百度地图 – Mit Baidu Maps unterwegs auf Chinas Straßen

Andere Länder andere Sitten. Es muss nicht immer Google sein. Heute präsentiere ich euch eine Möglichkeit, wie man in China eine Adresse in Augenschein nehmen kann. 

Google Street View ist für OSINT Ermittler heute unabdingbar. Insbesondere für den Bereich der Geolocation Verification spielt das Tool eine entscheidende Rolle. Die Abdeckung mit aktuellem Bildmaterial wird von Tag zu Tag besser. In Großstädten wie Paris und London ist das Google Street View Car teilweise schon mehrfach durch die Straßen gefahren, so dass man sogar eine historische Veränderung nachvollziehen kann. Sogar in vermeintlichen Entwicklungs- u. Schwellenländern existiert eine solide Abdeckung. So kann ich mich problemlos virtuell in ein abgelegenes Dorf in der Slowakei begeben, um die Adresse in Augenschein zu nehmen, an der sich angeblich ein Unternehmen befinden soll.

Leider gibt es aber immer noch viele weiße Flecken auf der Google Street View Landkarte. Dies liegt weniger an Google als an regulatorischen und/oder sicherheitsbedingten Gründen in den verschiedenen Ländern.

In Deutschland scheitert es vor allem am schwierigen Verhältnis der Deutschen zum Datenschutz. Nur in wenigen Großstädten existiert aus dem Jahr 2009 veraltetes Bildmaterial, das teilweise auch noch verpixelt ist. Der Rest ist digitales Entwicklungsland.

PNG 1Abdeckung mit Google Street View (blaue Schattierungen) in Deutschland im Vergleich mit den Nachbarstaaten

Auch in China existiert keine Abdeckung mit Google Street View (ausgenommen Hongkong). Dies hat aber vor allem mit regulatorischen Auflagen der Volksrepublik zu tun. Aber China wäre nicht China, wenn es keine Alternative gäbe. Die chinesische Suchmaschine Baidu verfügt ebenso wie Google über einen Kartendienst, der ebenfalls eine Street View Variante bietet. Allerdings ist nicht das ganze Land abgedeckt, sondern bisher nur die Großstädte und Wirtschaftsmetropolen. Für Ermittler, die beispielsweise eine Due Diligence eines neuen Geschäftspartners in China durchführen, bietet Baidu somit die Möglichkeit, die Adresse vorab in Augenschein zu nehmen. Sollte sich an der Adresse anstatt der Werkshallen nur ein Kiosk befinden, sollte ich stutzig werden.

PNG 2Abdeckung Baidu Total View (blaue Schattierungen) im Großraum Shanghai

Eine große Herausforderung ist die sprachliche Hürde. Baidu ist in Chinesisch und die automatische Übersetzung der Webseite funktioniert nicht immer, so dass ich einzelne Textabschnitte herauskopieren muss.

Ich erreiche den Kartendienst von Baidu, indem ich auf der Startseite oben rechts auf地图 (übersetzt Karte) klicke.

PNG 3

Der Kartendienst ist grundsätzlich ähnlich wie Google Maps aufgebaut. Oben links befindet sich das Eingabe- und Suchfeld (roter Rahmen). Unten rechts sind die drei verschiedenen Kartenansichtsvarianten Straße (grüner Rahmen), Satellit (gelber Rahmen) und Total View (violetter Rahmen).

PNG 4

Den größten Erfolg habe ich, wenn ich direkt eine chinesische Adresse in das Suchfeld eingebe. Wenn ich beispielsweise eine Firma in China untersuchen soll, erhalte ich die Adresse sehr wahrscheinlich von der Webseite des Unternehmens.

Als Beispiel soll die Volkswagen (China) Investment Co. Ltd. (大众汽车(中国)投资有限公司), ein Tochterunternehmen des deutschen Autobauers, dienen. Auf der Webseite des Unternehmens www.vw.com.cn  finde ich unter Kontakt den genauen Firmennamen und die Adresse der Gesellschaft, natürlich unter Zuhilfenahme von Google Translate.

Den chinesischen Namen der Adresse kopiere ich in das Eingabefeld von Baidu Maps und erhalte einen Treffer. Danach wechsele ich in den Total View Modus und setze die kleine Kamera vor das Gebäude.

PNG 7

Im Baidu Total View Modus habe ich dann wie bei Google Street View die Möglichkeit, die Kamera zu drehen, herein und heraus zu zoomen und die Straße entlang zu fahren. In unserem Fall erkenne ich das Volkswagen-Gebäude am markanten Schriftzug davor.

PNG 8

Natürlich ist es nicht immer so einfach wie in diesem Fall. Sehr häufig ist es notwendig, das Umfeld der Adresse in Baidu Total View abzusuchen, um den gewünschten Treffer zu erhalten.

Ich hoffe, ich konnte mit diesem kurzen Blogeintrag eine praxistaugliche Beschreibung über Baidu Total View geben. Am besten ihr spielt ein bisschen mit dem Tool, um die Leistungsfähigkeit selbst zu bewerten. Wenn ihr Fragen oder Anmerkungen habt, dann schreibt es gern in die Kommentare.

Ingmar Heinrich / 30.11.2018

The Sunny Side of Geolocation Verifications

The sun is a useful helper in investigations and geolocation verifications. Looking at shadows in pictures could reveal the moment of capture. This helps debunking false information.

Three weeks ago we showed you how to use EXIF data in pictures to receive indications on the location and precise moment of capture. Unfortunately, not all pictures contain EXIF data, or even worse: the EXIF data could be falsified. The shadow cast in pictures enables us to check if the sun position correlates with the exposure time contained in the pictures’ metadata.

Let us look at the following picture:

IMG_5542_2

I claim, that this picture was taken in front of my office on April 11, 2018 at 10:30am. True or false?

An evaluation of the EXIF data confirms that the coordinates and exposure time back my claim. The following screenshots depict the results of the fotoforensic check on fotoforensics.com. Try it yourself, the picture actually contains the EXIF data.

  1

2.png

Case closed, information verified? Not really, because I altered the EXIF data in the picture. While the coordinates were left unchanged, the exposure time was modified. To verify this, we’ll take a closer look at the picture and dissect it into it’s single pieces of information. Hereby, we will concentrate on the shadow cast by the tree on the left.

Bild1-eng.png

Next we will use the website suncalc.org to check the casted shadow. Suncalc uses Google Maps to diplay results and the existing satellite imagery on Google is good enough to pinpoint each tree. In the first step, tree 1 will be used as the reference point (red marking). It is important to know the precise location of your reference point, or else the final results may be distorted. Afterwards, we add the presumed exposure time. The result of this actually shows, that the cast shadow (black arrow) of tree 1 fell towards the west, and not towards tree 2 as shown in our picture.

Bild2-eng.png

EXIF data canbe manipuliated, however, no one can change the course of the sun. Without any doubt the exposure time in the picture’s metadata is wrong.  Now, let us cross check the actual exposure time. The picture was taken on April 25, 2018 at 02:58pm.

Bild3-eng.png

This method can be used in many different ways. Imagine someone stands trial and presents  a picture of himself containing EXIF data to prove that he or she was at a certain location at a certain time. Or it can be used to verify propaganda pictures and videos of ISIS in Syria, supposedly containing images of an attack the previous day.

Matthias Wilson / 02.10.2018

Licht und Schatten bei Ermittlungen

Die Sonne ist ein nützlicher Helfer bei Ermittlungen und Geolocation Verifications. Ein Blick auf den Schattenwurf in einem Bild gibt Rückschlüsse auf den Aufnahmezeitpunkt. Dadurch lassen sich auch Falschinformationen entlarven.

Vor drei Wochen haben wir Ihnen gezeigt, wie man mittels EXIF-Daten in Fotos Hinweise auf Standort und Aufnahmezeit des Bildes bekommt. Leider liegen EXIF-Daten nicht immer vor oder noch schlimmer: sie können gefälscht sein. Anhand der Schattenwürfe in einem Bild lässt sich überprüfen, ob der Stand der Sonne mit dem in den Bildinformationen genannten Aufnahmezeitpunkt übereinstimmt.

Schauen wir uns nun folgendes Bild an:

IMG_5542_2

Ich behaupte, das Bild wurde vor meinem Büro am 11. April 2018 um 10:30 Uhr vormittags aufgenommen. Richtig oder falsch?

Die Auswertung der EXIF-Daten ergibt, dass die Koordinate zum angegeben Standort passt und die Uhrzeit sich ebenfalls mit meiner Aussage deckt. Die folgenden Screenshots zeigen die Ergebnisse einer Foto-forensischen Auswertung auf der Webseite fotoforensics.com. Probieren Sie es auch selbst aus, das dargestellte Bild enthält EXIF-Daten.

  1

2.png

Fall abgeschlossen, Informationen verifiziert? Nicht ganz, denn ich habe die EXIF-Daten in diesem Bild manipuliert. Der Standort passt, der Aufnahmezeitpunkt allerdings nicht. Um dies zu verifizieren, zerlegen wir das Ausgangsbild zuerst in seine Einzelinformationen. Hierbei konzentrieren wir uns auf den abgebildeten Schattenwurf des linken Baumes.

3.png

Danach nutzen wir die Webseite suncalc.org zur Überprüfung des Schattenwurfs. Suncalc nutzt Google Maps zur Darstellung der Ergebnisse und auf dem vorliegenden Google Satellitenbild sind die Bäume gut zu erkennen. Im ersten Schritt wählen wir Baum 1 als Referenzpunkt (rote Markierung) in Suncalc. Es ist wichtig, den genauen Standort des Referenzpunkts zu kennen, damit die Ergebnisse nicht verfälscht werden. Anschließend tragen wir den vermeintlichen Aufnahmezeitpunkt ein. Als Ergebnis sehen wir, dass der Schattenwurf (schwarzer Pfeil) von Baum 1 zum angegeben Zeitpunkt 10:30 Uhr nicht wie im Ausgangsbild in Richtung Baum 2 fiel, sondern in westliche Richtung.

4.png

Man kann EXIF-Daten fälschen, aber nicht den Lauf der Sonne. Somit ist zweifelsfrei bewiesen, dass der Aufnahmezeitpunkt gefälscht wurde. Hier ist die Gegenprobe mit dem richtigen Aufnahmezeitpunkt. Das Bild wurde tatsächlich am 25. April 2018 um 14:58 Uhr aufgenommen.

5.png

Diese Methode kann in vielen Fällen angewendet werden. Stellen Sie sich vor, ein Angeklagter in einem Strafverfolgungsprozess möchte Anhand eines Bildes samt EXIF-Daten nachweisen, dass er zu einem bestimmten Zeitpunkt an einem bestimmen Ort war. Oder im Falle von Propagandamaterial des IS in Syrien, in dem ein vermeintlicher Angriff am Vortag gezeigt wird.

Matthias Wilson / 02.10.2018

Asset Tracing using EXIF Data

Geolocation Verification was a topic in this blog last week. The previous post presented one method to geolocate a picture based on different reference points within the picture.

In some cases geolocating a picture is even easier, provided the picture contains georeferenced EXIF metadata. EXIF (Exchangeable Image File Format) is a standard ancillary tag used by digital cameras. Next to various camera settings, such as focal length and exposure time, EXIF metadata could include descriptions of the picture and be geotagged with GPS coordinates as well. Many smartphone users have the so-called ‘location services’ constantly switched on, thus resulting in their pictures being enriched with GPS coordinates.

The following example is based on a real investigation. The names and locations were altered to ensure the safety of the involved persons.

An asset tracing case has us looking for financial and property assets belonging to a German banker named Hans P. Extensive OSINT research on Hans P. remains unsuccessful.  The focus of this investigation will now be on family and friends of Hans P. We identified two of Hans’ children on Facebook. His eldest daughter, Anna H., recently married and had set a wedding webpage using the platform ZOLA. This website reveals that the wedding took place at a large unknown estate. The actual location of this estate was not easily given away on the website. The overall information, however, points towards the mediterranean region. On this site, Anna also thanks her father for financing this wedding and providing his estate for the celebration.

website5.png

Example of a ZOLA wedding site

This is an indication that Hans P. is in fact in possession of the aforementioned estate. The website also features many professional pictures, as well as the possibility for wedding guests to upload their own pictures. We look at each picture using a browser extension which shows if the picture contains EXIF data or not. Luckily, one of them does.

IMG_1242

Our next step is to extract the EXIF data using fotoforensics.com. The EXIF data extracted from the picture contains information on the type of phone used and also the exact GPS coordinates from which it was taken. This location is directly displayed on Google Maps.

fotoforensics

The estate  is located near the Italian city of Tuscania. After figuring out the specific street address, we check this in the local real estate and property register.

Bingo! The estate was purchased four years ago and currently belongs to Hans’ wife. Since Hans’ wife does not originate from a wealthy family, nor has she ever worked, we assume that this asset was in fact purchased with money provided by Hans P.

By the way: The wedding picture contains the EXIF data shown. Feel free to try this out yourself!

Matthias Wilson / 12.09.2018

Asset Tracing mittels EXIF Daten

Geolocation Verification war bereits letzte Woche Thema in diesem Blog. In dem vorangegangenen Post wurde gezeigt, wie der genaue Standort eines Bildes mittels verschiedener Bezugspunkte ermittelt werden kann.

In manchen Fällen kann der Standort eines Bildes aber noch einfacher ermittelt werden, vorausgesetzt das entsprechende Bild enthält die georeferenzierten EXIF-Daten. EXIF (Exchangeable Image File Format) ist ein Standardformat für das Abspeichern von Metadaten in digitalen Bildern. Neben Kameraeinstellungen (Brennweite, Belichtungszeit, etc.) können diese Metadaten Bildbeschreibungen und GPS-Koordinaten enthalten. Viele Nutzer von Smartphones haben die sogenannten Ortungsdienste bei Smartphones standardmäßig eingeschaltet und reichern somit geschossene Bilder mit GPS-Koordinaten an.

Das folgende Beispiel basiert auf einem tatsächlichen Ermittlungsfall. Zum Schutz der beteiligten Personen wurden jedoch Standort und Namen geändert.

Im Rahmen eines Asset Tracings müssen wir die Vermögenswerte des deutschen Bankers Hans P. ermitteln. Umfangreiche OSINT-Recherchen zu Hans P. bleiben ohne Erfolg, der Schwerpunkt der Ermittlungen wird nun auf nahe Angehörige verlagert. Mittels Facebook können zwei Kinder von Hans P. identifiziert werden. Die älteste Tochter Anna H. hat kürzlich geheiratet und hierzu sogar eine eigene Webseite auf der Plattform ZOLA eingerichtet. Auf dieser Webseite ist ersichtlich, dass die Hochzeit auf einem unbekannten Anwesen stattfand, dessen genauer Standort leider nicht angegeben ist. Die Bilder lassen jedoch auf den mediterranen Raum schließen. Anna H. bedankt sich zudem auf der Webseite dafür, dass Ihr Vater diese Hochzeit bezahlt hat und dass sie auf seinem Anwesen stattfinden konnte.

website5.png

Beispiel einer ZOLA Hochzeitswebseite

Hier haben wir also einen Hinweis darauf, dass dieses Anwesen im Besitz von Hans P. sein könnte. Auf der Webseite befinden sich weiterhin viele professionelle Bilder eines Fotografen und zudem ein Forum, in dem Hochzeitsgäste ebenfalls Bilder hochladen können. Wir nutzen ein Browser Plugin, welches anzeigt, ob die Bilder EXIF-Daten enthalten und werden zum Glück fündig.

IMG_1242

Als nächsten Schritt lassen wir dieses Bild mit der Webseite fotoforensics.com analysieren. Neben Informationen zum Handy, mit dem das Foto gemacht wurde, enthalten die EXIF-Daten genaue Koordinaten des Aufnahmeorts. Dieser Standort wird uns direkt in Google Maps angezeigt.

fotoforensics

Es handelt sich hierbei um ein Anwesen nahe der italienischen Stadt Tuscania. Über den ermittelten Straßennamen wird nun eine Abfrage im italienischen Grundbuch vorgenommen.

Ergebnis und Siegerehrung: Das Grundstück wurde vor vier Jahren erworben und ist auf die Ehefrau von Hans P. registriert. Da diese keiner wohlhabenden Familie entstammt und zudem keine Berufstätigkeit vorzuweisen hat, ist davon auszugehen, dass die Mittel zum Kauf der Immobilie von Hans P. stammen.

PS: Das Hochzeitsbild enthält tatsächlich EXIF-Daten. Viel Spaß beim Extrahieren und Analysieren!

Matthias Wilson / 12.09.2018

Geolocate thIS! (English version)

In early 2016, Islamic State (IS) supporters published pictures in Telegram messenger channels containing handwritten pledges to the Islamic States’ cause. With this propaganda campaign, the terrorist organisation wanted to show the size and strength of its worldwide network.

Apparently some of the IS supporters were not aware of how much information regarding their actual location they had divulged in these pictures. Within hours of release, Twitter users had revealed these locations. IS was not really able to demonstrate global power with this propaganda campaign, however, I am quite sure that some of these supporters gained the attention of law enforcement and government security agencies afterwards.

How could this happen? First off, there is a large community of OSINT specialists, many of them with a journalistic background, specialized in the verifcation of information. One aspect of this is Geolocation Verification, in which pictures are dissected to receive individual clues that can be researched online using various different tools. The main goal is to pinpoint the exact location.

Geolocate This! is one of them and is very useful to find a location using two separate reference points.

geolocate-1

Based on one the pictures posted by an IS supporter in 2016, I would like to demonstrate how this works.

Step 1: Dissecting the picture into individual clues

geolocate-2

This picture contains several clues, which will help us along the way.

  1. The city of Paris is written on the note in Arabic (باريس). This indicates we are looking for a location in the capital of France.
  2. In the background we can see a Suzuki sign. It most likely belongs to a dealer or repair shop.

These clues alone would enable us to find the exact location. Looking up all Suzuki dealers or repair shops in Paris on Google Maps could be successful. However, it would take an unproportionate amount of time to view all results.

  1. The opposite side of the street depicts a sign of the beer brand Heineken. This likely indicates a bar.

Step 2: Using Geolocate This!

geolocate-3

  1. I looked up the coordinates (latitude, longitude) for the center of Paris on  latlong.net and entered these into the search mask.
  2. Next I set the search radius to 10.000m.
  3. The first keyword is Suzuki and I add a category as well. The second keyword is bar, which I also used as the category. The use of categories is optional.
  4. Based on the picture, the distance between both locations is approximately 20m, which I then add as the final input.

After clicking on Search, I receive ten results with possible locations for my picture.

geolocate-4

Step 3: Verification with Google Street View

Luckily, Paris has an excellent Google Street View coverage. I check each result from Geolocate This! in Street View and compare this view with the IS supporter’s picture. As the picture clearly shows a smaller side street, I check these first.

Et voilà! Shortly afterwards I am able to identify the location from which the picture was taken. This Street View was captured in July 2016 and I can clearly see the Suzuki sign, the Heineken Bar and the scaffolding in the background.

geolocate-5

Tilting Street View to the left, gives me a view of the house from which the initial picture was taken, probably in a room somewhere between the first and third floor.

We now have an address in which a probable IS supporter lives. This information might be relevant for law enforcement and government security agencies…

geolocate-6

This is just one example of how OSINT techniques can lead to the exact location of a picture. There are many more used within Geolocation Verification. 

In the following weeks, we’ll present more tools and techniques from the everyday life of an investigator. In the meantime, I advise you to practice your geolocation skills trying to solve the pop quizzes on Twitter at @Quiztime 

Ingmar Heinrich / 07.09.2018

Geolocate thIS!

Anfang 2016 veröffentlichten Anhänger des sogenannten Islamischen Staates (IS) auf Kanälen des Messengers Telegram mehrere Fotos. Diese enthielten handgeschriebene Treuebekundungen zum IS. Die Terrororganisation wollte durch diese Propagandaaktion die Größe und Stärke ihres weltweiten Netzwerkes darstellen.

Dem einen oder anderen IS-Sympathisanten war vermutlich nicht bewusst, wie viele Hinweise er damit über seinen eigenen Standort preisgibt. Innerhalb weniger Stunden wurden die genauen Aufenthaltsorte mehrerer IS-Anhänger von Twitter-Usern enttarnt. Der erwünschte Effekt des IS blieb aus und es ist sogar anzunehmen, dass einige dieser Personen in den Fokus der Sicherheitsbehörden gerieten.

Was war passiert? Es gibt mittlerweile eine sehr große Gemeinde von OSINT-Spezialisten, davon viele aus dem journalistischen Umfeld, die sich auf die Verifikation von Informationen spezialisiert haben. Bei der sogenannten Geolocation Verification werden Fotos in ihre Einzelinformationen zerlegt, um diese dann mit Hilfe unterschiedlicher Tools im Internet zu recherchieren. Ziel ist die Lokalisierung der exakten Ortsangaben.

Ein sehr nützliches Tool ist Geolocate This!mit dessen Hilfe sich Orte unter Angabe von zwei Bezugspunkten lokalisieren lassen.

geolocate-1

Anhand eines der geposteten IS-Fotos möchte ich die Funktionsweise kurz erklären.

Schritt 1: Zerlegen des Fotos in Einzelinformationen

geolocate-2

Auf dem Foto lassen sich mehrere Informationen erkennen, die uns bei der weiteren Recherche helfen.

  1. Auf dem Zettel steht auf Arabisch Paris (باريس). Diese Information grenzt die Suche auf die Hauptstadt von Frankreich ein.
  2. Zudem ist ein Schild der Automarke Suzuki erkennbar. Vermutlich gehört es zu einem Händler, der die Marke Suzuki vertreibt.

Allein diese beiden Informationen reichen aus, um den genauen Ort zu lokalisieren. Eine Suche der Suzuki-Händler in Paris bei Google Maps würde zum Erfolg führen. Allerdings müsste ich verhältnismäßig viel Zeit aufwenden, um mich durch die Treffer zu klicken.

  1. Auf der gegenüber liegenden Straßenseite ist das Schild der Biermarke Heineken erkennbar, das wahrscheinlich zu einer Bar gehört.

Schritt 2: Eingeben der Daten bei Geolocate This!

geolocate-3

  1. Die Koordinaten (Latitude, Longitude) von Paris erhalte ich von einer Webseite wie latlong.net. Den Ausgangspunkt setze ich in das Zentrum von Paris. Die Koordinaten übertrage ich in die Suchmaske.
  2. Ich grenze den Suchradius auf 10.000m ein.
  3. Das Keyword 1 ist unserer wahrscheinlicher Suzuki-Händler. Optional vergebe ich die Kategorie Car Dealer. Als Keyword 2 vergebe ich Bar und kategorisiere es zudem als Bar.
  4. Der Abstand zwischen den beiden Orten beträgt ungefähr 20 m.

Danach klicke ich auf Search und ich erhalte eine Übersicht mit 10 möglichen Treffern.

geolocate-4

Schritt 3: Recherche mit Google Street View

Paris verfügt über eine exzellente Abdeckung mit Google Street View. Ich gehe nun durch die einzelnen Treffer von Geolocate This! und gleiche sie mit dem Ausgangsfoto ab. Als weitere Eingrenzung sichte ich zuerst Treffer, die sich in Nebenstraßen, wie auf unserem Foto, befinden.

Et voilà! Nach einer kurzen Suche kann ich den Ort lokalisieren. Auf einer Aufnahme von Juli 2016 erkenne ich das Suzuki-Schild, die Bar mit dem Heineken-Schild, sowie das Baugerüst im Hintergrund.

geolocate-5

Drehen wir die Google Street View-Kamera nun nach links, sehen wir das Haus, aus dem heraus das Foto aufgenommen wurde. Sehr wahrscheinlich wurde es aus einem der Fenster zwischen dem 1. – 3. OG geschossen.

Somit haben wir die wahrscheinliche Adresse und sogar das Stockwerk, in dem ein mutmaßlicher IS-Anhänger wohnt. Um alles weiter müssen sich jetzt die Sicherheitsbehörden kümmern…

geolocate-6

Das Beispiel zeigt eine Möglichkeit, wie ich exakte Standorte mit Hilfe von OSINT-Techniken lokalisieren kann. Bekanntlich führen viele Wege nach Rom und es gibt zahlreiche weitere Methoden im Rahmen der Geolocation Verification.

In den nächsten Wochen werden wir weitere Tools und Techniken aus dem Alltag eines Ermittlers vorstellen. Wer sich die Wartezeit verkürzen und bis dahin etwas üben möchte, dem empfehlen wir den Twitter-Kanal @Quiztime 

Ingmar Heinrich / 06.09.2018