Sikkerhedsfirma: Gule prikker i PDF afslører NSA-whistleblower

12 kommentarer.  Hop til debatten
Sporingsinformation i indscannede dokumenter kan have kompromitteret identiteten på NSA-whistleblower.
person
Jakob Møllerhøj
journalist
6. juni 2017 kl. 14:40
errorÆldre end 30 dage
person
Jakob Møllerhøj
journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Gule prikker i indscannede dokumenter kan have gjort det let for NSA at identificere Reality Leigh Winner som personen, der har lækket en fortrolig rapport om russiske forsøg på at påvirke det amerikanske valg til mediet The Intercept.

Det fremgår af et blogindlæg fra sikkerhedsvirksomheden Errata Security.

Som Version2 tidligere i dag har fortalt, så er en NSA-rapport blevet lækket til The Intercept, som herefter har offentliggjort indholdet. Det er sket i form af en PDF, som ifølge Errata Security har bestået af indscannede sider fra den lækkede rapport.

Som nogen vil vide, så indlejrer en hel del nye printere information i udskrevne dokumenter, der kan fortælle hvor og hvornår papiret er printet.

Artiklen fortsætter efter annoncen

Netop sådan en form for sporingsinformation er umiddelbart at finde i den lækkede NSA-rapport, som The Intercept har offentliggjort.

Errata Security gennemgår i blogindlægget, hvordan prikkerne kan aflæses. Det foregår ved at zoome ind på PDF'en og tage et screenshot af et tilsyneladende hvidt område.

Herefter indlæses screenshot’et i et billedbehandlingsprogram, hvor farverne inverteres, så de næsten usynlige, gule prikker bliver synlige. Dernæst skal billedet lige roteres 180 grader.

Værktøj fra EFF

Nu kan prikkerne plottes ind i et værktøj, som Electronic Frontier Foundation (EFF) står bag. Værktøjet vender så tilbage med oplysninger om, at printeren, der er brugt i det konkrete tilfælde, har et serienummer, der enten er 29535218 eller 535218. Desuden fremkommer det, at udskriften er foretaget 9. maj 2017 klokken 06:20.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Som EFF bemærker, er der tale om reverse-engineering af prik-oplysningerne, og der kan derfor være nogen unøjagtighed forbundet med oplysningerne.

Hvorom alting er, så bemærker Errata Security, at NSA helt sikkert har fortegnelser over, hvem der har anvendt den pågældende printer på et givent tidspunkt. Og det kan derfor have gjort det let at finde frem til Reality Leigh Winner.

Det hører med til historien, at Errata Security's indlæg bærer titlen 'How The Intercept Outed Reality Winner', og at virksomheden dermed entydigt giver udtryk for, at det var de gule prikker offentliggjort af The Intercept i forbindelse med rapporten, som afslørede Reality Leigh Winner.

Flere brugere på Reddit bemærker i den forbindelse, at kun seks personer har printet dokumentet. Og derfor har det ikke nødvendigvis været særlig svært at identificere, hvor lækket stammer fra - også uden de gule prikker - er brugernes pointe.

Version2 har efterprøvet teknikken i Errata Security-indlægget. Her fik vi godt nok en fejl ved et paritetscheck af en af prikkerne, formentlig som følge af en fejlindtastning. EFF-værktøjet korrigerede dog, og vi endte med samme output som Errata Security.

Sikkerhedsvirksomhedens eksempel tager afsæt i et MacOS-system og Paintbrush, Version2 testede på Ubuntu med billedbehandlingsprogrammet Pinta.

12 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
Kjeld Flarup Christensen
8. juni 2017 kl. 22:25

Der må da findes værktøjer som kan fjerne den slags spor, i et indscannet PDF dokument. Prikker vandmærker o.s.v. Det vil selvfølgelig være katten efter musen, men doable.

  • more_vert
    • insert_linkKopier link
11
Ditlev Petersen
8. juni 2017 kl. 13:28

Husk også at bruge handsker, mens du betjener printeren. Når du er færdig, så put den i brændeovnen og smid asken ud.

Nu vi er i gang med de gode råd, så skæres en pakke papir (typisk 200 eller 500 ark) under et i en skæremaskine. Kniven har ofte små hak i æggen, så alle ark i samme stabel har tilsvarende hak i kanten, forskudt på skrå ned over stakken. Det er intet fældende bevis, da mange andre papirstakke skåret på samme maskine inden for de samme timer/dage (hvis de lå samme sted i skæremskinen) kan have identiske mærker. Men hvis man har en pakke papir med de samme mærker som det mistænkelige ark, så bliver man sikkert kigget nærmere på. Så pakken med papir skal også i ovnen.

Konvolutter kan have tilsvarende forhold, men man kan købe en lille pakke. Frimærker, der rives af et ark, giver også en identificerbar kant til resten af arket. Slik aldrig på frimærker (de to sidste er så ikke længere et problem her i landet). Osv. osv.

  • more_vert
    • insert_linkKopier link
10
Karsten Nyblad
8. juni 2017 kl. 10:13

..nok lettere bare at købe en brugt én i den blå avis...

Hvis printeren kan spores tllbage til sælger, dutter det ikke. Sælger vil sikkert kunne genkende dig, og så er det bare at vise sælger en stak billeder. så du skal enten købe en, du er sikker på er stjålet, eller finde en til at købe den for dig. Husk også at bruge handsker, mens du betjener printeren. Når du er færdig, så put den i brændeovnen og smid asken ud.

  • more_vert
    • insert_linkKopier link
5
Lars Skovlund
6. juni 2017 kl. 22:36

Hvis figuren er fra EFFs program, så må det da være en fejl i indscanningsproceduren. Søjle nummer 2 har lige paritet, alle de øvrige ulige.

  • more_vert
    • insert_linkKopier link
4
Kim Henriksen
6. juni 2017 kl. 18:00

Hvis man skal lege whistleblower og printe hemmelige dokumenter, ville det så være en god ide at bygge sin egen printer med dele man kan fremskaffe i en legetøjsbutik nærmest hele verden over ?

  • more_vert
    • insert_linkKopier link
3
Ole Sanvig
6. juni 2017 kl. 17:25

Hvorfor i det hele taget i gråtoner, hvis man vil trykke? Sort/hvid i lidt dårlig dpi vil udelukke muligheden for at trykke indlejret information på den her måde. Så længe det kan læses, må det være godt nok. Og det indregner ikke muligheden for sproglige, grammatiske og tegnsætningsmæssige variationer i de forskellige udgaver af dokumenterne.

  • more_vert
    • insert_linkKopier link
2
René Nielsen
6. juni 2017 kl. 16:01

Rigtig dumme begynderfejl fra journalister, der burde være langt bedre til at beskytte kilder.

Du har ret, men når det er sagt, så er det forhåbentlig en meget alvorlig en gangs fejl .

På kort sigt fik NSA en whistleblower. På længere sigt betyder det ikke noget, da teknikker med f.eks. gule prikker gør at ingen nogenlunde seriøse journalister aldrig vil bringe nogen som helst trykt dokumentation fordi man ikke kan være sikker på anonymiteten.

  • more_vert
    • insert_linkKopier link
1
Tom Paamand
6. juni 2017 kl. 14:56

Og scan dem elektronisk retur i dårligere gråtoneudgaver på en "ren" pc. Så er der fortsat fx bevidst indsatte småord i målrettede enkeltudgaver at bekymre sig om - så lad dog være med at fremvise hele PDFen som dokumentation. Endelig har der i dette tilfælde været så få modtagere, at The Intercept burde have nøjes med at referere fra dokumentet, som om de blot havde hørt om det. Rigtig dumme begynderfejl fra journalister, der burde være langt bedre til at beskytte kilder.

  • more_vert
    • insert_linkKopier link