Bilderanalyse - Teil 2: Technische Bilderverstecke
Neben dem rein optischen Varianten lassen sich mit digitalen Bildern auf technische Weise eine Menge Scheußlichkeiten anstellen. Bei Geocaching-Mysteries am Schlimmsten finde ich computergestützte Steganografie. So schön es ist, unsichtbar und fast unknackbar mit kostenlos erhältlichen Programmen fast alle erdenklichen Dinge in Bildern zu verstecken, ist es für den Mysterylöser eher mühsam, da man zum Entschlüsseln genau die Software benutzen muss, mit der auch verschlüsselt worden ist. Weiß man welche es ist, muss man möglicherweise nur noch ein Passwort ermitteln und ist eine Runde weiter. Kennt man die Software nicht, ist es ein mühsames, langweiliges Durchprobieren der üblichen Verdächtigen. Trotzdem ist derartige Steganografie für mich sehr spannend und ich werde schon allein deshalb dieser später sicher noch einen eigenen Artikel widmen.
Es gibt aber viel schönere und einfachere Methoden, Informationen in Bildern zu verstecken und wiederzufinden. So könnte einfach die Bildgröße, Höhe und Breite in Pixeln, die fehlende Nord- und Ostkoordinate sein (oder doch wenigstens deren letzte drei Ziffern). Alternativ könnte auch die Stelle eines relevanten Pixels die Koordinate anzeigen.
Ist das Bild ein JPEG (die Endung des Bildes .jpg), kann es Zusatzinformationen beinhalten. Gedacht sind diese für Autorenvermerke, Kommentare oder Daten zu Kameras und Fotoeinstellungen. Neuere Fotoapparate enthalten oft schon einen GPS-Empfänger und speichern die Koordinate, an der das Bild gemacht wurde, gleich mit. Smartphones können dies ebenfalls. Und so mancher Mystery verrät seine Finalkoordinaten so schon durch unachtsame Geocacher, die Fotos mit derart interessanten Zusatzinformationen unwissentlich in ihren Logs mit hochladen.
Für das Sichtbarmachen dieser Zusatzinformationen (EXIF, IPTC, Comments) kann man Bildbetrachter benutzen (das erwähnte IrfanView oder xnview). Bildbearbeitungsprogramme zeigen dieses ebenfalls an. Mein Favorit hierbei ist die Freeware Gimp, die ihrem großen Bruder Photoshop zumindest in meinen semi-professionellen Anwendungsgebieten in nichts nachsteht. Wer Firefox nutzt, kann auch auf einige entsprechende Add-ons zurückgreifen, welche das Herunterladen des Bildes möglicherweise überflüssig machen.
Findet sich in den Bildereigenschaften nichts sinnvolles, sollte man sich das Bild mal in einem Hexeditor anschauen. Im IrfanView kann man dies mit View → Show hex view bzw. durch das Drücken der Taste F3. Im IrfanView wird dann in einem Extrafenster links die Hexadezimaldaten angezeigt, rechts der „Klartext“, der bei einem Bild natürlich weitestgehend nicht menschenlesbar ist.
Ein normaler Hexeditor (wie z.B. HxD) tut selbiges natürlich ebenfalls. In der Hexansicht kann man nun vielleicht Informationen oder auch Manipulationen entdecken, die man dem Bild so nicht ansieht. Das Format jpg ist zwar grundsätzlich an feste Regeln gebunden, nur kann man diese ziemlich beugen und das Bild wird noch immer fehlerfrei angezeigt. So lässt sich an einigen Stellen (im oberen Bereich und ganz unten) Text verbergen, den der geneigte Leser nur in der Hexansicht zu lesen bekommt. Beim Geocaching gern benutzt ist das Anhängen eines Zips, also einer gepackten Datei, an das jpeg-Bild. Öffnet man dieses in einem Zip-Programm (z.B. Winrar), öffnet sich das Archiv und man kann den Inhalt entpacken. Manchmal hat der Owner des Mysterys noch ein Passwort eingebaut, was sich dann hoffentlich aus dem Listing ergibt (vielleicht Cachetitel, GC-Code oder Ownername?).
Ob einem Jpeg-Bild etwas angehängt worden ist, lässt sich über die Hex-Ansicht leicht überprüfen. Laut den JPEG-Spezifikationen muss ein JPEG-Bild mit dem Hexadezimal-Wert FF D8 beginnen und mit FF D9 enden. Endet es anders, ist es manipuliert. Etwas ist wie das Gezippte ist angehängt worden, oder möglicherweise einfach Text am Ende eingefügt. Um diesem Geheimnis auf die Spur zu kommen, muss man - wenn die Infos nicht schon direkt ablesbar sind - mit einem Hex-Editor alles, was nach dem eigentlichen Ende des JPEG-Bildes, also dem Hex FF D9 , abschneiden und in eine neue Datei packen (das FF D9 kann, beabsichtigt oder nicht, mehrfach vorkommen! Dann müssen alle möglichen „Schnittvarianten“ ausprobiert werden). Dieses neue Dokument nun unter einem passenden Namen speichern und mit sinnvollen Programmen öffnen. Es könnte sich ja ebenfalls um ein Bild handeln, dann wäre ein Bildbetrachter angebracht. Vielleicht auch ein Texteditor. Ein Video- oder Musikplayer vielleicht? Mag möglicherweise ein PDF-Reader Inhalte anzeigen?
Eine weitere Entzauberung fieser Bilderrätsel kann man über die Farb-/Kontrast-,/Sättigungs- und Gammaregler einer geneigten Bildbetrachtungs- oder -bearbeitungssoftware durchführen. Einfach mal die vorhandenen Regler (im IrfanView unter Image / Color correction zu finden, im Gimp gibt es verschiedene Fenster unter dem Menüpunkt Farben) hin und her schieben. Besonders den Gammaregler auch gern komplett mal an beide Enden bewegen, so manches Mal taucht dann, wie von Zauberhand, etwas im Bild auf, was vorher definitiv unsichtbar gewesen ist. Nun... eigentlich nicht ganz unsichtbar, je nach Bildart und Farbfüllung wäre man diesem Trick auch auf die Schliche gekommen, wenn man die Bearbeitungsfunktion (zB. Im IrfanView Edit → Paint Dialog) benutzt und mit diesem schicken Eimerchensymbol
mal Farbe über diverse, optisch einfarbige Bereiche kippt. Dieser Gegenzauber hilft aber nur bei Bildern mit wenig Details und großflächig einfarbigen Stellen. Hat man ein Bild vorliegen, was nur aus zwei Farben besteht oder besonders auffällige Bildbereiche besitzt, könnten die Farbwerte der Schlüssel sein. Mit Gimp und der Pipette im Werkzeugfenster kann man den Farbwert „aufnehmen“ und mit einem Doppelklick auf das Quadrat, welches nun im Werkzeugfenster nun die Farbe angenommen hat, erfährt man Details zu ihr. Zum Beispiel die RGB-Farbwerte, bei denen Rot, Gelb und Blau jeweils mit einer Zahl dargestellt werden (R 52/G 12/B 33) oder der Hexadezimalwert der Farbe, wie #4fad91. Oh wie hübsch, dezimal ist das 5221777, eine Nordkoordinate! ;)
Hat man eine GIF-Datei vorliegen (endet mit .gif), kann diese aus mehreren Teilen bestehen, die nach einer vorbestimmten Zeit wie ein Daumenkino ablaufen. Das kann so schnell sein, daß es wie ein solches aussieht, oder so langsam, daß man vermutlich gar nicht mehr hinschaut, wenn das Bild endlich mal wechselt. Daher sollte man GIFs immer auseinandernehmen. Im Gimp geöffnet erkennt man dann im Ebenenfenster die verschiedene Ebenen, in xnview kann man unter Ansicht → Frame zwischen den einzelnen hin und herspringen und sieht deren Anzahl und die eigene Position unten links in der Statusleiste. GIFs und PNGs können Informationen beinhalten, die man vor einem weißem Hintergrund nicht sieht (der sowohl bei geocaching.com als auch bei den üblichen Bildbetrachtern üblich ist). Vor einem andersfarbigen erkennt man vielleicht, was vorher nicht zu sehen war.
Handelt es sich um ein bekanntes Bild oder ist das Bild vielleicht zwei Mal im Listing, lohnt es sich, nach Unterschieden zu suchen. Sollten die nicht optisch offenkundig sein, kann man in einem Bildbearbeitungsprogramm, welches Ebenen beherrscht (gimp zum Beispiel mal wieder als Vertreter der Freeware-Fraktion oder natürlich der fast-alles-Könner Photoshop), diese beiden Bilder als solche übereinanderlegen. Dann das obenliegende Bild durchscheinend (transparent) machen, vielleicht noch etwas an den Kontrast- und Transparenzreglern spielen und gucken, ob der Zauber wirkt.
Kann man auf dem Bild nichts erkennen außer einer wirren „Tapetengrafik“ eines Designers unter LSD, könnte es sich um ein Stereogramm handeln. Mit ausreichend Training, etwas schielen und den passenden Augen lassen sich von vielen Menschen nach einer Weile Dinge hier drin sehen, die ich leider nicht erkennen kann. Ich nehme, wenn ich grad keinen passenden „Schieler“ in der Nähe habe, Software, die mir die verborgene Information im Stereogramm anzeigt. Derer gibt es inzwischen eine wahre Flut, so daß ich mir eine Empfehlung lieber spare. Wer gut mit Bildbearbeitungssoftware umgehen kann, dem mag auch diese hierfür reichen: das Bild in eine neue Ebene kopieren, auf Differenzmodus stellen (in Gimp im Ebenenfenster, Modus, Abziehen). Nun hat man ein schwarzes Bild und kann die neue Ebene so lange hin- und her schieben, bis sichtbar wird, was versteckt sein wollte. Die Verschiebung kann gut und gern 50 Pixel betragen.
Mein vorerst letzter Bildertipp, den ich fast täglich nutze: tineye und die Google-Bildersuche! Will man bestimmte Informationen zu einem bestimmten Bild, weiß man nicht, wer oder was hier grad abgebildet ist, diese beiden Dienste leisten großartige Arbeit! Tineye gibt es als Firefox-Plugin, mein absolutes Lieblingsplugin. Dafür kann die google-Bildersuche mehr finden, tineye findet nur, was genau den gleichen Ausschnitt hat, wie das gesuchte Bild. Die google Bildersuche benutzt sich für mich am einfachsten, in dem ich die komplette URL des Bildes bei Google ins Suchfenster packe und im folgenden Fenster oben auf "Passende Bilder finden Sie mit der Bildersuche" klicke.
Zurück zum Inhaltsverzeichnis
Zurück zum Teil 1 der Bilderanalyse - Einleitung und optisches Verstecken