ข้อมูลใหม่ที่เพิ่งถูกเปิดเผยจากการวิเคราะห์ประวัติเวอร์ชันเมตาดาต้า PDF ในเอกสาร Snowden

 (libroot.org)
1 คะแนน โดย GN⁺ 2026-01-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผลการวิเคราะห์ ประวัติเวอร์ชันเมตาดาต้า PDF ของเอกสาร Snowden ที่เผยแพร่แล้ว ยืนยันว่า ส่วนที่เกี่ยวกับสถานีภาคพื้นดินของหน่วยข่าวกรองภายในสหรัฐฯ ถูกลบออกโดยเจตนา
  • เนื้อหาที่ถูกลบมี โครงสร้างชื่อปฏิบัติการและชื่ออำพราง ของ Potomac Mission Ground Station(PMGS) และ Consolidated Denver Mission Ground Station(CDMGS) รวมอยู่ด้วย
  • เอกสารทั้งสองฉบับมีข้อมูลดังกล่าวอยู่ในเวอร์ชันแรก แต่ ถูกลบออกทั้งหมดในฉบับที่เผยแพร่ขั้นสุดท้าย และเหลือร่องรอยไว้เพียงในประวัติเวอร์ชันภายใน PDF
  • ในทางกลับกัน ข้อมูลเกี่ยวกับสถานที่ในต่างประเทศ เช่น Menwith Hill ของสหราชอาณาจักร และ Pine Gap ของออสเตรเลีย ยังคงอยู่ตามเดิม ทำให้เห็นรูปแบบว่า มีการตัดต่อเฉพาะสถานที่ภายในประเทศอย่างเป็นระบบ
  • การค้นพบนี้มีความสำคัญในฐานะ ตัวอย่างที่แสดงให้เห็นว่าสามารถติดตามขั้นตอนการตัดต่อและการตรวจกรองในการเผยแพร่เอกสาร Snowden ได้ในเชิงเทคนิค

เนื้อหาที่ถูกลบเกี่ยวกับสถานที่ข่าวกรองภายในสหรัฐฯ

  • ผลการวิเคราะห์เมตาดาต้าของเอกสารทั้งสองยืนยันว่า ส่วนของสถานที่ข่าวกรองภายในประเทศถูกลบออกทั้งหมด
    • ใน Menwith satellite classification guide ที่เผยแพร่เมื่อปี 2016 มีการลบส่วนที่เกี่ยวกับ PMGS (Washington DC) ออก
    • ใน NRO SIGINT Guide for Pine Gap ที่เผยแพร่เมื่อปี 2017 มีการลบส่วนที่เกี่ยวกับ CDMGS (พื้นที่เดนเวอร์) ออก
  • ส่วนที่ถูกลบมีข้อมูลอย่าง ชื่อทางการ ชื่ออำพราง ที่ตั้ง และข้อมูลผู้เยี่ยมชม ของสถานที่เหล่านี้
  • สถานที่ทั้งสองถูกระบุว่าเป็น Mission Ground Station ของ National Reconnaissance Office(NRO) และ
    • ชื่ออำพรางของ PMGS ถูกบันทึกไว้ว่า “Classic Wizard Reporting and Testing Center(CWRTC)
    • ชื่ออำพรางของ CDMGS ถูกบันทึกไว้ว่า “Aerospace Data Facility(ADF)

Potomac Mission Ground Station (PMGS)

  • ที่ตั้ง: อาคารหมายเลข 259 และ 260 ภายใน Naval Research Laboratory ใน Washington DC
  • ชื่อที่เปิดเผยต่อสาธารณะ: “Classic Wizard Reporting and Testing Center(CWRTC)
  • หน้าที่จริง: สถานีภาคพื้นดินของเครือข่ายข่าวกรองดาวเทียมของ NRO
  • เอกสารระบุระดับชั้นความลับของแต่ละชื่อไว้อย่างชัดเจน
    • “CWRTC” = ไม่เป็นความลับ(UNCLASSIFIED)
    • “PMGS” = ลับ(S//TK)
    • “CWRTC เป็นชื่ออำพรางของ PMGS” = ลับ(S//TK)
    • “ความเชื่อมโยงของ CWRTC กับบุคลากรของ NRO·CIA·NSA” = ลับ(S//TK)
  • อธิบายได้ว่าโครงสร้างการจัดชั้นข้อมูลหลายระดับนี้มีไว้เพื่อ แยกชื่อที่เปิดเผยต่อสาธารณะออกจากภารกิจจริง

Consolidated Denver Mission Ground Station (CDMGS)

  • ที่ตั้ง: ฐานทัพอวกาศ Buckley ในเมือง Aurora รัฐโคโลราโด
  • ชื่อที่เปิดเผยต่อสาธารณะ: “Aerospace Data Facility (ADF)
  • ชื่อจริง: “Consolidated Denver Mission Ground Station (CDMGS)
  • แม้ ADF-C จะเป็นที่รู้จักต่อสาธารณะว่าเป็น สถานที่สั่งการและควบคุมดาวเทียมลาดตระเวน แต่
    • ข้อเท็จจริงที่ว่า “ADF เป็นชื่ออำพรางของ CDMGS” เพิ่งได้รับการยืนยันจากเอกสารนี้เป็นครั้งแรก
  • ในตารางภายในเอกสาร มีการแสดง ชื่อจริงและชื่ออำพรางของแต่ละสถานที่แบบขนานกัน โดยจัดไว้ในโครงสร้างเช่น
    • CDMGS–ADF–FSD(Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG

ผลการวิเคราะห์การตัดต่อและเมตาดาต้า

  • เมตาดาต้า PDF บันทึก ช่วงเวลาที่มีการแก้ไขและเครื่องมือที่ใช้ เอาไว้
    • เอกสาร Pine Gap ถูกสร้างขึ้นสองเวอร์ชันห่างกันเพียงไม่กี่นาทีเมื่อวันที่ 31 กรกฎาคม 2017 โดยใช้ Nitro Pro 8
    • เวอร์ชันแรกมีส่วนของ CDMGS อยู่ แต่ถูกลบออกในเวอร์ชันที่สอง
    • ยืนยันได้ว่า The Intercept และ ABC เผยแพร่โดยใช้ไฟล์เดียวกันร่วมกัน
  • เอกสาร Menwith Hill ก็แสดงรูปแบบเดียวกัน คือ ลบเฉพาะส่วนของสถานที่ภายในประเทศ
  • เมตาดาต้าเหล่านี้ทำหน้าที่เป็น หลักฐานเชิงนิติวิทยาศาสตร์ดิจิทัลของกระบวนการตัดต่อและการตรวจกรอง

งานวิจัยต่อเนื่องและเครื่องมือ

  • การวิเคราะห์ในอนาคตจะใช้ การติดตามเวอร์ชันของเมตาดาต้า PDF โดยรวม เพื่อ
    • ตรวจพิสูจน์ในเชิงเทคนิคถึงชื่อเจ้าหน้าที่ที่ถูกลบ ภาพหน้าจอที่ถูกแก้ไข และร่องรอยการแก้ไขหลายขั้นตอน
  • สามารถใช้เครื่องมือ pdfresurrect เพื่อดึงเวอร์ชันของ PDF ออกมาได้
    • ตัวอย่าง: pdfresurrect -w filename.pdf
  • Libroot.org เปิดให้ดาวน์โหลด ไฟล์เวอร์ชัน 1 และ 2 ของเอกสารแต่ละฉบับได้โดยตรง
    • มีการเผยแพร่ทั้งสองเวอร์ชันของเอกสาร Menwith Hill และ Pine Gap

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-12
ความเห็นจาก Hacker News

  • ดูเหมือนว่า PDF เหล่านี้ใช้ฟีเจอร์ “incremental update”
    กล่าวคือเวลาแก้ไขเอกสาร จะเป็นการต่อเฉพาะส่วนที่เปลี่ยนเพิ่มเข้าไปในไฟล์ต้นฉบับ
    พูดง่าย ๆ คือ ถ้าเปิดด้วยโปรแกรมแก้ไขข้อความแล้วหาแถว “%%EOF” จากนั้นตัดทุกอย่างหลังจากนั้นออก ก็สามารถกู้คืน PDF เวอร์ชันก่อนหน้าได้
    อย่างไรก็ตาม ในกรณีของ linearized PDF ค่า %%EOF แรกเป็นการแก้ไขปลอมที่มีอยู่ด้วยเหตุผลทางเทคนิค ไม่ใช่เวอร์ชันจริง

    • รู้สึกเหมือนได้ สกิล OSINT ใหม่มา
    • ขำตรงที่ Adobe พยายามไล่ตามฟีเจอร์ของ MS Word แล้วดันสร้าง เครื่องมือสายลับ แบบนี้ขึ้นมา

  • ถ้ามองจากมุมการปกป้องข้อมูล วิธีพิมพ์เอกสารออกมาแล้วสแกนกลับเป็น PDF แบบรูปภาพเริ่มดูน่าสนใจมากขึ้นเรื่อย ๆ

    • แต่เครื่องพิมพ์สีทุกเครื่องมี รหัสจุดสีเหลือง (dotcode) ที่มองไม่เห็น
      รหัสนี้อาจมีทั้งหมายเลขซีเรียลของเครื่องพิมพ์ หรือแม้กระทั่ง IP address ตอนที่เชื่อมต่ออินเทอร์เน็ต
      ดังนั้นควรหลีกเลี่ยงการใช้เครื่องพิมพ์ที่ควบคุมเฟิร์มแวร์ไม่ได้
      เครื่องมือที่เกี่ยวข้องมี YellowDotDecode, dotsecrets, สไลด์นำเสนอ CCC 2007
    • วิธีที่ดีกว่าคือแปลง PDF เป็น JPEG/PNG → BMP แล้วค่อยแชร์หรือพิมพ์
      หรือจะใช้ LLM สร้างเอกสารขึ้นมาใหม่โดยลบเครื่องหมายวรรคตอนและช่องว่างออก แล้วค่อยแปลงผลลัพธ์กลับเป็นรูปภาพก็ได้
      การ ถ่ายแบบอนาล็อก ด้วยกล้องฟิล์มจากหน้าจอมีประโยชน์ทั้งด้านป้องกันการปลอมแปลงและการเก็บหลักฐาน
      แต่ไม่ว่าจะใช้วิธีไหนก็ยังทิ้งร่องรอยอยู่ดี ดังนั้นควรหลีกเลี่ยงการแชร์ข้อมูลโดยไม่ได้รับอนุญาตอย่างเด็ดขาด
      ดูเหมือนว่าเรากำลังกลับเข้าสู่ยุคที่ สายลับหวนคืนสู่ไมโครฟิล์ม อีกครั้ง
    • ถ้าเป็นฉันจะบันทึก PDF เป็น TIFF หรือ PNG ก่อน แล้วค่อยสร้างกลับเป็น PDF
      ถ้ายังกังวลมากจริง ๆ ก็คงใส่ noise filter ให้ภาพเบลอขึ้นอีกหน่อย
    • แค่จับ ภาพหน้าจอ ของแต่ละหน้าจะง่ายกว่าไหม?
    • ถ้าทำแบบนั้น การจะทำให้เป็นไปตาม ข้อกำหนดการเข้าถึง Section 508 ในวงกว้างก็คงชวนขำพอสมควร

  • ควรมี เครื่องมือ สำหรับวิเคราะห์เอกสาร PDF ที่ดีขึ้น
    ตอนนี้พอทำได้บ้างด้วย โหมด QDF ของ qpdf แต่ต้องการ GUI มาก

    • ลองดู หน้าวิเคราะห์ PDF ของ REMNux ได้
      แม้จะเป็นเครื่องมือสำหรับวิเคราะห์ PDF อันตรายเป็นหลัก แต่หลายตัวก็มีประโยชน์กับการทำความเข้าใจเอกสารทั่วไปด้วย
    • เครื่องมือนั้นดูเหมือนเน้นใช้แก้ไขมากกว่า เลยสงสัยว่าใช้ในบริบทไหน
      หลัง คดี PDF ของ Epstein ไอเดียแบบนี้ก็ดูน่าสนใจขึ้นมาอีก

  • งานวิจัยนี้มีมุมมองที่เฉียบคมจริง ๆ
    มันทำให้นึกถึงครั้งก่อนที่มีคนกลับไปวิเคราะห์ เอกสาร Snowden ใหม่แล้วพบข้อมูลใหม่
    น่าเสียดายที่เขาไม่สามารถเปิดเผยทุกอย่างออกมาได้ทั้งหมด

    • ข้อมูลใหม่แบบชัดเจนล่าสุดมาจาก วิทยานิพนธ์ปริญญาเอก ปี 2022 ของ Jacob Appelbaum
      ซึ่งพูดถึงเนื้อหาที่ไม่เคยถูกเปิดเผยมาก่อน
      อ่านเพิ่มเติมได้ที่ บล็อก Electrospaces และ
      Libroot Part 2, Part 3

  • ได้ติดต่อผู้สื่อข่าว Ryan Gallagher เกี่ยวกับ การตัดสินใจในการแก้ไขเอกสาร แล้ว แต่ยังไม่ได้รับคำตอบ
    ตอนนี้วันหยุดผ่านไปแล้ว หวังว่าจะมีความคืบหน้า

    • สงสัยว่าทำไมนักข่าวถึง เซ็นเซอร์ (redact) เอกสาร
      เป็นเพราะแรงกดดันจากรัฐบาล หรือเพราะมีเนื้อหาที่อ่อนไหวเกินไปกันแน่
      หรือจริง ๆ แล้วมีแต่นักข่าวเท่านั้นที่ถือไฟล์ต้นฉบับไว้

  • เคยสงสัยว่า PDF ทำแบบนี้ได้อย่างไร
    อยากรู้ว่ามันเก็บประวัติเวอร์ชันทั้งหมดไว้เลย หรือเก็บ diff ไว้ใน metadata

    • PDF เป็นโครงสร้างที่ประกอบด้วย อ็อบเจ็กต์ (object) หลายตัว
      แต่ละอ็อบเจ็กต์มี ID ของตัวเอง และเมื่อมีการแก้ไข ก็จะไม่เขียนทับอ็อบเจ็กต์เดิม แต่เพิ่ม generation ใหม่เข้าไป
      ตัวอย่างเช่น ถ้าใช้ mutool clean -d in.pdf out.pdf เพื่อคลายการบีบอัด ก็จะเห็นโครงสร้างนี้
      ทำให้ไฟล์อยู่ในรูปแบบที่เก็บต้นฉบับไว้พร้อมต่อส่วนแก้ไขเพิ่มเข้าไป
    • ถ้าดูแพ็กเกจ pdfresurrect ที่ด้านล่างของหน้า จะมีคำอธิบายว่า PDF สามารถเก็บประวัติการแก้ไขไว้ได้
      เครื่องมือนี้ใช้ดึงเวอร์ชันก่อนหน้าออกมา และสรุปการเปลี่ยนแปลงให้
    • เอกสารอ้างอิงที่เกี่ยวข้องคือ A Typical PDF
    • สรุปคือ PDF ประกอบด้วยตารางอ็อบเจ็กต์และต้นไม้การอ้างอิง
      แม้อ็อบเจ็กต์ของเวอร์ชันเก่าจะไม่ถูกอ้างถึงแล้ว ก็ยังอาจคงอยู่ภายในไฟล์ได้

  • นอกจากพิมพ์แล้วสแกนกลับมา อยากรู้ว่าการ พิมพ์เป็น XPS แล้วค่อยแปลงกลับเป็น PDF จะได้ผลเหมือนกันไหม

  • น่าแปลกที่เรื่องแบบนี้เพิ่งเป็นที่รู้จักตอนนี้

    • บางทีอาจมีคนรู้มาก่อนแล้ว
      แค่ข้อมูลลักษณะนี้ไม่ค่อยแพร่หลายเท่านั้น
    • น่าจะเป็นเพราะกรณี ไฟล์ PDF ของ Epstein กลับมาได้รับความสนใจอีกครั้ง

  • มีใครลองใช้คำสั่ง % pdfresurrect -w epsteinfiles.pdf บ้างไหม?

    • อยากรู้ว่ามีคนลองจริงหรือยัง

  • เรื่องนี้แทบจะแน่นอนว่าเป็นผลจาก การแก้ไขเอกสาร (redaction) ของนักข่าว
    น่าเสียดายที่ไม่มีการระบุว่า “แก้ไขแล้ว” หรืออธิบายเหตุผลไว้
    ในทางเทคนิค ถ้าเผยแพร่เป็นภาพหน้าจอตั้งแต่แรกก็คงป้องกัน metadata รั่วได้

    • นักข่าวเป็นคนแก้ไขจริง
      ถ้าดู timestamp ใน metadata จะเห็นว่าเวอร์ชันของเอกสารถูกสร้างขึ้นก่อนเผยแพร่ 3 สัปดาห์
      เอกสารส่วนใหญ่จัดการได้ดี แต่สองฉบับนี้กลับมี ความผิดพลาดด้าน metadata จนทำให้ข้อมูลสำคัญหลุดออกมา
      ในบทความถัดไปจะลงลึกเชิงเทคนิคเกี่ยวกับ นิติวิทยาศาสตร์ PDF และการวิเคราะห์ metadata