NSA如何定位泄密女臨時工？E安全為您還原追蹤全貌！

E安全6月7日文
本周E安全獲悉美國國家安全局（NSA）機密文檔再次泄露，該文檔的標註日期為5月5日，相關內容與一項美國政府進行的深入調查有關，該項調查涉及俄羅斯政府對2016美國總統大選的干預行為，在美國總統大選前，俄羅斯黑客曾對全美100多名地方選舉官員和一家投票軟體公司發動網路攻擊。

美國大選前俄羅斯黑客攻擊官員和投票軟體公司

儘管這份機密文件本身並未包含任何原始信息，但其仍然充分體現出NSA的懷疑態度。NSA在文件報告中描述了俄羅斯黑客的攻擊細節，比如對美國地方選舉官員以及科技公司VR

Systems發動釣魚攻擊，該科技公司曾為加州、佛羅里達州、紐約州、伊利諾伊州、北卡羅來納州、印第安納州、弗吉尼亞州以及西弗吉尼亞州這8個州開發選舉軟體。攻擊時間恰好處在選舉日之前，並且許多黑客攻擊行動都圍繞在10月下旬展開。

NSA在報告中稱，代表俄羅斯政府的黑客假扮成電子投票公司，誘使美國政府官員點擊含有隱藏惡意軟體的電子郵件。俄羅斯黑客還通過使用noreplyautomaticservice@gmail.com電子郵件假扮谷歌向受害者發送電子郵件，要求他們點擊最終遭到釣魚攻擊的鏈接。到目前為止，NSA報告已經確認了7名潛在受害者。

這份NSA報告曝光的時機很巧，恰好是前FBI局長詹姆斯·科米即將前往參議院下屬情報委員會就此調查事件作證3天前，另一方面，美國總統特朗普也在努力中止FBI所執行的類似調查。俄羅斯總統普京繼續駁斥「政府支持黑客」對美國發動網路襲擊的指控，堅稱那只是俄羅斯愛國人士的自發運動。

NSA已及時逮捕泄密者

就在The Intercept報道剛上線不久，美國就發布逮捕令並逮捕了泄密者，一名 25 歲女合同工Reality
Leigh Winner。此次涉事地點位於美國喬治亞州奧古斯塔市的美國陸軍網路司令部新址。這名女合同工已承認她曾經向The Intercept寄出機密資料。

根據逮捕令顯示，這名女合同工使用印表機列印了機密文件，在文件列印之後情報機構就展開了調查，發現有六個人列印，再調查這六個人的計算機，只有這位女合同工與 The
Intercept 有電子郵件往來。

本文系E安全獨家編譯報道

The
Intercept方面公布的文件也並非原始PDF版本，而是一份對列印版本進行二次掃描的PDF版本。即便當時 NSA
沒有發現泄密者，那麼在掃描圖公開之後這名女合同工的身份也很容易暴露，因為現在大多數新型印表機會在列印過程當中通過肉眼幾乎不可見的黃點以記錄對應文檔的列印位置與時間。由於NSA也在其印表機上記錄下全部列印任務，因此他們完全可以利用這種方法了解到底是誰在何時何地在哪台印表機列印的這批文件。

現在，E安全將就NSA是如何發現泄密者身份進行全程還原。

NSA追蹤泄密者身份流程詳解

E安全的讀者首先可以點擊此處下載原始文件，而後通過PDF查看器將其打開。例如在Mac
OS上通過常規的「預覽」應用查看。接下來認真觀察文檔上的空白處，放大並進行截屏。在Mac
OS上，大家可以點擊Command+Shift+3對當前窗口進行截屏。可以肯定的是，你截取到的圖像中存在黃點，但大家幾乎無法通過肉眼觀察得到，尤其是在屏幕沒有搽乾淨的情況下。

本文系E安全獨家編譯報道

我們需要突出顯示這些黃點。因此，在圖像編輯器中打開屏幕截圖，例如使用MacOS下的畫圖軟體「Paintbrush」。接下來在圖像中點選「反轉顏色」選項，結果即如下圖所示。這時，大家應該會在黑色區域看到類似矩形的棋盤格圖樣。

本文系E安全獨家編譯報道

現在的圖樣為上下顛倒，因此我們需要將其旋轉180度，或者直接進行水平與垂直翻轉：

E安全獨家報道

現在我們前往電子前沿基金會的頁面並對該圖樣進行手動點擊，這個工具就能夠對文檔中的黃點的含義進行解密：

本文系E安全獨家報道

由此產生的結果如下所示：

本文系E安全獨家編譯報道

The Intercept所泄露的文件來自54型號印表機，其序列號為29535218。該文件列印時間是2017年5月9日6：20。NSA幾乎肯定保留了當時印表機使用者的操作記錄。

這種作法類似於美國著名黑客、殺毒軟體McAfee的創始人約翰·麥克菲此前在發布的JPEG照片當中隱藏EXIF

GPS坐標。另外，還有人會在圖像當中添加一個經過PDF編輯的黑條，旨在給文件中隱藏更多深層內容以供有心之人閱讀，《紐約時報》就曾利用這種辦法處理一份斯諾登文檔。維基解密也在公布去年美國總統大選相關內幕時提到，人們在打開微軟Office文檔後可能會不慎保存，而這也有可能留下相關線索。

言歸正傳，要解決NSA設下的這一黃點陷阱，大家可以使用黑白印表機、黑白掃描儀或者利用圖像編輯軟體（如常用的Potoshop）將內容轉換為黑白形式。

對於政府而言，印表機擁有兩大極為重要的功能特性：

其一，它們能夠識別到貨幣之上各類肉眼幾乎無法辨認的模式，因此必須確保列印設備無法被用於偽造貨幣，如下圖中的20美元所示：

本文系E安全獨家報道

第二在於，列印設備在進行列印時，能夠在材料中包含這些幾乎不可見的點，從而實現文檔追蹤。

關於泄露的其它列印文件，又發生了些什麼？

國家安全專家瑪茜·威爾勒就去年泄露的那些DIOG文檔提出了這樣的問題。這些文件以印刷品方式泄露出去，並被再次掃描並發布於The Intercept當中。面對這樣的情況，這些文件中是否存在令人討厭的黃點以追蹤其來源？如果沒有，理由又是什麼？

首先來明確答案，這些DIOG文檔的掃描圖像並不存在追蹤用黃點。目前具體理由尚不清楚。不過存在以下可能：

• 由於掃描儀沒能正確識別出這些黃點，因為這裡使用的掃描儀在質量上較俄羅斯黑客文檔掃描所用的設備相差甚遠；

• 印表機可能未將這些點正確列印出來，事實上，儘管大部分列印設備能夠正確列印此類追蹤點，但也有部分列印產品無法實現這樣的效果；

• 有人利用工具將這些追蹤點從掃描圖像中刻意剔除了，畢竟這類工具的開發難度其實並不高。

掃描儀質量

下圖所示為該列印文檔。文檔當中充滿了空白部分，因此按道理我們應該能夠較為輕鬆地找到追蹤黃點，但實際情況並非如此。通過對圖像進行反轉，我們從DIOG文檔的第一頁中得出了以下內容：

E安全獨家編譯報道

將其與俄羅斯黑客文檔的第一頁進行比較，可以看到經過反轉，後者明確顯示出藍點：

本文系E安全獨家編譯報道

沒有對比就沒有傷害，俄羅斯文檔的掃描效果明顯要好得多。另外，我們能夠從俄羅斯掃描文件的背景當中輕鬆看到藍點等細小圖樣。相比之下，DIOG的掃描效果要差得多，以至於無法從背景中看到多少細節。

更近距離進行觀察，我們不僅會發現其缺少細節，亦能看到掃描圖像中存在條紋，這是掃描儀存在質量缺陷的顯著跡象。

本文E安全獨家編譯報道

因此，我們可以基本斷言掃描儀並沒能從原始文件當中正確識別到追蹤點。

並非全部印表機都能列印「黃點」

根據電子前沿基金會公布的一份頁面顯示，他們記錄下了哪些印表機能夠識別並列印出這些追蹤點。三星與Okidata印表機就不具備列印追蹤點這個功能，而幾乎其它所有印表機則都擁有這種能力。

所以，列印上述文件的人要麼非常幸運，要麼就是其通過仔細挑選專門選取了無法列印出追蹤點的機型。

Reality
Leigh Winner列印出的這些泄露文件之所以被及時發現，是因為NSA也許已經對U盤進行了鎖定以實現安全保障。這意味著將U盤藏在魔方里的辦法（正如斯諾登影片中所示）已經無法順利迴避金屬探測器的檢測。

本文系E安全獨家編譯報道

但從另一種可能性角度出發，FBI可能並沒有執行如此嚴格的控制手段，因此人們仍然能夠從其基礎設施當中提取數字文件，並在其它地方列印出來。

結論

這些泄露的DIOG文檔本應存在可見的追蹤標記點，但實際情況並非如此，這證明泄露文檔的「臨時工」很清楚這種防範手段，或者其運氣真的不錯。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！