Neue Erkenntnisse aus Snowden-Dokumenten durch Analyse der PDF-Metadaten-Versionen

 (libroot.org)
1 Punkte von GN⁺ 2026-01-12 | 1 Kommentare | Auf WhatsApp teilen
  • Die Analyse der Versionshistorie in den PDF-Metadaten veröffentlichter Snowden-Dokumente bestätigt, dass Abschnitte zu bodengebundenen Stationen von Geheimdiensten in den USA absichtlich entfernt wurden
  • Zu den gelöschten Inhalten gehören operative Bezeichnungen und Tarnnamenstrukturen von Potomac Mission Ground Station (PMGS) und Consolidated Denver Mission Ground Station (CDMGS)
  • In beiden Dokumenten waren diese Informationen in frühen Versionen vorhanden, wurden jedoch in den endgültig veröffentlichten Fassungen vollständig entfernt und hinterließen nur Spuren in der internen PDF-Versionshistorie
  • Informationen zu ausländischen Einrichtungen wie Menwith Hill im Vereinigten Königreich und Pine Gap in Australien blieben dagegen unverändert erhalten, was ein Muster zeigt, bei dem nur inländische Einrichtungen systematisch redigiert wurden
  • Diese Entdeckung ist wichtig als Beispiel dafür, dass sich Redaktions- und Zensurverfahren im Veröffentlichungsprozess der Snowden-Dokumente technisch nachverfolgen lassen

Gelöschte Inhalte zu US-Informationsanlagen

  • Die Metadatenanalyse der beiden Dokumente bestätigt, dass Abschnitte zu inländischen Geheimdienstanlagen vollständig gelöscht wurden
    • Im 2016 veröffentlichten Menwith satellite classification guide wurde der Abschnitt zu PMGS (Washington, DC) entfernt
    • Im 2017 veröffentlichten NRO SIGINT Guide for Pine Gap wurde der Abschnitt zu CDMGS (Raum Denver) entfernt
  • Die entfernten Passagen enthielten unter anderem offizielle Bezeichnungen, Tarnnamen, Standorte und Besucherinformationen der Einrichtungen
  • Beide Einrichtungen waren ausdrücklich als Mission Ground Station des National Reconnaissance Office (NRO) aufgeführt,
    • der Tarnname von PMGS lautete „Classic Wizard Reporting and Testing Center(CWRTC)
    • der Tarnname von CDMGS war als „Aerospace Data Facility(ADF) “ verzeichnet

Potomac Mission Ground Station (PMGS)

  • Standort: in den Gebäuden 259 und 260 des Naval Research Laboratory in Washington, DC
  • Öffentliche Bezeichnung: „Classic Wizard Reporting and Testing Center(CWRTC)
  • Tatsächliche Funktion: Bodenstation des NRO-Satelliteninformationsnetzwerks
  • Im Dokument sind die Sicherheitsklassifizierungen der einzelnen Bezeichnungen angegeben
    • „CWRTC“ = nicht geheim (UNCLASSIFIED)
    • „PMGS“ = geheim (S//TK)
    • „CWRTC ist der Tarnname von PMGS“ = geheim (S//TK)
    • „Zusammenhang von CWRTC mit Personal von NRO, CIA und NSA“ = geheim (S//TK)
    Anzeige
  • Diese mehrstufige Klassifizierungsstruktur wird als Modell beschrieben, um öffentliche Bezeichnung und tatsächlichen Auftrag voneinander zu trennen

Consolidated Denver Mission Ground Station (CDMGS)

  • Standort: Buckley Space Force Base in Aurora, Colorado
  • Öffentliche Bezeichnung: „Aerospace Data Facility (ADF)
  • Tatsächliche Bezeichnung: „Consolidated Denver Mission Ground Station (CDMGS)
  • Öffentlich ist ADF-C zwar als Kommando- und Kontrolleinrichtung für Aufklärungssatelliten bekannt,
    • dass ADF der Tarnname von CDMGS ist, wird jedoch in dem Dokument erstmals bestätigt
  • In einer Tabelle im Dokument werden reale Bezeichnungen und Tarnnamen der Einrichtungen parallel aufgeführt, darunter
    • CDMGS–ADF–FSD(Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG und weitere Strukturen

Ergebnisse der Redaktions- und Metadatenanalyse

  • In den PDF-Metadaten sind Zeitpunkte der Bearbeitung und verwendete Werkzeuge verzeichnet
    • Das Pine Gap-Dokument wurde am 31. Juli 2017 mit Nitro Pro 8 in zwei Versionen im Abstand von wenigen Minuten erzeugt
    • In der ersten Version war der Abschnitt zu CDMGS vorhanden, in der zweiten wurde er entfernt
    • Es wurde bestätigt, dass The Intercept und ABC dieselbe Datei gemeinsam nutzten und veröffentlichten
    Anzeige
  • Das Menwith Hill-Dokument zeigt dasselbe Muster, wobei nur der Abschnitt zu inländischen Einrichtungen entfernt wurde
  • Diese Metadaten fungieren als forensische Belege für den Redaktions- und Zensurprozess

Weiterführende Untersuchungen und Werkzeuge

  • In künftigen Analysen soll durch Nachverfolgung der Versionen in den PDF-Metadaten insgesamt
    • technisch überprüft werden, ob gelöschte Agentennamen, bearbeitete Screenshots und Spuren mehrstufiger Änderungen vorhanden sind
  • Für das Extrahieren von PDF-Versionen kann das Tool pdfresurrect verwendet werden
    • Beispiel: pdfresurrect -w filename.pdf
  • Libroot.org stellt die Dateien der Versionen 1 und 2 für jedes Dokument direkt zum Download bereit
    • Sowohl für die Menwith-Hill- als auch für die Pine-Gap-Dokumente sind beide Versionen veröffentlicht

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-12
Hacker-News-Kommentare

  • Diese PDFs scheinen die Funktion „incremental update“ verwendet zu haben.
    Das heißt, bei einer Dokumentänderung werden nur die Änderungen an die Originaldatei angehängt.
    Vereinfacht gesagt kann man die frühere Version eines PDFs wiederherstellen, indem man in einem Texteditor die Zeile „%%EOF“ sucht und alles danach abschneidet.
    Allerdings ist bei linearized PDF das erste %%EOF keine echte Version, sondern eine aus technischen Gründen vorhandene Schein-Revision.

    • Fühlt sich an, als hätte ich eine neue OSINT-Fähigkeit gelernt.
    • Lustig, dass Adobe beim Nachbauen einer MS-Word-Funktion so ein Spionagewerkzeug geschaffen hat.

  • Aus Sicht des Informationsschutzes wirkt es immer attraktiver, Dokumente auszudrucken und dann als Bild-PDF wieder einzuscannen.

    • Allerdings haben alle Farbdrucker unsichtbare gelbe Punktcodes (dotcode).
      Diese Codes können die Seriennummer des Druckers oder sogar die IP-Adresse zum Zeitpunkt der Internetverbindung enthalten.
      Deshalb sollte man Drucker meiden, deren Firmware man nicht kontrollieren kann.
      Als Analysewerkzeuge dazu gibt es YellowDotDecode, dotsecrets und CCC-2007-Vortragsmaterial.
    • Noch besser wäre es, das PDF in JPEG/PNG → BMP umzuwandeln und dann zu teilen oder auszudrucken.
      Oder man rekonstruiert das Dokument mit einem LLM, entfernt Zeichensetzung und Leerzeichen und wandelt das Ergebnis dann wieder in ein Bild um.
      Analoges Abfotografieren des Monitors mit einer Filmkamera ist nützlich, um Fälschungen zu verhindern und Beweise zu bewahren.
      Aber egal welche Methode man nutzt, Spuren bleiben zurück, daher sollte man unbefugtes Weitergeben von Informationen unbedingt vermeiden.
      Am Ende scheint die Zeit gekommen zu sein, in der Spione wieder zum Mikrofilm zurückkehren.
    • Ich würde ein PDF wohl als TIFF oder PNG speichern und dann wieder in ein PDF umwandeln.
      Wenn ich wirklich nervös wäre, würde ich zusätzlich einen Rauschfilter auf das Bild legen, um es unschärfer zu machen.
    • Wäre es nicht einfacher, einfach von jeder Seite Screenshots zu machen?
    • Dann wäre es ziemlich ironisch, die Section-508-Barrierefreiheitsvorgaben in großem Maßstab einzuhalten.

  • Es braucht bessere Tools zur Analyse von PDF-Dokumenten.
    Im Moment geht einiges mit dem QDF-Modus von qpdf, aber eine GUI wäre dringend nötig.

    • Die REMNux-PDF-Analyse-Seite ist einen Blick wert.
      Sie richtet sich zwar an die Analyse bösartiger PDFs, aber viele der Tools sind auch nützlich, um normale Dokumente besser zu verstehen.
    • Das Tool scheint eher fürs Editieren gedacht zu sein; ich frage mich, in welchem Kontext es verwendet wird.
      Seit dem Epstein-PDF-Fall finde ich solche Ideen noch interessanter.

  • Diese Untersuchung ist wirklich aufschlussreich.
    Sie erinnert mich auch daran, dass jemand früher schon einmal die Snowden-Dokumente erneut analysiert und neue Informationen gefunden hatte.
    Schade, dass er nicht alles vollständig veröffentlicht hat.

    • Wirklich neue Informationen kamen zuletzt in der Dissertation von Jacob Appelbaum aus dem Jahr 2022 ans Licht.
      Sie behandelt Material, das zuvor nicht veröffentlicht worden war.
      Dazu gibt es Beiträge im Electrospaces-Blog sowie bei
      Libroot Teil 2 und Teil 3.

  • Ich habe den Journalisten Ryan Gallagher zu den redaktionellen Entscheidungen befragt, aber bisher keine Antwort erhalten.
    Jetzt, wo die Feiertage vorbei sind, hoffe ich, dass sich etwas tut.

    • Ich frage mich, warum Journalisten die Dokumente geschwärzt (redact) haben.
      Lag es am Druck der Regierung, oder war der Inhalt einfach zu sensibel?
      Vielleicht haben nur die Journalisten selbst noch die Originaldateien.

  • Ich habe mich gefragt, wie PDFs so etwas überhaupt ermöglichen.
    Speichern sie die komplette Versionshistorie oder nur Diffs in den Metadaten?

    • Ein PDF ist eine aus mehreren Objekten (objects) aufgebaute Struktur.
      Jedes Objekt hat eine ID, und bei Änderungen wird das bestehende Objekt nicht überschrieben, sondern eine neue Generation hinzugefügt.
      Mit mutool clean -d in.pdf out.pdf kann man zum Beispiel die Komprimierung aufheben und die Struktur ansehen.
      So werden Änderungen angehängt, während das Original erhalten bleibt.
    • Wenn man sich das Paket pdfresurrect am Seitenende anschaut, wird erklärt, dass PDFs Bearbeitungshistorien beibehalten.
      Das Tool kann frühere Versionen extrahieren und eine Zusammenfassung der Änderungen liefern.
    • Als Referenz dazu gibt es A Typical PDF.
    • Letztlich besteht ein PDF aus einer Objekttabelle und einem Referenzbaum.
      Selbst wenn Objekte aus früheren Versionen nicht mehr referenziert werden, können sie in der Datei verbleiben.

  • Ich frage mich, ob statt Drucken und Scannen auch die Methode in XPS drucken und dann wieder in PDF konvertieren wirksam wäre.

  • Erstaunlich, dass so etwas erst jetzt bekannt wird.

    • Vermutlich wusste es schon jemand.
      Nur war dieses Wissen bisher nicht weit verbreitet.
    • Wahrscheinlich kam das Thema durch den Vorfall mit der Epstein-PDF-Datei wieder hoch.

  • Hat hier jemand schon einmal den Befehl % pdfresurrect -w epsteinfiles.pdf ausprobiert?

    • Mich würde interessieren, ob das tatsächlich jemand getestet hat.

  • Das ist fast sicher das Ergebnis der Schwärzungen durch Journalisten.
    Schade, dass es keinen Hinweis „geschwärzt“ oder eine Begründung dafür gibt.
    Technisch gesehen hätte man Metadatenlecks auch verhindern können, wenn man stattdessen Screenshots veröffentlicht hätte.

    • Tatsächlich wurde die Bearbeitung von Journalisten vorgenommen.
      An den Metadaten-Zeitstempeln sieht man, dass die Dokumentversionen drei Wochen vor der Veröffentlichung erstellt wurden.
      Die meisten Dokumente wurden sauber behandelt, aber bei genau diesen zwei Dokumenten wurden durch einen Metadatenfehler wichtige Informationen offengelegt.
      Im nächsten Beitrag soll es um eine technische Vertiefung zu PDF-Forensik und Metadatenanalyse gehen.