NSA如何定位泄密女临时工?E安全为您还原追踪全貌!
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月7日文 本周E安全获悉美国国家安全局(NSA)机密文档再次泄露,该文档的标注日期为5月5日,相关内容与一项美国政府进行的深入调查有关,该项调查涉及俄罗斯政府对2016美国总统大选的干预行为,在美国总统大选前,俄罗斯黑客曾对全美100多名地方选举官员和一家投票软件公司发动网络攻击
美国大选前俄罗斯黑客攻击官员和投票软件公司
尽管这份机密文件本身并未包含任何原始信息,但其仍然充分体现出NSA的怀疑态度。NSA在文件报告中描述了俄罗斯黑客的攻击细节,比如对美国地方选举官员以及科技公司VR Systems发动钓鱼攻击,该科技公司曾为加州、佛罗里达州、纽约州、伊利诺伊州、北卡罗来纳州、印第安纳州、弗吉尼亚州以及西弗吉尼亚州这8个州开发选举软件。攻击时间恰好处在选举日之前,并且许多黑客攻击行动都围绕在10月下旬展开。
NSA在报告中称,代表俄罗斯政府的黑客假扮成电子投票公司,诱使美国政府官员点击含有隐藏恶意软件的电子邮件。俄罗斯黑客还通过使用noreplyautomaticservice@gmail.com电子邮件假扮谷歌向受害者发送电子邮件,要求他们点击最终遭到钓鱼攻击的链接。到目前为止,NSA报告已经确认了7名潜在受害者。
这份NSA报告曝光的时机很巧,恰好是前FBI局长詹姆斯·科米即将前往参议院下属情报委员会就此调查事件作证3天前,另一方面,美国总统特朗普也在努力中止FBI所执行的类似调查。俄罗斯总统普京继续驳斥“政府支持黑客”对美国发动网络袭击的指控,坚称那只是俄罗斯爱国人士的自发运动。
NSA已及时逮捕泄密者
就在The
Intercept报道刚上线不久,美国就发布逮捕令并逮捕了泄密者,一名 25 岁女合同工Reality Leigh
Winner。此次涉事地点位于美国乔治亚州奥古斯塔市的美国陆军网络司令部新址。这名女合同工已承认她曾经向The Intercept寄出机密资料。
根据逮捕令显示,这名女合同工使用打印机打印了机密文件,在文件打印之后情报机构就展开了调查,发现有六个人打印,再调查这六个人的计算机,只有这位女合同工与 The Intercept 有电子邮件往来。
The Intercept方面公布的文件也并非原始PDF版本,而是一份对打印版本进行二次扫描的PDF版本。即便当时 NSA 没有发现泄密者,那么在扫描图公开之后这名女合同工的身份也很容易暴露,因为现在大多数新型打印机会在打印过程当中通过肉眼几乎不可见的黄点以记录对应文档的打印位置与时间。由于NSA也在其打印机上记录下全部打印任务,因此他们完全可以利用这种方法了解到底是谁在何时何地在哪台打印机打印的这批文件。
现在,E安全将就NSA是如何发现泄密者身份进行全程还原。
NSA追踪泄密者身份流程
详解
E安全的读者首先可以点击此处下载原始文件,而后通过PDF查看器将其打开。例如在Mac
OS上通过常规的“预览”应用查看。接下来认真观察文档上的空白处,放大并进行截屏。在Mac
OS上,大家可以点击Command+Shift+3对当前窗口进行截屏。可以肯定的是,你截取到的图像中存在黄点,但大家几乎无法通过肉眼观察得到,尤其是在屏幕没有搽干净的情况下。
我们需要突出显示这些黄点。因此,在图像编辑器中打开屏幕截图,例如使用MacOS下的画图软件“Paintbrush”。接下来在图像中点选“反转颜色”选项,结果即如下图所示。这时,大家应该会在黑色区域看到类似矩形的棋盘格图样。
现在的图样为上下颠倒,因此我们需要将其旋转180度,或者直接进行水平与垂直翻转:
现在我们前往电子前沿基金会的页面并对该图样进行手动点击,这个工具就能够对文档中的黄点的含义进行解密:
由此产生的结果如下所示:
The Intercept所泄露的文件来自54型号打印机,其序列号为29535218。该文件打印时间是2017年5月9日6:20。NSA几乎肯定保留了当时打印机使用者的操作记录。
这种作法类似于美国著名黑客、杀毒软件McAfee的创始人约翰·麦克菲此前在发布的JPEG照片当中隐藏EXIF
GPS坐标。另外,还有人会在图像当中添加一个经过PDF编辑的黑条,旨在给文件中隐藏更多深层内容以供有心之人阅读,《纽约时报》就曾利用这种办法处理一份斯诺登文档。维基解密也在公布去年美国总统大选相关内幕时提到,人们在打开微软Office文档后可能会不慎保存,而这也有可能留下相关线索。
言归正传,要解决NSA设下的这一黄点陷阱,大家可以使用黑白打印机、黑白扫描仪或者利用图像编辑软件(如常用的Potoshop)将内容转换为黑白形式。
对于政府而言,打印机拥有两大极为重要的功能特性:
其一,它们能够识别到货币之上各类肉眼几乎无法辨认的模式,因此必须确保打印设备无法被用于伪造货币,如下图中的20美元所示:
第二在于,打印设备在进行打印时,能够在材料中包含这些几乎不可见的点,从而实现文档追踪。
关于泄露的其它打印文件,又发生了些什么?
国家安全专家玛茜·威尔勒就去年泄露的那些DIOG文档提出了这样的问题。这些文件以印刷品方式泄露出去,并被再次扫描并发布于The Intercept当中。面对这样的情况,这些文件中是否存在令人讨厌的黄点以追踪其来源?如果没有,理由又是什么?
首先来明确答案,这些DIOG文档的扫描图像并不存在追踪用黄点。目前具体理由尚不清楚。不过存在以下可能:
由于扫描仪没能正确识别出这些黄点,因为这里使用的扫描仪在质量上较俄罗斯黑客文档扫描所用的设备相差甚远;
打印机可能未将这些点正确打印出来,事实上,尽管大部分打印设备能够正确打印此类追踪点,但也有部分打印产品无法实现这样的效果;
有人利用工具将这些追踪点从扫描图像中刻意剔除了,毕竟这类工具的开发难度其实并不高。
下图所示为该打印文档。文档当中充满了空白部分,因此按道理我们应该能够较为轻松地找到追踪黄点,但实际情况并非如此。通过对图像进行反转,我们从DIOG文档的第一页中得出了以下内容:
将其与俄罗斯黑客文档的第一页进行比较,可以看到经过反转,后者明确显示出蓝点:
没有对比就没有伤害,俄罗斯文档的扫描效果明显要好得多。另外,我们能够从俄罗斯扫描文件的背景当中轻松看到蓝点等细小图样。相比之下,DIOG的扫描效果要差得多,以至于无法从背景中看到多少细节。
更近距离进行观察,我们不仅会发现其缺少细节,亦能看到扫描图像中存在条纹,这是扫描仪存在质量缺陷的显著迹象。
因此,我们可以基本断言扫描仪并没能从原始文件当中正确识别到追踪点。
根据电子前沿基金会公布的一份页面显示,他们记录下了哪些打印机能够识别并打印出这些追踪点。三星与Okidata打印机就不具备打印追踪点这个功能,而几乎其它所有打印机则都拥有这种能力。
所以,打印上述文件的人要么非常幸运,要么就是其通过仔细挑选专门选取了无法打印出追踪点的机型。
Reality
Leigh Winner打印出的这些泄露文件之所以被及时发现,是因为NSA也许已经对U盘进行了锁定以实现安全保障。这意味着将U盘藏在魔方里的办法(正如斯诺登影片中所示)已经无法顺利回避金属探测器的检测。
但从另一种可能性角度出发,FBI可能并没有执行如此严格的控制手段,因此人们仍然能够从其基础设施当中提取数字文件,并在其它地方打印出来。
这些泄露的DIOG文档本应存在可见的追踪标记点,但实际情况并非如此,这证明泄露文档的“临时工”很清楚这种防范手段,或者其运气真的不错。
E安全要闻简讯
官网:www.easyaq.com
2017年6月