Novas informações reveladas pela análise das versões de metadados em PDF dos documentos de Snowden

 (libroot.org)
1 pontos por GN⁺ 2026-01-12 | 1 comentários | Compartilhar no WhatsApp
  • A análise do histórico de versões dos metadados em PDF dos documentos de Snowden divulgados confirmou que seções relacionadas a estações terrestres de agências de inteligência dentro dos EUA foram removidas intencionalmente
  • O conteúdo removido incluía a estrutura dos nomes operacionais e dos nomes de fachada da Potomac Mission Ground Station (PMGS) e da Consolidated Denver Mission Ground Station (CDMGS)
  • Em ambos os documentos, essas informações existiam nas versões iniciais, mas foram completamente removidas da versão final publicada, restando vestígios apenas no histórico interno de versões do PDF
  • Em contraste, informações sobre instalações no exterior, como a Menwith Hill no Reino Unido e a Pine Gap na Austrália, foram mantidas, revelando um padrão de edição sistemática apenas das instalações domésticas
  • Essa descoberta é importante como um caso que mostra que é possível rastrear tecnicamente os procedimentos de edição e censura no processo de divulgação dos documentos de Snowden

Conteúdo removido sobre instalações de inteligência nos EUA

  • A análise dos metadados de dois documentos confirmou que a seção sobre instalações de inteligência domésticas foi completamente apagada
    • No Menwith satellite classification guide, divulgado em 2016, foi removida a seção relacionada à PMGS (Washington, DC)
    • No NRO SIGINT Guide for Pine Gap, divulgado em 2017, foi removida a seção relacionada à CDMGS (região de Denver)
  • As partes removidas incluíam o nome oficial, nome de fachada, localização e informações para visitantes das instalações
  • Ambas as instalações eram explicitamente identificadas como Mission Ground Station do National Reconnaissance Office (NRO), e
    • o nome de fachada da PMGS era “Classic Wizard Reporting and Testing Center (CWRTC)
    • o nome de fachada da CDMGS era “Aerospace Data Facility (ADF)

Potomac Mission Ground Station (PMGS)

  • Localização: edifícios 259 e 260 do Naval Research Laboratory, em Washington, DC
  • Nome público: “Classic Wizard Reporting and Testing Center (CWRTC)
  • Função real: estação terrestre da rede de inteligência por satélite do NRO
  • O documento especifica o nível de classificação de cada nome
    • “CWRTC” = UNCLASSIFIED
    • “PMGS” = S//TK
    • “CWRTC é o nome de fachada da PMGS” = S//TK
    • “A relação da CWRTC com pessoal do NRO·CIA·NSA” = S//TK
  • Essa estrutura de classificação em múltiplas camadas é descrita como um arranjo para separar o nome público da missão real

Consolidated Denver Mission Ground Station (CDMGS)

  • Localização: Buckley Space Force Base, em Aurora, Colorado
  • Nome público: “Aerospace Data Facility (ADF)
  • Nome real: “Consolidated Denver Mission Ground Station (CDMGS)
  • Publicamente, a ADF-C é conhecida como uma instalação de comando e controle de satélites de reconhecimento, mas
    • o fato de que “ADF é o nome de fachada da CDMGS” foi confirmado pela primeira vez no documento
  • Em uma tabela do documento, o nome real e o nome de fachada de cada instalação aparecem em paralelo, organizados em estruturas como
    • CDMGS–ADF–FSD (Field Station Denver)
    • PMGS–MSF–CWRTC
    • HMGS–RAF MHS, AMGS–JDFPG

Resultados da edição e da análise de metadados

  • Os metadados do PDF registram o momento da edição e a ferramenta utilizada
    • O documento Pine Gap teve duas versões geradas em 31 de julho de 2017, com diferença de poucos minutos, usando Nitro Pro 8
    • A primeira versão continha a seção sobre a CDMGS, mas ela foi removida na segunda versão
    • Foi confirmado que a The Intercept e a ABC publicaram o mesmo arquivo compartilhado
  • O documento Menwith Hill também mostra o mesmo padrão, com remoção apenas da seção sobre instalações domésticas
  • Esses metadados funcionam como evidência forense do processo de edição e censura

Pesquisa futura e ferramentas

  • Em análises futuras, por meio do rastreamento de versões em todo o conjunto de metadados de PDFs, pretende-se verificar tecnicamente
    • nomes de agentes removidos, capturas de tela editadas e vestígios de revisões em múltiplas etapas
  • Para extrair versões de PDF, pode-se usar a ferramenta pdfresurrect
    • Exemplo: pdfresurrect -w filename.pdf
  • O Libroot.org disponibiliza download direto dos arquivos das versões 1 e 2 de cada documento
    • Ambas as versões dos documentos Menwith Hill e Pine Gap estão públicas

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-12
Comentários do Hacker News

  • Esses PDFs parecem ter usado o recurso de “incremental update”
    ou seja, ao editar o documento, só as mudanças são anexadas ao arquivo original
    em termos simples, dá para encontrar a linha “%%EOF” num editor de texto e cortar tudo depois dela para restaurar a versão anterior do PDF
    porém, no caso de linearized PDF, o primeiro %%EOF é uma revisão falsa que existe por razões técnicas

    • Parece que acabei de ganhar uma nova habilidade de OSINT
    • É engraçado que, tentando alcançar os recursos do MS Word, a Adobe tenha acabado criando essa ferramenta de espionagem

  • Do ponto de vista de proteção da informação, está parecendo cada vez melhor imprimir o documento e escanear para gerar um PDF de imagem

    • Mas toda impressora colorida tem um código de pontos amarelos (dotcode) invisível
      esse código pode incluir o número de série da impressora ou até o endereço IP no momento da conexão com a internet
      por isso, é melhor evitar o uso de impressoras cujo firmware você não possa controlar
      ferramentas de análise relacionadas incluem YellowDotDecode, dotsecrets e a apresentação da CCC de 2007
    • Uma forma melhor seria converter o PDF em JPEG/PNG → BMP antes de compartilhar ou imprimir
      ou então reconstruir o documento com um LLM, removendo pontuação e espaços, e transformar o resultado em imagem de novo
      a captura analógica com câmera de filme fotografando o monitor é útil para evitar falsificação e preservar evidências
      mas qualquer método deixa rastros, então o compartilhamento não autorizado de informações deve ser absolutamente evitado
      no fim das contas, parece que os espiões estão voltando para o microfilme
    • Eu salvaria o PDF como TIFF ou PNG e depois o transformaria em PDF de novo
      se estivesse realmente paranoico, aplicaria um filtro de ruído na imagem para deixá-la borrada
    • Não seria mais simples só tirar capturas de tela de cada página?
    • Fazer isso e depois tentar atender em escala os requisitos de acessibilidade da Section 508 seria até engraçado

  • Precisamos de melhores ferramentas para analisar documentos PDF
    hoje dá para resolver um pouco com o modo QDF do qpdf, mas faz muita falta uma GUI

    • Vale a pena consultar a página de análise de PDF do REMNux
      ela é voltada para análise de PDFs maliciosos, mas tem muitas ferramentas úteis também para entender documentos comuns
    • Essa ferramenta parece voltada mais para edição; fico curioso sobre em que contexto ela é usada
      depois do caso do PDF de Epstein, essas ideias ficaram ainda mais interessantes

  • Essa pesquisa é realmente perspicaz
    também me lembra de quando alguém reanalisou os documentos de Snowden e encontrou novas informações
    é uma pena que ele não tenha conseguido divulgar todo o material por completo

    • Informações completamente novas surgiram recentemente na tese de doutorado de 2022 de Jacob Appelbaum
      ela trata de conteúdo que não havia sido publicado antes
      textos relacionados podem ser vistos no blog Electrospaces e em
      Libroot Part 2, Part 3

  • Perguntei ao jornalista Ryan Gallagher sobre as decisões editoriais, mas ainda não recebi resposta
    agora que o feriado acabou, espero que haja alguma novidade

    • Fico me perguntando por que os jornalistas redigiram os documentos
      se foi por pressão do governo ou porque o conteúdo era sensível demais
      será que só os jornalistas têm os arquivos originais?

  • Eu me perguntava como o PDF consegue funcionar desse jeito
    queria saber se ele armazena todo o histórico de versões ou se guarda diffs nos metadados

    • O PDF é estruturado em vários objetos (objects)
      cada objeto tem um ID e, quando é modificado, em vez de sobrescrever o anterior, adiciona uma nova geração
      por exemplo, dá para ver a estrutura descompactando com mutool clean -d in.pdf out.pdf
      assim, o original é mantido enquanto a versão modificada vai sendo anexada
    • Se você olhar o pacote pdfresurrect no rodapé da página, ele explica que o PDF mantém o histórico de alterações
      essa ferramenta extrai versões anteriores e fornece um resumo das mudanças
    • Um material de referência relacionado é A Typical PDF
    • No fim, o PDF é composto por uma tabela de objetos e uma árvore de referências
      mesmo que os objetos de versões anteriores não sejam mais referenciados, eles podem continuar dentro do arquivo

  • Em vez de imprimir e escanear, será que imprimir em XPS e depois converter de volta para PDF também seria eficaz?

  • Surpreende que isso só tenha vindo à tona agora

    • Provavelmente alguém já sabia disso
      só que esse tipo de informação não se espalhou amplamente
    • Parece que o caso do arquivo PDF de Epstein trouxe isso de volta à atenção

  • Alguém aqui já usou o comando % pdfresurrect -w epsteinfiles.pdf?

    • Fico curioso se alguém realmente tentou

  • Isso quase certamente parece ser resultado da redação feita pelos jornalistas
    é uma pena não haver indicação de “editado” nem explicação do motivo
    tecnicamente, se tivessem publicado como capturas de tela, também teria sido possível evitar o vazamento de metadados

    • De fato, os jornalistas fizeram a edição
      pelos timestamps dos metadados, dá para ver que as versões dos documentos foram criadas três semanas antes da divulgação
      a maioria dos documentos foi tratada corretamente, mas nesses dois documentos específicos um erro de metadados expôs informações importantes
      o próximo texto deve abordar um mergulho técnico em forense de PDF e análise de metadados