Snowden belgelerindeki PDF metadata sürüm analiziyle ortaya çıkan yeni bilgiler

 (libroot.org)
1 puan yazan GN⁺ 2026-01-12 | 1 yorum | WhatsApp'ta paylaş
  • Kamuya açıklanan Snowden belgelerindeki PDF metadata sürüm geçmişi analiz edildiğinde, ABD içindeki istihbarat kurumu yer istasyonlarına ilişkin bölümlerin kasıtlı olarak silindiği doğrulandı
  • Silinen içerikte Potomac Mission Ground Station (PMGS) ve Consolidated Denver Mission Ground Station (CDMGS) için operasyonel adlar ile örtü adlarının yapısı yer alıyordu
  • Her iki belgede de bu bilgiler ilk sürümlerde bulunuyordu; ancak nihai yayımlanan sürümlerde tamamen çıkarılmış ve izleri yalnızca PDF içindeki sürüm geçmişinde kalmış
  • Buna karşılık Birleşik Krallık’taki Menwith Hill ve Avustralya’daki Pine Gap gibi yurt dışı tesislere ilişkin bilgiler korunmuş; bu da yalnızca yurt içi tesislerin sistematik biçimde redakte edildiğini gösteren bir örüntü ortaya koyuyor
  • Bu bulgu, Snowden belgelerinin yayımlanma sürecindeki redaksiyon ve sansür prosedürlerinin teknik olarak izlenebileceğini gösteren önemli bir örnek niteliğinde

ABD içindeki istihbarat tesisleriyle ilgili silinen içerik

  • İki belgenin metadata analizi sonucunda, yurt içi istihbarat tesisleri bölümünün tamamen silindiği doğrulandı
    • 2016’da yayımlanan Menwith satellite classification guide belgesinde PMGS (Washington DC) ile ilgili bölüm çıkarılmış
    • 2017’de yayımlanan NRO SIGINT Guide for Pine Gap belgesinde CDMGS (Denver bölgesi) ile ilgili bölüm çıkarılmış
  • Silinen kısımlarda tesislerin resmî adı, örtü adı, konumu ve ziyaretçi bilgileri yer alıyordu
  • Her iki tesis de Ulusal Keşif Ofisi (NRO) için Mission Ground Station olarak belirtilmişti ve
    • PMGS’nin örtü adı “Classic Wizard Reporting and Testing Center (CWRTC)
    • CDMGS’nin örtü adı “Aerospace Data Facility (ADF)” olarak kaydedilmişti

Potomac Mission Ground Station (PMGS)

  • Konum: Washington DC’deki Naval Research Laboratory içindeki 259 ve 260 numaralı binalar
  • Kamuya açık ad: “Classic Wizard Reporting and Testing Center (CWRTC)
  • Gerçek işlev: NRO uydu istihbarat ağının yer istasyonu
  • Belgede her adın güvenlik sınıfı belirtiliyor
    • “CWRTC” = gizli değil (UNCLASSIFIED)
    • “PMGS” = gizli (S//TK)
    • “CWRTC’nin PMGS için örtü ad olduğu” = gizli (S//TK)
    • “CWRTC ile NRO·CIA·NSA personeli arasındaki bağlantı” = gizli (S//TK)
  • Bu çok katmanlı sınıflandırma yapısı, kamuya açık ad ile gerçek görevi birbirinden ayırarak işletilen bir yapı olarak açıklanıyor

Consolidated Denver Mission Ground Station (CDMGS)

  • Konum: Colorado, Aurora’daki Buckley Uzay Kuvvetleri Üssü
  • Kamuya açık ad: “Aerospace Data Facility (ADF)
  • Gerçek ad: “Consolidated Denver Mission Ground Station (CDMGS)
  • Kamuya açık olarak ADF-C’nin keşif uydusu komuta ve kontrol tesisi olduğu biliniyor; ancak
    • “ADF’nin CDMGS için örtü ad olduğu” bilgisi belgede ilk kez doğrulanıyor
  • Belgedeki tabloda her tesisin gerçek adı ile örtü adı yan yana gösteriliyor ve yapı şu şekilde düzenleniyor:
    • CDMGS–ADF–FSD (Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG

Redaksiyon ve metadata analizi sonuçları

  • PDF metadata içinde düzenleme zamanı ve kullanılan araçlar kaydediliyor
    • Pine Gap belgesinde 31 Temmuz 2017’de Nitro Pro 8 ile birkaç dakika arayla iki sürüm oluşturulmuş
    • İlk sürümde CDMGS bölümü bulunurken ikinci sürümde silinmiş
    • The Intercept ile ABC’nin aynı dosyayı paylaşarak yayımladığı doğrulanmış
  • Menwith Hill belgesi de aynı örüntüyü gösteriyor; yalnızca yurt içi tesisler bölümü çıkarılmış
  • Bu metadata, redaksiyon ve sansür sürecine dair adli bilişim kanıtı işlevi görüyor

Sonraki araştırmalar ve araçlar

  • Gelecek analizlerde PDF metadata genelindeki sürüm takibi üzerinden
    • silinen ajan adları, düzenlenmiş ekran görüntüleri ve çok aşamalı değişiklik izlerinin teknik olarak doğrulanması planlanıyor
  • PDF sürümlerini çıkarmak için pdfresurrect aracı kullanılabiliyor
    • Örnek: pdfresurrect -w filename.pdf
  • Libroot.org, her belgenin 1. ve 2. sürüm dosyalarını doğrudan indirilebilir şekilde sunuyor
    • Menwith Hill ve Pine Gap belgelerinin iki sürümü de yayımlanmış

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-12
Hacker News görüşleri

  • Bu PDF'lerin "incremental update" özelliğini kullandığı anlaşılıyor
    Yani belge düzenlendiğinde, orijinal dosyanın üzerine yalnızca değişiklikler ekleniyor
    Kısacası, bir metin editöründe %%EOF satırını bulup sonrasını keserseniz PDF'nin önceki sürümünü geri yükleyebilirsiniz
    Ancak linearized PDF'lerde ilk %%EOF, gerçek sürüm değil teknik nedenlerle bulunan sahte bir revizyondur

    • Yeni bir OSINT becerisi kazanmış gibi hissediyorum
    • Adobe'nin MS Word özelliklerini yakalamaya çalışırken böyle bir casusluk aracı yaratmış olması komik

  • Bilgi koruma açısından bakınca, belgeyi yazdırıp sonra tarayarak görüntü tabanlı bir PDF'e dönüştürme yöntemi giderek daha iyi görünüyor

    • Ama tüm renkli yazıcılarda görünmez sarı nokta kodu (dotcode) bulunur
      Bu kod, yazıcının seri numarasını hatta internete bağlıysa IP adresini bile içerebilir
      Bu yüzden firmware'ini kontrol edemediğiniz yazıcıları kullanmaktan kaçınmalısınız
      İlgili analiz araçları: YellowDotDecode, dotsecrets, CCC 2007 sunumu
    • Daha iyi bir yöntem, PDF'yi JPEG/PNG → BMP'ye dönüştürdükten sonra paylaşmak veya yazdırmak olabilir
      Ya da bir LLM ile belgeyi yeniden kurup noktalama ve boşlukları kaldırdıktan sonra sonucu tekrar görsele dönüştürmek de mümkün
      Filmli kamerayla ekranı çekmek gibi analog çekim yöntemleri, sahteciliği önleme ve kanıtı koruma açısından faydalıdır
      Ama hangi yöntem seçilirse seçilsin iz bırakılır; bu yüzden yetkisiz bilgi paylaşımından kesinlikle kaçınılmalıdır
      Sonuçta casusların yeniden mikrofilme döndüğü bir döneme girmiş gibiyiz
    • Ben olsam PDF'yi TIFF ya da PNG olarak kaydedip sonra yeniden PDF yapardım
      Gerçekten tedirginseniz görsele bir noise filtresi uygulayıp biraz bulanıklaştırabilirsiniz
    • Her sayfanın ekran görüntüsünü almak daha kolay değil mi?
    • Bunu yapınca Section 508 erişilebilirlik kurallarına büyük ölçekte uymaya çalışmak epey komik olurdu

  • PDF belgelerini analiz etmek için daha iyi tooling gerekli
    Şu anda qpdf'in QDF modu bir yere kadar yardımcı oluyor ama ciddi biçimde bir GUI gerekiyor

    • REMNux PDF analiz sayfasına bakmaya değer
      Kötü amaçlı PDF analizi için tasarlanmış olsa da, genel belge yapısını anlamakta da işe yarayan çok araç var
    • Bu araç daha çok düzenleme amaçlı gibi görünüyor; hangi bağlamda kullanıldığını merak ediyorum
      Epstein PDF olayı sonrasında bu fikir daha da ilginç hale geldi

  • Bu araştırma gerçekten çok sezgili
    Daha önce birinin Snowden belgelerini yeniden analiz ederek yeni bilgiler bulduğunu da hatırlatıyor
    Tüm materyali tamamen yayımlayamamış olması üzücü

    • Yakın dönemde ortaya çıkan tamamen yeni bilgiler, Jacob Appelbaum'un 2022 tarihli doktora tezinde yer alıyordu
      Daha önce yayımlanmamış içerikleri ele alıyor
      İlgili yazılar Electrospaces blogunda ve
      Libroot Part 2, Part 3 bağlantılarında görülebilir

  • Gazeteci Ryan Gallagher'a editoryal kararlar hakkında sordum ama henüz yanıt alamadım
    Tatil bittiğine göre artık bir haber gelmesini umuyorum

    • Gazetecilerin belgeleri neden sansürlediğini (redact) merak ediyorum
      Bunun devlet baskısından mı kaynaklandığını, yoksa içeriğin fazla hassas olmasından mı ileri geldiğini düşünüyorum
      Acaba orijinal dosyalar sadece gazetecilerin elinde mi var?

  • PDF'nin bunun gibi şeyleri nasıl mümkün kıldığını merak ediyordum
    Tüm sürüm geçmişini mi saklıyor, yoksa diff'leri metaveride mi tutuyor, öğrenmek istiyorum

    • PDF, birden çok nesneden (object) oluşan yapısal bir formattır
      Her nesnenin bir ID'si vardır ve düzenlendiğinde mevcut nesnenin üzerine yazmak yerine yeni bir nesil (generation) eklenir
      Örneğin mutool clean -d in.pdf out.pdf ile sıkıştırmayı açarsanız bu yapıyı görebilirsiniz
      Böylece orijinal korunurken değiştirilen sürüm dosyanın sonuna eklenmiş olur
    • Sayfanın altındaki pdfresurrect paketine bakarsanız, PDF'nin düzenleme geçmişini koruduğu açıklanıyor
      Bu araç önceki sürümleri çıkarabiliyor ve değişiklik özeti sunuyor
    • İlgili bir kaynak olarak A Typical PDF var
    • Sonuçta PDF, nesne tabloları ve referans ağaçlarından oluşur
      Önceki sürümdeki nesneler artık referans edilmese bile dosyanın içinde kalabilir

  • Yazdırıp taramak yerine, XPS'ye yazdırıp sonra yeniden PDF'ye dönüştürmenin de etkili olup olmayacağını merak ediyorum

  • Bunun daha yeni fark edilmiş olması şaşırtıcı

    • Muhtemelen birileri bunu zaten biliyordu
      Sadece bu tür bilgiler geniş kitlelere yayılmamıştı
    • Görünüşe göre Epstein PDF dosyası olayı dikkat çekince yeniden gündeme geldi

  • % pdfresurrect -w epsteinfiles.pdf komutunu deneyen oldu mu?

    • Gerçekten deneyen biri olup olmadığını merak ediyorum

  • Bu neredeyse kesin olarak gazetecilerin yaptığı redaction sonucu gibi görünüyor
    "Düzenlendi" ibaresi ya da nedenine dair açıklama olmaması üzücü
    Teknik olarak da ekran görüntüsü olarak yayımlansaydı metadata sızıntısı önlenebilirdi

    • Düzenlemeyi gerçekten gazeteciler yapmış
      Metadata zaman damgalarına bakınca, belge sürümünün yayımdan 3 hafta önce oluşturulduğu anlaşılıyor
      Belgelerin çoğu düzgün işlenmişti ama bu iki belgede metadata kaynaklı bir hata yüzünden önemli bilgiler açığa çıktı
      Bir sonraki yazıda PDF adli analizi ve metadata incelemesi üzerine teknik bir derinlemesine içerik olacak