标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-1474]   作者: ecawen 发表于: [2018-04-25]

本文共 [404] 位读者顶过

知名媒体The Intercept 根据内部人士泄漏的 NSA 机密文件报道称,俄罗斯去年 11 月在美国大选前夕对至少一家美国投票软件供应商发动网络攻击、并向超过 100 家地方选举办公室发送钓鱼邮件。NSA 在文件中明确指出,攻击发起者是俄罗斯总参谋部的情报总局。 [出自:jiwo.org]

关于俄罗斯通过黑客攻击操纵美国总统大选的报道自特朗普当选以来就此起彼伏不绝于耳,但是此次爆料事件出现了让人惊悚的一幕:与斯诺登、曼宁等泄密事件不同,NSA在数小时之内就抓住了泄密黑客操纵总统大选事件调查资料的内鬼!

根据安全媒体Errata Security的报道,在Intercept的报道上线的同一天,美国司法部宣布起诉一名联邦签约雇员将保密材料发送给 The Intercept,现年25岁的 Reality Leigh Winner 被控从佐治亚州的一处政府设施中带走保密信息。司法部称,她于 6 月 3 日被捕。 一名了解内情的美国官员称,Winner 被控向 The Intercept 泄露 NSA 的报告。

Errata指出,Winner之所以在数小时内落网,是因为Intercept刊登的泄密文档不是原始PDF文件,而是Winner提供的打印文档的扫描件,而如今大多数打印机新产品都会在文档上打印追踪点阵(肉眼难以辨识的黄色小点,一种加密数字水印),这些点阵包含文档的打印时间和地点等信息,而NSA正是凭借这个追踪后门“秒抓”了泄密者。

下面我们来看看这些神秘黄色点阵的真容,首先从Intercept的网站文章中下载winner泄密文档,用PDF阅读器打开,放大查看文档空白边缘,隐约可以看到黄点:

NSA intercept 打印机后门2

 

如果你电脑屏幕不够清洁,或者屏幕偏色,可能难以辨识上图中的黄点,那么可以截屏后在图像编辑软件中打开(例如Photoshop或者mac系统中的Paintbrush工具),然后选择“颜色反转”处理图片,就可以让这些隐秘的黄点暴露无遗:

NSA intercept 打印机后门3

将图片旋转180度将密写代码摆正:

NSA intercept 打印机后门3-0

然后用EFF提供的这个工具就可以解密这些黄点包含的信息:

NSA intercept 打印机后门3-1

解码生成如下信息:

NSA intercept 打印机后门4

信息显示,Intercept发布的这份泄露文档的打印机型号代码54,串码为29535218,打印时间为2017年6点20分。

解码方法如下:

image

NSA根据这些信息,不费吹灰之力就锁定了文档的打印者。

事实上,这已经不是美国情报和执法机构第一次根据媒体发布的文档中隐含的追踪信息锁定嫌疑人,当年Vice在报道逃亡中的杀毒软件教父级人物John McAfee时,在文章中配发了一张McAfee的照片,而正是这张照片中隐藏的EXIF信息(包含GPS坐标),出卖了McAfee。(编者注:安全意识真的是信息安全最薄弱环节)

政府在打印机中暗藏着两个“不可告人”的秘密,其中一个是打印机可以识别纸币中的特殊水印而拒绝打印钞票,例如下面这张20美元的水印:

钞票防打印图案

而打印机产品包藏的第二个秘密就是我们今天事件中最关键的梗:打印文件中暗藏的黄色追踪点阵(数字水印)。根据EFF的报道,包括三星、兄弟、爱普生、佳能、富士、IBM、惠普、京瓷、利盟等几乎所有主流彩色打印机厂商都与(美国)政府签订了秘密协议,确保其打印机输出文件在数字取证时具备可回溯性。以下是EFF给出的(部分)会在文档中植入隐形数字水印的打印机厂商和相关产品型号:

输入品牌或型号检索

2017年6月7日更新:

1.目前Github上已经放出去除跟踪点阵的开源工具(Github)(jiwo.org试了,这破东西去不掉,所以自己想办法吧)

2.打印机产品常见遗留安全漏洞列表(调查使用的打印机渗透测试工具包PRET):

注:所有厂商中只有戴尔和Google对上述打印机漏洞予以积极回应

评论

暂无
发表评论
 返回顶部 
热度(404)
 关注微信