Special Guest η κινηματογράφηση του συμβάντος που έφτασε στα χέρια του δημοσιογράφου Βαγγέλη Μητρούσια
Έχουμε λοιπόν κάποιες πολύ ενδιαφέρουσες προσεγγίσεις των Michael Heretakis και Dimitris Yannopoulos στο X. της Έκθεσης του Εγκλήματος της Λογικής για τα διαβόητα VIDEO των Τεμπών καθώς και για το ΓΝΗΣΙΟ (ΜΗΤΡΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ) ΑΡΧΙΚΟ VIDEO- κινηματογράφηση που έφτασε στα χέρια του δημοσιογράφου της Κρατικής ΕΡΤ Βαγγέλη Μητρούσια.
Ξεκινάμε με τις 41 ΕΡΩΤΗΣΕΙΣ-ΑΠΟΡΙΕΣ του Michael Heretakis>
Διαβάζοντας την έκθεση του Εγκληματολογικού για τα βίντεο των Τεμπών μου δημιουργήθηκαν οι παρακάτω απορίες για τις οποίες θα ήθελα να ρωτήσω τους συντάκτες της.
ΕΡΩΤΗΣΗ 1 Πώς τεκμηριώνεται η ακεραιότητα ενός αρχείου που εντοπίζεται σε διαδρομή Dropbox, όταν η χρήση cloud-synced φακέλων απαγορεύεται από το ISO/IEC 27037 ως αξιόπιστη πηγή τεκμηρίου; ISO/IEC 27037, §7.3.2: “Εάν η πηγή είναι ασταθής ή ευμετάβλητη (cloud storage, shared folders κ.λπ.), η συλλογή αποδεικτικών στοιχείων πρέπει να γίνεται μόνο μέσω διαδικασίας forensic acquisition, συνοδευόμενης από hash στο σημείο δημιουργίας.” Απλώς εντοπίστηκε το αρχείο σε διαδρομή Dropbox. Δεν αναφέρεται ούτε imaging, ούτε acquisition, ούτε write-blocker. Οπότε… Περιμένουμε εξήγηση για το πότε ακριβώς έγινε η ταυτοποίηση — πριν ή μετά την αποθήκευση σε shared folder με upload rights από 3 άτομα και έναν εξωτερικό δίσκο.
ΕΡΩΤΗΣΗ 2 Με ποιο εργαλείο υπολογίστηκαν τα hash SHA-1 των εξεταζόμενων αρχείων και σε ποια χρονικά σημεία;
ΕΡΩΤΗΣΗ 3 Γιατί δεν εξετάστηκαν τα P-frames του video, τη στιγμή που η έκθεση αναφέρει αποκλειστικά ανάλυση watermark σε I-frames; Τα P-frames είναι εκεί όπου κρύβεται κάθε πιθανή τροποποίηση (cuts, overlays, temporal edits). Αν δεν εξετάστηκαν, το 80% του περιεχομένου δεν επιβεβαιώθηκε ποτέ. Η επιλογή να αγνοήσεις τα P-frames και να κάνεις τεχνική έκθεση είναι σαν να γράφεις βιβλιοκριτική αφού διάβασες μόνο τον τίτλο, την αφιέρωση, να είδες τις εικόνες, και να διάβασες το οπισθόφυλλο. Κάνω λάθος;
ΕΡΩΤΗΣΗ 4 Έγινε έλεγχος continuity στη χρονική ροή του αρχείου; Υπάρχει κάποιο log που να δείχνει ότι τα frames είναι στη σωστή σειρά χωρίς ασυνέχεια GOP;
ΕΡΩΤΗΣΗ 5 Υπάρχει τεχνικό documentation ή log file από τη συσκευή καταγραφής (DVR), που να δείχνει ότι το αρχείο προέρχεται ρητά από αυτή; Αναφέρεται κάποιο μοντέλο Hikvision — αλλά δεν υπάρχει capture log, ούτε export log.
ΕΡΩΤΗΣΗ 6 Γιατί η έκθεση δεν περιλαμβάνει forensic εργαστηριακή μέθοδο, αλλά περιορίζεται σε “επισκόπηση μέσω εφαρμογής Hikvision iVMS”; Το iVMS δεν είναι forensic εργαλείο. Είναι viewer. Δεν παρέχει logs, ούτε timestamps, ούτε image verification.
ΕΡΩΤΗΣΗ 7 Πώς τεκμηριώνετε ότι το περιεχόμενο είναι πλήρες και αμετάβλητο, όταν ο τελευταίος χρόνος τροποποίησης (“Modified”) αρχείου είναι 2 χρόνια μετά τη λήψη του; Created: 20/11/2024 Modified: 03/02/2025 Event: 28/02/2023
ΕΡΩΤΗΣΗ 8 Αναφέρετε ότι έγινε “ανάλυση μεταδεδομένων” — Ποιο λογισμικό χρησιμοποιήθηκε για αυτή την ανάλυση, και σε ποιο αρχείο εφαρμόστηκε; Δεν αναφέρεται καμία πλατφόρμα, κανένα forensic suite (π.χ. EnCase, FTK, Magnet AXIOM, Autopsy κ.λπ.).
ΕΡΩΤΗΣΗ 9 Αναφέρετε “watermark συμβατό με Hikvision” — έγινε επαλήθευση με εργαλείο της Hikvision ή με οπτική παρατήρηση; Δεν αναφέρεται μέθοδος extraction watermark. Δεν υπάρχει mention χρήσης HikTool, IVMS Watermark Validator ή HEX viewer.
ΕΡΩΤΗΣΗ 10 Θεωρείται ότι αυτό είναι πιστοποιημένο forensic report που να επιβεβαιώνει ότι τα αρχεία είναι αποδεκτά σε ποινικό ή πειθαρχικό πλαίσιο; Δηλαδή signed τεχνική έκθεση, με chain-of-custody, αναφορές σε forensic εργαλεία, logs, timestamps και δυνατότητα ανεξάρτητου επανέλεγχου;
ΕΡΩΤΗΣΗ 11 Τα αρχεια υπάρχουν μόνο ως export από menu iVMS και κάποια σε μεταγενέστερες ημερομηνίες ή υπάρχουν και σε raw data dump μορφή;
ΕΡΩΤΗΣΗ 12 Σε ποιο φυσικό αποθηκευτικό μέσο τηρήθηκαν τα αρχεία μέχρι την έκδοση της έκθεσης; Υπάρχει tamper-proof storage; Αν τα αρχεία πέρασαν από USB, έγινε απευθείας επεξεργασία; Γράφτηκαν κάπου με δυνατότητα overwrite;
ΕΡΩΤΗΣΗ 13 Αν τα αρχεία video αυτά είχαν τροποποιηθεί, ποια ακριβώς διαδικασία θα είχε το αποκαλύψει; Δεν αναφέρεται αν έγινε byte-level comparison, entropy analysis, deep frame hashing, ή pixel diff. Δηλαδή, αν κάποιος έσβηνε ένα αντικείμενο με After Effects, μείωνε το contrast, ή απλώς έκοβε 0.2 δευτερόλεπτα… Πώς θα το βρίσκατε; Με το μάτι;
ΕΡΩΤΗΣΗ 14 Ποια είναι η νομική βάση για να θεωρηθεί “αυθεντικό” ένα αρχείο που έχει δημιουργηθεί, τροποποιηθεί και προσπελαστεί με timestamps ΜΕΤΑ το γεγονός και προέρχεται από ανακτήσιμο cloud φάκελο; Ειδικά όταν δεν υπάρχει ούτε ένορκη μαρτυρία και γραπτή δήλωση, ούτε υπογραφή ειδικού, ούτε audit trail.
ΕΡΩΤΗΣΗ 15 Για ποιο λόγο αρχείο “προσπελάστηκε” στις 05/02/2025, Τροποποιήθηκε κάτι, από ποιον, και γιατί; Accessed: 05/02/2025 ενώ Created: 20/11/2024.
ΕΡΩΤΗΣΗ 16 Υπάρχει τεχνικό documentation του καταγραφικού (DVR) που αποδεικνύει τον αριθμό καμερών, το χρονικό buffer, το μοντέλο, και την έκδοση firmware;
ΕΡΩΤΗΣΗ 17 Υπάρχει κάπου στην έκθεση η ρύθμιση των αρχείων για το χρονικό διάστημα μεταξύ 2 διαδοχικών I-frames; Δηλαδή το μέγιστο χρονικό συνεχόμενο διάστημα μεταξύ 2 διαδοχικών i-frames που κάποιος θα μπορούσε να χρησιμοποιήσει μια από τις παρακάτω μεθόδους για να αλλοιώσει ένα video που θα συνεχίσει όμως να έχει το watermark; ΤΕΧΝΙΚΗ #1: Overlay masking με drawbox ή overlay σε FFmpeg ΤΕΧΝΙΚΗ #2: Θολή Μάσκα (Gaussian blur) ΤΕΧΝΙΚΗ #3: Soft-subtitle masking (.ASS subtitles με σχήμα) ΤΕΧΝΙΚΗ #4: AI-assisted inpainting μόνο σε P-frames ΤΕΧΝΙΚΗ #5: Chained video editing με back-injected I-frame (το πιό ακραίο και πιό επαγγελματικό)
ΕΡΩΤΗΣΗ 18 Έγινε ανάλυση bit-level consistency σε ολόκληρα τα αρχεία .mp4; Ή περιοριστήκατε σε μερική αναπαραγωγή video; Δεν αναφέρεται τίποτα για raw header validation, entropy map, ή sector-level review.
ΕΡΩΤΗΣΗ 19 Έγινε αναφορά σε event logs από το DVR; Υπάρχει system log που να δείχνει πότε καταγράφηκε, εξήχθη ή διεγράφη το κάθε αρχείο; Δεν υπάρχει ούτε καταγραφή export, ούτε trace login, ούτε trace χρήστη.
ΕΡΩΤΗΣΗ 20 Αν ένα αρχείο περιείχε εσωτερική επεξεργασία — π.χ. masking, blur, overlay ή cropping — ποια διαδικασία της έκθεσης θα το εντόπιζε; Δεν περιγράφεται pixel-map analysis, optical frame diff, ELA (error level analysis), ούτε adaptive bitrate patterning.
ΕΡΩΤΗΣΗ 21 Ποια ήταν η ακριβής διάρκεια των αρχείων; Υπάρχει log σύγκρισης με την αναμενόμενη χρονική διάρκεια του περιστατικού;
ΕΡΩΤΗΣΗ 22 Γιατί η ανάλυση περιορίστηκε σε οπτική αναπαραγωγή, χωρίς ανεξάρτητο extraction κάθε frame; Ούτε JPEG output ανά frame, ούτε hash ανά καρέ, ούτε export σε frame stack.
ΕΡΩΤΗΣΗ 23 Υπάρχει επίσημη γραπτή δήλωση της interstar με υπογραφή υπευθύνου η οποία επιβεβαιώνει ότι πρόκειται για αυτούσιο υλικό εξαχθέν από το καταγραφικό σύστημα;
ΕΡΩΤΗΣΗ 24 Υπάρχει καταγεγραμμένο αρχείο audit trail από το file system που να δείχνει το πλήρες ιστορικό σε timeline πρόσβασης του κάθε αρχείου; Δηλαδή ποιος το έκανε export και πότε , ποιος το άνοιξε, ποιος το μετέφερε, ποιος το αποθήκευσε, και πού το έκανε export από την αρχή που έγινε η εξαγωγή μέχρι τη στιγμή που παραδόθηκε;
ΕΡΩΤΗΣΗ 25 Ποιος έχει την τελική ευθύνη της εγκυρότητας αυτής της έκθεσης; Ποιος επιβεβαιώνει ότι η ανάλυση πληροί επιστημονικά πρότυπα και ποιά;
ΕΡΩΤΗΣΗ 26 Για ποιο λόγο επιλέχθηκε ο αλγόριθμος SHA-1 για την “πιστοποίηση” των αρχείων, όταν είναι γνωστό ότι έχει χαρακτηριστεί κρυπτογραφικά ευάλωτος ήδη από το 2017; Το SHA-1 έχει αποδειχθεί συγκρουόμενο —collision δηλαδή δύο διαφορετικά αρχεία μπορούν να παράγουν το ίδιο hash. Ακόμα και η Google έκανε επίδειξη SHAttered Attack για να το αποδείξει. Και τι λένε τα πρότυπα; Το NIST (National Institute of Standards and Technology) απέσυρε επισήμως το SHA-1 από αποδεκτές μεθόδους το 2020. Ο αλγόριθμος δεν είναι αποδεκτός για ψηφιακή πιστοποίηση, νομική τεκμηρίωση, evidence integrity. Οπότε: γιατί χρησιμοποιήσατε μέθοδο που, πρακτικά, ένας δυνατός υπολογιστής (ή και ένας “ψαγμένος” φοιτητής) μπορεί να “σπάσει” για πλάκα;
ΕΡΩΤΗΣΗ 27 Για ποιο λόγο το hash που εμφανίζεται στην έκθεση είναι SHA-1, χωρίς ούτε ένα ισχυρότερο (SHA-256, SHA-512, BLAKE3, κ.λπ.); Δεν υπάρχει αναφορά δεύτερου αλγορίθμου πιό ισχυρού.
ΕΡΩΤΗΣΗ 28 Γιατί γίνεται παράλληλη αναφορά και σε MD5, τη στιγμή που έχει αποσυρθεί ως μη αξιόπιστος αλγόριθμος από το 2012; Είναι εδώ και χρόνια θεωρητικά και πρακτικά ανασφαλής. Το RFC 6151 (IETF, 2011) αναφέρει ρητά: “Any application relying on MD5 for integrity is at serious risk.” Άρα… γιατί τον αναφέρετε δίπλα στον SHA-1 σαν να δίνει αξιοπιστία; Το ένα είναι κούφιο. Το άλλο είναι τρύπιο.
ΕΡΩΤΗΣΗ 29 Αφού γνωρίζετε ότι και τα δύο hash standards (SHA-1 & MD5) έχουν καταρρεύσει νομικά και τεχνικά, γιατί δεν αναφέρατε ρητά κάποιο disclaimer περί περιορισμένης εγκυρότητας; Στις σοβαρές εκθέσεις, δίπλα από MD5/SHA1 αναγράφεται: “This hash is used for identification only. It does not guarantee non-alteration due to cryptographic vulnerabilities.” Εδώ ούτε αυτό.
ΕΡΩΤΗΣΗ 30 Σε περίπτωση σύγκρουσης ή απόρριψης της εγκυρότητας του hash από δικαστική αρχή, έχετε plan B; Ποια είναι η εναλλακτική διαδικασία επαλήθευσης; Αν αύριο τα αρχεία απορριφθούν ως “μη πιστοποιημένα” ή αλλοιωμένα, έχετε back-up; Clone; Imaging; snapshot της μνήμης; Ο,τιδήποτε;
ΕΡΩΤΗΣΗ 31 Αναφέρθηκε ποτέ στην έκθεση ότι το SHA-1 και το MD5 είναι deprecated; Αν όχι, θεωρείτε ότι η μη ενημέρωση των δικαστικών αρχών αποτελεί υπεύθυνη στάση; Δεν υπάρχει καμία διευκρίνιση. Ούτε αναφορά στο επίπεδο κινδύνου. Ούτε σε νέες τεχνολογίες.
ΕΡΩΤΗΣΗ 32 Πώς ορίζετε τον όρο “ταυτοποίηση αρχείου” όταν: Δεν υπάρχει αυθεντικοποίηση προέλευσης (source trace), Το αρχείο δημιουργήθηκε μήνες μετά το συμβάν, Η “ταυτοποίηση” έχει δύο έννοιες: Ταυτοποίηση περιεχομένου: Το τι είναι. Ταυτοποίηση προέλευσης: Το από πού ήρθε.
ΕΡΩΤΗΣΗ 33 Το αρχείο δημιουργήθηκε μήνες μετά το συμβάν, παραδόθηκε μέσω Dropbox, εξετάστηκε σε iVMS player, είχε watermark μόνο σε I-frames. Μπορείτε να το περιγράψετε ως “forensically sound”; Με βάση ποιο standard; ISO 27041 / 27037 / 27043 λένε: “Η εγκυρότητα αποδεικτικού στοιχείου βασίζεται στην καταγραφή της αλυσίδας φύλαξης, την επαναληψιμότητα της διαδικασίας και την προστασία της ακεραιότητας από τη στιγμή της απόκτησης.” Αυτό που βλέπουμε εδώ θεωρείται “forensically sound”;
ΕΡΩΤΗΣΗ 34 Γιατί δεν εφαρμόστηκε η αρχή της “ελάχιστης επέμβασης” στην ανάλυση, με χρήση read-only περιβάλλοντος και write-blockers, όπως απαιτούν τα πρότυπα ISO για κάθε πρώτο forensic contact με αρχείο;
ΕΡΩΤΗΣΗ 35 Γιατί δεν έγινε cloning του αρχείου ή checksum snapshot ακριβώς πριν την “ανάλυση”, ώστε να αποδειχθεί πως δεν άλλαξε κατά τη διάρκεια; Δεν υπάρχει pre-analysis hash. Ούτε archive hash. Ούτε post-analysis hash.
ΕΡΩΤΗΣΗ 36 Αναφέρεται “ανάλυση εικόνας” — Ποια ανάλυση; Έγινε RGB histogram analysis; Frame diff; Shadow-depth validation; Pixel interpolation check; Compression artifact trace; Χρώματα ανά κανάλι;
ΕΡΩΤΗΣΗ 37 Η παρουσία του watermark σε I-frames αποδεικνύει ότι τα ενδιάμεσα frames δεν έχουν αλλοιωθεί; Πώς τεκμηριώνεται αυτό; Η απάντηση είναι: ΔΕΝ αποδεικνύει.
ΕΡΩΤΗΣΗ 38 Πώς προκύπτει η αξιοπιστία του κάθε αρχείου, όταν: Δεν τεκμηριώνεται η πρώτη στιγμή ύπαρξής του, Δεν υπάρχουν logs από τη συσκευή, Και δεν υπάρχει ούτε καν username συστήματος που το πρωτο-δημιούργησε;
ΕΡΩΤΗΣΗ 39 Η έκθεση λέει “δεν διαπιστώθηκε αλλοίωση” — Πώς διαπιστώσατε την απουσία αλλοίωσης; Με ποια διαδικασία και με ποιά forensic εργαλεία και πως; Ή απλώς δεν είδατε τίποτα παράξενο;
ΕΡΩΤΗΣΗ 40 Ποιος φορέας ανέπτυξε την εν λόγω εφαρμογή που “παρέχει δυνατότητες ταυτόσημες με το iVMS”; Έχει περάσει από software validation; Έχει forensic πιστοποίηση; Είναι καταγεγραμμένο ως λογισμικό εγκεκριμένο από Hikvision; Υπάρχει κώδικας; Manual; Αρχείο ενεργειών;
ΕΡΩΤΗΣΗ 41 Ποια είναι η πιστοποίηση εγκυρότητας αυτού του εργαλείου, ώστε να χρησιμοποιείται σε ανάλυση αποδεικτικού υλικού; Χρησιμοποιείται για εξέταση πιθανών εγκλημάτων. Δεν υπάρχει αναφορά σε πιστοποιητικό προέλευσης, standard validation, ούτε ISO testing. Εφαρμογή που δεν είναι forensically validated → τα αποτελέσματά της δεν είναι forensically valid.
Ο Dimitris Yannopoulos απαντώντας στον Michael Heretakis επίσης στο X. είχε (όπως πάντα) βασανιστικά και ενδιάφεροντα σχόλια>
Η έκθεση του εγκληματολογικού είναι προσχηματική και σκόπιμα ερασιτεχνική όπως με εξαιρετική ακρίβεια και πληρότητα αναλύετε στα ερωτήματα σας και στην αξιολόγηση της τεχνητής νοημοσύνης που συμφωνεί με αυτά.
Η έκθεση του εγκληματολογικού είναι προσχηματική και σκόπιμα ερασιτεχνική όπως με εξαιρετική ακρίβεια και πληρότητα αναλύετε στα ερωτήματα σας και στην αξιολόγηση της τεχνητής νοημοσύνης που συμφωνεί με αυτά.
Κατά συνέπεια μπορεί κανείς να αρκεστεί στο ερώτημα του “chain-of-custody” για να συμπεράνει ότι τα συγκεκριμένα αρχεία βιντεο δεν έχουν την παραμικρή σχέση με οποιοδήποτε σύστημα σταθερών καμερών ασφαλειαs CCTV.
Η λήψη έγινε από κινητές κάμερες στρατηγικά τοποθετημένες έξω από εισοδουs και εξοδουs σηράγγων με σκοπό τα βίντεο να εμφανιστούν δημόσια τη στιγμή που θα επέλεγαν οι δημιουργοί τουs σαν κομμάτι μιαs ενιαίαs επιχείρησης ψυχολογικού πολέμου που διαρκεί δύο χρόνια.
Αυτό γιατί η συγκεκριμένη επιχείρηση ξεκίνησε με τον ίδιο ακριβώς τρόπο τη νύχτα της 28-2-23 όταν δύο τέτοιες κάμερες είχαν τοποθετηθεί στις οροφές των γραφείων της τεχνικής εταιρείας Μαλιακός με σκοπό να αποθανατίσουν το Έγκλημα των Τεμπών από απόσταση 1320 μέτρων.
Τότε όμως οι επαγγελματίες βιντεολήπτες δεν χρειάστηκε δημοσιοποιήσουν το αριστούργημα τους μέσω χάκιγκ και εισαγωγής εμβόλιμων αρχείων στο σέρβερ κάποιας εταιρίας σεκιούριτι.
Παρέδωσαν το επόμενο πρωί απευθείας το αρχείο του μονόλεπτου βίντεο κλειδωμένο στον τεχνικό διευθυντή της ΕΡΤ Λάρισας κύριο Βαγγέλη Μητρούσια για παγκόσμια πρεμιέρα στο βραδινό δελτίο ειδήσεων της ΕΡΤ.
Κανείς αρμόδιος όμως δεν τόλμησε να διερωτηθεί για την προέλευση και «γνησιότητα» εκείνου του βίντεο αφού αυτό θα αποδείκνυε αδιαμφισβήτητα πως το απαθανατισμένο συμβάν ήταν προμελετημένο.
Aκολουθούν ΕΙΚΟΝΕΣ των εγκαταστάσεων κοντέινερς της εταιρίας στις οποίες μπορείτε να δείτε τις κάμερες οι οποίες κινηματογράφησαν το όσα συνέβησαν εκείνο το βράδι της 28ης Φεβρουαρίου 2023.
Το video παρεδώθη στο δημοσιογράφο της ΕΡΤ Βαγγέλη Μητρούσια.
Οι ΕΙΚΟΝΕΣ προέρχονται από την επίσης πολύ ενδιαφέρουσα ανάλυση του Κώστα Σαμαρά στον ιστότοπο trikalaonline για το δυστοπικό συμβάν των Τεμπών.
Plus οι ακόλουθες>
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου