain time. Or it can be used to verify propaganda pictures and videos of ISIS in Syria, supposedly containing images of an attack the previous day.

Matthias Wilson / 02.10.2018

Licht und Schatten bei Ermittlungen

Die Sonne ist ein nützlicher Helfer bei Ermittlungen und Geolocation Verifications. Ein Blick auf den Schattenwurf in einem Bild gibt Rückschlüsse auf den Aufnahmezeitpunkt. Dadurch lassen sich auch Falschinformationen entlarven.

Vor drei Wochen haben wir Ihnen gezeigt, wie man mittels EXIF-Daten in Fotos Hinweise auf Standort und Aufnahmezeit des Bildes bekommt. Leider liegen EXIF-Daten nicht immer vor oder noch schlimmer: sie können gefälscht sein. Anhand der Schattenwürfe in einem Bild lässt sich überprüfen, ob der Stand der Sonne mit dem in den Bildinformationen genannten Aufnahmezeitpunkt übereinstimmt.

Schauen wir uns nun folgendes Bild an:

IMG_5542_2

Ich behaupte, das Bild wurde vor meinem Büro am 11. April 2018 um 10:30 Uhr vormittags aufgenommen. Richtig oder falsch?

Die Auswertung der EXIF-Daten ergibt, dass die Koordinate zum angegeben Standort passt und die Uhrzeit sich ebenfalls mit meiner Aussage deckt. Die folgenden Screenshots zeigen die Ergebnisse einer Foto-forensischen Auswertung auf der Webseite fotoforensics.com. Probieren Sie es auch selbst aus, das dargestellte Bild enthält EXIF-Daten.

  1

2.png

Fall abgeschlossen, Informationen verifiziert? Nicht ganz, denn ich habe die EXIF-Daten in diesem Bild manipuliert. Der Standort passt, der Aufnahmezeitpunkt allerdings nicht. Um dies zu verifizieren, zerlegen wir das Ausgangsbild zuerst in seine Einzelinformationen. Hierbei konzentrieren wir uns auf den abgebildeten Schattenwurf des linken Baumes.

3.png

Danach nutzen wir die Webseite suncalc.org zur Überprüfung des Schattenwurfs. Suncalc nutzt Google Maps zur Darstellung der Ergebnisse und auf dem vorliegenden Google Satellitenbild sind die Bäume gut zu erkennen. Im ersten Schritt wählen wir Baum 1 als Referenzpunkt (rote Markierung) in Suncalc. Es ist wichtig, den genauen Standort des Referenzpunkts zu kennen, damit die Ergebnisse nicht verfälscht werden. Anschließend tragen wir den vermeintlichen Aufnahmezeitpunkt ein. Als Ergebnis sehen wir, dass der Schattenwurf (schwarzer Pfeil) von Baum 1 zum angegeben Zeitpunkt 10:30 Uhr nicht wie im Ausgangsbild in Richtung Baum 2 fiel, sondern in westliche Richtung.

4.png

Man kann EXIF-Daten fälschen, aber nicht den Lauf der Sonne. Somit ist zweifelsfrei bewiesen, dass der Aufnahmezeitpunkt gefälscht wurde. Hier ist die Gegenprobe mit dem richtigen Aufnahmezeitpunkt. Das Bild wurde tatsächlich am 25. April 2018 um 14:58 Uhr aufgenommen.

5.png

Diese Methode kann in vielen Fällen angewendet werden. Stellen Sie sich vor, ein Angeklagter in einem Strafverfolgungsprozess möchte Anhand eines Bildes samt EXIF-Daten nachweisen, dass er zu einem bestimmten Zeitpunkt an einem bestimmen Ort war. Oder im Falle von Propagandamaterial des IS in Syrien, in dem ein vermeintlicher Angriff am Vortag gezeigt wird.

Matthias Wilson / 02.10.2018

Asset Tracing using EXIF Data

Geolocation Verification was a topic in this blog last week. The previous post presented one method to geolocate a picture based on different reference points within the picture.

In some cases geolocating a picture is even easier, provided the picture contains georeferenced EXIF metadata. EXIF (Exchangeable Image File Format) is a standard ancillary tag used by digital cameras. Next to various camera settings, such as focal length and exposure time, EXIF metadata could include descriptions of the picture and be geotagged with GPS coordinates as well. Many smartphone users have the so-called ‚location services‘ constantly switched on, thus resulting in their pictures being enriched with GPS coordinates.

The following example is based on a real investigation. The names and locations were altered to ensure the safety of the involved persons.

An asset tracing case has us looking for financial and property assets belonging to a German banker named Hans P. Extensive OSINT research on Hans P. remains unsuccessful.  The focus of this investigation will now be on family and friends of Hans P. We identified two of Hans‘ children on Facebook. His eldest daughter, Anna H., recently married and had set a wedding webpage using the platform ZOLA. This website reveals that the wedding took place at a large unknown estate. The actual location of this estate was not easily given away on the website. The overall information, however, points towards the mediterranean region. On this site, Anna also thanks her father for financing this wedding and providing his estate for the celebration.

website5.png

Example of a ZOLA wedding site

This is an indication that Hans P. is in fact in possession of the aforementioned estate. The website also features many professional pictures, as well as the possibility for wedding guests to upload their own pictures. We look at each picture using a browser extension which shows if the picture contains EXIF data or not. Luckily, one of them does.

IMG_1242

Our next step is to extract the EXIF data using fotoforensics.com. The EXIF data extracted from the picture contains information on the type of phone used and also the exact GPS coordinates from which it was taken. This location is directly displayed on Google Maps.

fotoforensics

The estate  is located near the Italian city of Tuscania. After figuring out the specific street address, we check this in the local real estate and property register.

Bingo! The estate was purchased four years ago and currently belongs to Hans‘ wife. Since Hans‘ wife does not originate from a wealthy family, nor has she ever worked, we assume that this asset was in fact purchased with money provided by Hans P.

By the way: The wedding picture contains the EXIF data shown. Feel free to try this out yourself!

Matthias Wilson / 12.09.2018

Asset Tracing mittels EXIF Daten

Geolocation Verification war bereits letzte Woche Thema in diesem Blog. In dem vorangegangenen Post wurde gezeigt, wie der genaue Standort eines Bildes mittels verschiedener Bezugspunkte ermittelt werden kann.

In manchen Fällen kann der Standort eines Bildes aber noch einfacher ermittelt werden, vorausgesetzt das entsprechende Bild enthält die georeferenzierten EXIF-Daten. EXIF (Exchangeable Image File Format) ist ein Standardformat für das Abspeichern von Metadaten in digitalen Bildern. Neben Kameraeinstellungen (Brennweite, Belichtungszeit, etc.) können diese Metadaten Bildbeschreibungen und GPS-Koordinaten enthalten. Viele Nutzer von Smartphones haben die sogenannten Ortungsdienste bei Smartphones standardmäßig eingeschaltet und reichern somit geschossene Bilder mit GPS-Koordinaten an.

Das folgende Beispiel basiert auf einem tatsächlichen Ermittlungsfall. Zum Schutz der beteiligten Personen wurden jedoch Standort und Namen geändert.

Im Rahmen eines Asset Tracings müssen wir die Vermögenswerte des deutschen Bankers Hans P. ermitteln. Umfangreiche OSINT-Recherchen zu Hans P. bleiben ohne Erfolg, der Schwerpunkt der Ermittlungen wird nun auf nahe Angehörige verlagert. Mittels Facebook können zwei Kinder von Hans P. identifiziert werden. Die älteste Tochter Anna H. hat kürzlich geheiratet und hierzu sogar eine eigene Webseite auf der Plattform ZOLA eingerichtet. Auf dieser Webseite ist ersichtlich, dass die Hochzeit auf einem unbekannten Anwesen stattfand, dessen genauer Standort leider nicht angegeben ist. Die Bilder lassen jedoch auf den mediterranen Raum schließen. Anna H. bedankt sich zudem auf der Webseite dafür, dass Ihr Vater diese Hochzeit bezahlt hat und dass sie auf seinem Anwesen stattfinden konnte.

website5.png

Beispiel einer ZOLA Hochzeitswebseite

Hier haben wir also einen Hinweis darauf, dass dieses Anwesen im Besitz von Hans P. sein könnte. Auf der Webseite befinden sich weiterhin viele professionelle Bilder eines Fotografen und zudem ein Forum, in dem Hochzeitsgäste ebenfalls Bilder hochladen können. Wir nutzen ein Browser Plugin, welches anzeigt, ob die Bilder EXIF-Daten enthalten und werden zum Glück fündig.

IMG_1242

Als nächsten Schritt lassen wir dieses Bild mit der Webseite fotoforensics.com analysieren. Neben Informationen zum Handy, mit dem das Foto gemacht wurde, enthalten die EXIF-Daten genaue Koordinaten des Aufnahmeorts. Dieser Standort wird uns direkt in Google Maps angezeigt.

fotoforensics

Es handelt sich hierbei um ein Anwesen nahe der italienischen Stadt Tuscania. Über den ermittelten Straßennamen wird nun eine Abfrage im italienischen Grundbuch vorgenommen.

Ergebnis und Siegerehrung: Das Grundstück wurde vor vier Jahren erworben und ist auf die Ehefrau von Hans P. registriert. Da diese keiner wohlhabenden Familie entstammt und zudem keine Berufstätigkeit vorzuweisen hat, ist davon auszugehen, dass die Mittel zum Kauf der Immobilie von Hans P. stammen.

PS: Das Hochzeitsbild enthält tatsächlich EXIF-Daten. Viel Spaß beim Extrahieren und Analysieren!

Matthias Wilson / 12.09.2018