无处可藏的数字足迹 — 亦正亦邪元数据 (上篇)  要品尝河豚的美味是需要点方法的

• 同一种东西，可以用来捍卫正义，也可以被用来迫害义士。于是，了解它的工作原理以及如何将其用作工具，非常重要。同样，了解如何保护自己以及与我们从事相关的工作，也是至关重要的。目的是要让它为我们所用

元数据可以理解为传统图书编目的现代版本。就像那种堆放在图书馆抽屉中的小卡片，提供书籍的标题、出版日期、作者和图书馆书架上的位置等等信息。类似地，在数字世界里，数字图像可以包含关于拍摄图像的相机的信息、图像的日期和时间、以及通常拍摄图像的地理坐标。这种与多媒体相关的元数据也称为 EXIF 数据，即 可交换图像文件格式。

每个信息源都有元数据，有时是很明确的，除非有意的擦除，否则 PDF 文件、图像、文字文档都会有一些与之相关的元数据。

比如数码相机中有一个小芯片，它会跟踪该设备的所有元数据。所有这些称为电荷耦合器件（CCD）芯片的东西，基本上都是光敏电路，具有微小的缺陷，这是单个 CCD 芯片所独有的。这种特性意味着用该设备拍摄的所有图像中包含的数据、人们通常会忽略并且人眼不可见的数据，成为了识别用该特定 CCD 芯片拍摄的所有图像的数字“指纹”。这突出了几乎无处不在的元数据以及使用它的可能性。

如今所有人都在棱镜文件曝光后认识到了元数据的概念，并开始警惕它。不过另一方面，对 OSINT 调查人员来说，元数据也可以是很好的朋友，它有助于搜索，有助于索引和理解信息的上下文。

元数据可用于分析某些行为，例如政治和社会性质。以简单的方式为例，就像打个电话那样。拨打电话似乎并不重要；分析100万个电话或100万张照片很困难，分析基于语音识别或人脸检测，这两个领域仍处于技术发展阶段。但是如果分析其中包含的元数据则非常容易，因为元数据对于每个电话都有一个简单的标准化格式：存在日期、时间戳、呼叫者和被呼叫者的位置和号码。该格式允许我们更轻松地在一个大型数据库中分析大量元数据。

与政府和企业一样，活动家、专家、调查记者和人权维护者都越来越关注元数据。事实证明，使用元数据有助于打击腐败等各种情况，如果被政府使用，它将作为打击持不同政见者和人权维护者的武器。

了解元数据的工作原理以及如何将其用作工具，非常重要。同样，了解如何保护自己以及与我们生成的元数据相关的工作，也是至关重要的。

无论是暴露、剥离、添加和验证、独立或与其他来源（传统或非传统）发现的其他数据交叉引用，元数据都是当今调查性新闻和人权倡导的关键，特别是在文档、图像和视频方面，作为证据的收集。了解元数据及其使用方法对于自我保护和保护自己的工作来说，都至关重要。

揭露性信息

元数据是揭示和提供证据的有力工具。

2009 年，数据科学家 Michael Kreil 创建了 Tell-all Telephone，这个项目生成了德国绿党政治家 Malte Spitz 连续六个月的电话数据的可视化。Michael Kreil 告诉 Exposing the Invisible ，他收到了“一张包含 36,000 行的 Excel 表格，而且根本没有任何工具可以查看。你可以只使用地理定位数据制作一个简单的地图，但你不会看到时间方面的内容，也不会看到动作。所以，我写了一个小原型，只是一个带有移动点的简单地图。这实际上是几周后上线申请的基础。“

提供的数据揭示了 Spitz 的行为，当他走在街上或当他在火车上时，以及他在私人时间里的所在位置。Spitz 的电信公司只通过了一部分信息，比如他打电话或发短信使用的电话号码，或者联系他的人的号码。这样就不仅可以轻松识别 Spitz 的社会和政治圈子，而且可以揭示关于他的更多内容：揭示与他有联系的人的个人身份信息。Kreil 和 Spitz 没有被授予访问这些信息的权限，但电信公司确实可以访问它，这意味着政府当局也可以访问所有这些信息。

Kreil 还利用公开信息，如 Spitz 的在线行为，在社交网站上公布的约会、以及他的推文来证实电信公司提供的部分数据。通过结合所有这些数据，Kreil 就完全可以进一步查明 Spitz 的行踪，最终提供了对 Spitz 私人生活和政治活动的全面分析。事实上这就是 OSINT 的思路。

Kreil 希望展示的是：元数据如何用于不仅跟踪个人的一举一动，而且还可以暴露一个人的整个社会和政治网络。

不仅仅是曝光的显而易见

伊利诺伊州共和党众议员亚伦·肖克（Aaron Schock）被称为“最上镜”的国会议员，部分原因在于他的 Instagram 帐号，照片显示他在异国情调的地方以古怪和滑稽的姿势出现。他张贴了自己跳进雪堤、沙滩，还有各种私人飞机的照片。

他的照片所引起的公众注意引发了一系列的问题。美联社（AP）开始调查从 Schock 发布的照片​​中提取的地理定位数据，并在 Instagram 帐户中标记了他的位置，然后将其与他为竞选费用中安排的旅行费用进行了比较。

美联社分析了他的旅行费用、航班记录、以及从他的 Instagram 账户中提取的数据，发现，纳税人的钱和竞选资金已被用于私人航班。

这不仅是 Schock 自己的 Instagram 所揭示的。一个前 Schock 实习生的帐户也显示了凯蒂佩里音乐会的图像，文字是“当你的老板邀请你时，不能拒绝”，以及支付给售票服务 StubHub.cm 的1,928美元发票，被列为了“筹款活动”。美联社于2月24日公布了调查结果。以下是我们曾经演示过的同类调查案例：

在大多数情况下，有必要使用各种软件、工具和资源来理解提取的元数据，并提取有意义的信息。使用元数据的这些创造性调查技术的一个很好的例子就是我们曾经演示过的（详见《如何用开源调查追踪腐败》）：普京的发言人 Dmitry Peskov 的案例。Peskov 被问及他作为国家官员的收入，当时他被发现戴着18克拉的 Richard mille 手表，价值近 40 万英镑。这块手表戴在他的手腕上，可以在他的婚礼照片上看到。在随后的争议中，Peskov 表示这款手表是他新婚妻子送的礼物，但是，后来这个谎言被他女儿的 Instagram 帐户揭穿了，他的女儿在婚礼前几个月张贴的照片显示了 Peskov 戴着同样的手表。

上面的链接是我们演示的关于“马耳他猎鹰”号豪华游艇的开源调查，进一步揭露了 Peskov 的腐败。希望能被重新阅读，因为它能提供一个很好的思路关于开源调查在线追踪的技巧。

关于调查，很多注意力都集中在可以从图像或通信中提取的元数据上。但是，文本文件对于调查同样有用，甚至能与图像构成相同的作用。

元数据非常需要被保护

元数据是一把双刃剑：它对于调查社会公正和腐败案件非常有用，但它也被用于 troll 和 doxx 等常见攻击手段，人权维护者、女性、记者和 LGBTIQ 个人在社交媒体上的发声都是这类攻击的主要目标。

智能手机在全球抗议活动和抗议动员中的使用量已经明显增加，也因此扩大了在特定时间内共享一个位置[或下落]的风险，并且可以通过使用所发布图像的移动电话跟踪来确定一个人的身份。图像中可用的地理位置数据可被用于跟踪任何人和任何东西，包括濒危物种。在南非保护区，管理人员建议游客不要透露被发现的动物的下落，并关闭手机和社交媒体平台上的地理标记功能，因为偷猎者和猎人正在使用在线发布的这些信息来查找动物。

元数据：Vice 和逃亡者

这是一个著名案例。2012 年，百万富翁和有争议的计算机程序员和开发人员 McAfee Virus Protection 的创始人 John McAfee 就被基于在媒体公司 Vice 发布的照片上的元数据而被捕。当时 Vice 的记者获得了 McAfee 的独家访问权。

Vice 不仅发布了照片，还通过报告他们与 McAfee 共度的时光来吹嘘他们的独家新闻。当图像被发布时，其元数据显示了照片被拍摄的位置以及 Vice 发布信息的时间，以及他们看到 McAfee 的时间，由此，确定 McAfee 的行踪非常简单。虽然图像最有可能是从将 McAfee 带到伯利兹的人员发送到 Vice 以便稍后上传到他们网站上的，但它仍然保留了 McAfee 所在地的元数据。 这里是关于此次事件的官方声明。

有人可能会认为，在高风险地区和行业经营并参与高风险活动的人会更加谨慎地演示自己的行踪，但米歇尔奥巴马或美国士兵在伊拉克的情况并非如此。

2007 年，伊拉克反叛者使用美国士兵在线共享图像暴露出的地理标记摧毁了几架美国 AH-64 阿帕奇直升机。罪魁祸首是米歇尔·奥巴马（Michelle Obama）的 Instagram 照片，照片显示了拍摄地点元数据，以及管理该帐户的人的具体位置。真的是无比的愚蠢。

元数据可以并且已经被用于限制言论自由和恐吓任何人。

例如，它被用于 doxx — 一种针对个人的政治观点或个人主张的攻击。它已被用于在线针对女性活动家、女性游戏开发者、人权活动家和记者等。

正确管理元数据对于具有高知名度的个人来说，尤其是使用社交媒体、以及参与政治活动、或以反对主流和现状的方式过上自己想要的生活的人来说，至关重要。手册“ Zen and the Technology of Tech for Work for You ”讨论了元数据的这一特定方面，其中包含了各种关于该主题的建议和资源。推荐阅读。

OpenDataCity 的一个项目还强调了元数据如何被用于将人们置于危险中，通常是在不知不觉中被置于危险之境地的。

“多年后，Balthasar Glättli（瑞士政治家）也希望对他的数据进行分析。最后，他不只是给我他的电话数据，还给了我瑞士数据保留所收集的所有其他信息。此外，Balthasar 还有一些问题，因为他也是国防委员会的委员，他的元数据暴露了他访问过的秘密藏身之处的位置。这是绝密信息，但他的电话提供商收集了 Balthasar 的位置，并通过发布这些数据，一些记者找到了藏身处并揭露了它。删除这些数据为时已晚。“

元数据也成为了知识产权讨论的焦点，特别是对艺术家而言。

一些网站，例如 Facebook，剥离元数据以最小化文件的大小（元数据占用文件空间）这是支持保护作品知识产权的人的主要争论点。例如，许多摄影师需要将元数据保存在他们的照片中，特别是在这个大规模在线共享的时代，在此，元数据能保证艺术家的信用。另一方面，Flickr 保留并共享元数据，虽然用户可以停用此功能，但许多人完全不知道它的存在。

工具

可以使用各种工具从文件和图像中删除元数据，并且总是可以选择通过调整设置来避免元数据的暴露。但是为了最小化风险，需要建议人们总是仔细检查被共享的元数据（使用 Expose 部分中推荐的工具），然后去除那里被留下的任何数据。

相关工具：Phil Harvey 的 ExifTool / Metanull / TrashEXIF /以及其他包含元数据编辑功能的软件。

校验

元数据还可用于通过“证明”特定事件发生的真正时间和地点来验证信息和证据。我们介绍过这些简单的方法《虚假消息鉴别工具箱》。

近年来，随着社交媒体视频和图像的病毒式传播，验证已被证明是政治参与的关键，不仅仅是作为证明某些事情发生的真正时间和地点的工具，而且还反驳了虚假视频的传播和那些诋毁社会正义运动的图像。大赦国际的 Christoph Koettl 曾经解释过元数据如何帮助核实尼日利亚军队参与的法外杀戮行为。

CameraV 的前技术主管 Harlo Holmes 以及 CameraV 的工具评论中更详细地探讨了这一点，CameraV 是一款移动应用程序，可让用户验证照片和视频，以便能够用作在法庭上的其他证据的一部分。详见下面文章中的介绍：

• 延伸阅读：《如何安全地留住证据：给真相的记录者一些技术技巧建议》
• 更多工具：《公民取证技巧：如何留住真相？》

CameraV 作为 InformaCam 的移动应用程序由卫报项目和 WITNESS 创建。这是一种向照片或视频添加大量额外元数据以验证其真实性的方法。这是一个能做两件事的软件。首先，它描述了图像和视频的人物、内容、时间、地点、原因和方式；其次，它建立了一个可以在法庭上呈交的证据链。该应用程序在拍摄图像时捕获大量元数据，不仅包括地理位置信息（一直是标准信息），还包括 WiFi 网络，手机信号塔 ID 和来自该区域其他人的蓝牙信号等确认数据。它还有其他信息，例如测光表值，可用于证实一件事发生的具体时间。

然后，所有这些数据都由一个密钥加密签名，该密钥只​​有您的设备能够生成，加密到您选择的可信任目的地，并通过代理发送到由诸如 Global Leaks 等多个地方托管的安全存储库，甚至 Google 云端硬盘。一旦接收到，图像中包含的数据可以通过多种指纹识别技术进行验证，因此提交者（如果他们想要保持其匿名的话）仍然是接收者唯一可识别的。一旦被接收者摄取，所有这些信息就可以是可索引的和可搜索的。“

这就需要所说关于伪造和插入元数据的问题。以 CameraV 为例，Harlo Holmes 谈到了这个问题， 并提出了一个关于所用设备可信度的重要观点：

“从技术上讲，这些东西很难手工锻造。如果有人拿走了元数据包并更改了几个参数或数据点 — 他们最终发送给我们就是欺骗我们不会用 PGP 验证，并且 App 的每个实例都有自己的签名密钥。也就是说，我确实意识到设备必需值得信赖。这是 CameraV 之外的一个问题：任何使用元数据并将其嵌入到照片或视频中的应用程序都必须是值得信赖的。“

Holmes 通过解释这个问题阐述了这种信任的重要性。

“CameraV 中的验证与 PGP 的验证方式相同。CameraV 可以轻松地从 App 导出您的公钥。如果你把这个钥匙交给某人，当他们和你在一起时通过比较指纹，那么你会更信任那个人。如果组织希望在数据收集活动中认真有效地使用 App，那么某种基于人的适职是必要的。“

用于验证目的的另一个有用工具是 eyeWitness，一种允许用户通过其移动相机 App 捕获照片或视频的工具“，其中嵌入的元数据显示图像的拍摄地点和时间，并验证图像未被更改。图像和附带的验证数据被加密并存储在 App 内的安全库中。然后，用户将此信息直接从 App 提交到 eyeWitness 组织维护的存储数据库，从而创建可信赖的监管链。eyeWitness 存储数据库用作虚拟证据锁定器，保护原始的加密镜头以备将来的法律诉讼。“

除此之外，eyeWitness 团队还包括一个专家法律团队，他们将分析收到的图像并确定适当的权限，包括国际、地区或国家法院，以便进一步调查。在某些情况下，eyeWitness 会引起媒体或其他倡导组织的注意，以促使采取国际行动。

工具

可以使用多种工具和变通方法来验证文件和图像中的元数据; 专家和爱好者不断提出验证信息的新方法。同样重要的是要注意，验证并不总是仅仅通过使用应用程序来完成，但在某些情况下可能需要与其他来源交叉引用数据并采用创造性的调查方法。下篇中具体介绍……

其他相关工具：CameraV / eyeWitness ◾️

— — 未完待续 — —