
Wir sind immer wieder erstaunt darüber auf was für abgefahrene Ideen manche Mystery-Owner kommen, um die Koordinaten ihrer Caches zu verschleiern. Man denkt, man habe schon alles gesehen und schon kommt wieder eine abgefahrene Idee um die Ecke. Vor ein paar Tagen sind wir über einen mehrschichtigen Mystery gestolpert der uns wieder mal zum Staunen gebracht hat, was technisch so alles möglich ist und an dem wir fast verzweifelt wären. Natürlich werden wir hier keinen direkten Lösungsweg verraten, aber an diesem Beispiel möchten wir euch den ein oder anderen Tipp an die Hand geben wie euer nächste Ratehaken vielleicht gelöst werden könnte.
Wenn im Listing eines Mysterys ein Foto vorhanden ist, dann schauen wir uns dieses immer besonders neugierig an. In unserem Beispiel enthielt das Listing ein kleines Foto im JPG-Format. Das Foto haben wir auf unserem Desktop gespeichert und anschließend in einem HexEditor geöffnet. Auf unserem Mac verwenden wir hierfür den kostenlosen Editor Hex Fiend. Im Grunde sind alle Editoren gleich aufgebaut und in zwei Bereiche gegliedert: Die Hexadezimal-Ansicht und die Text-Ansicht.
Als erstes nehmen wir immer die Hexadezimal-Ansicht unter die Lupe, denn hierfür gibt es eine Art „goldene Regel“ für Dateien im JPG-Format: Die Datei beginnt immer mit dem Hex Code FFD8 und endet mit dem Code FFD9. Sollte die Datei nicht mit dem Hex Code FFD9 enden, dann ist das immer ein Anzeichen dafür das die Datei manipuliert wurde. Im oberen Beispielbild (nicht die Originalversion des Mysterys) haben wir die beiden Codes in Rot markiert. Wir ihr sehen könnt, endet die Datei nicht mit dem Hex Code FFD9 und es folgen weitere Hexadezimal-Zahlen. Jetzt sind wir an dem Punkt angelangt, wo wir uns die Textansicht genauer ansehen. Wenn ihr alle Hexadezimal-Zahlen in eurem Hex Editor ab FFD9 markiert, dann sollte auch der entsprechende Textteil markiert werden.
Und jetzt kommen wir zu dem Part, der uns an diesem Mystery besonders gut gefallen hat. Mit dem herausgefilterten Text konnten wir überhaupt nichts anfangen und die Rätselei kam ins Stocken. Wochenlang haben wir uns den Text angesehen, wieder beiseitegelegt, wieder angesehen und in Dutzende Online-Chiffre-Dekoder kopiert ohne das ein brauchbares Ergebnis herauskommen wollte. Ohne es zu wissen haben wir uns vom Text der Datei blenden lassen. Nicht der Text ist die Lösung des Rätsels, sondern es sind die Hexadezimal-Zahlen.
Also haben wir alle Codes nach FFD9 kopiert und haben uns auf Cryptool-Online umgesehen, welche Chiffre uns bei der Entschlüsselung helfen könnte. Die Lösung war die Homophone-Chiffre („Das gleich Klingende“). Bei dieser Chiffre stehen bestimmte Zahlenpaare für einen bestimmten Buchstaben. Damit die Dekodierung funktioniert, benötigt ihr für die Homophone-Chiffre noch zwei Angaben, da mit diesen beiden Werten die Ersetzungstabelle gesteuert wird. Bei unserem Mystery befanden sich diese beiden Werte auf der Textseite des Hex Editors.
Was waren wir froh als endlich die Lösung auf unserem Monitor auftauchte. Endlich hatte die Rätselei ein Ende. Wir hoffen wir konnten euch 2-3 Ansätze liefern, worauf ihr bei eurem nächsten Ratehaken achten solltet und wünschen euch weiterhin viel Spaß bei der Entschlüsselung.