Sikkerhedsfirma: Gule prikker i PDF afslører NSA-whistleblower

Sporingsinformation i indscannede dokumenter kan have kompromitteret identiteten på NSA-whistleblower.

Gule prikker i indscannede dokumenter kan have gjort det let for NSA at identificere Reality Leigh Winner som personen, der har lækket en fortrolig rapport om russiske forsøg på at påvirke det amerikanske valg til mediet The Intercept.

Det fremgår af et blogindlæg fra sikkerhedsvirksomheden Errata Security.

Som Version2 tidligere i dag har fortalt, så er en NSA-rapport blevet lækket til The Intercept, som herefter har offentliggjort indholdet. Det er sket i form af en PDF, som ifølge Errata Security har bestået af indscannede sider fra den lækkede rapport.

Som nogen vil vide, så indlejrer en hel del nye printere information i udskrevne dokumenter, der kan fortælle hvor og hvornår papiret er printet.

Netop sådan en form for sporingsinformation er umiddelbart at finde i den lækkede NSA-rapport, som The Intercept har offentliggjort.

Errata Security gennemgår i blogindlægget, hvordan prikkerne kan aflæses. Det foregår ved at zoome ind på PDF'en og tage et screenshot af et tilsyneladende hvidt område.

Herefter indlæses screenshot’et i et billedbehandlingsprogram, hvor farverne inverteres, så de næsten usynlige, gule prikker bliver synlige. Dernæst skal billedet lige roteres 180 grader.

Værktøj fra EFF

Nu kan prikkerne plottes ind i et værktøj, som Electronic Frontier Foundation (EFF) står bag. Værktøjet vender så tilbage med oplysninger om, at printeren, der er brugt i det konkrete tilfælde, har et serienummer, der enten er 29535218 eller 535218. Desuden fremkommer det, at udskriften er foretaget 9. maj 2017 klokken 06:20.

Som EFF bemærker, er der tale om reverse-engineering af prik-oplysningerne, og der kan derfor være nogen unøjagtighed forbundet med oplysningerne.

Hvorom alting er, så bemærker Errata Security, at NSA helt sikkert har fortegnelser over, hvem der har anvendt den pågældende printer på et givent tidspunkt. Og det kan derfor have gjort det let at finde frem til Reality Leigh Winner.

Det hører med til historien, at Errata Security's indlæg bærer titlen 'How The Intercept Outed Reality Winner', og at virksomheden dermed entydigt giver udtryk for, at det var de gule prikker offentliggjort af The Intercept i forbindelse med rapporten, som afslørede Reality Leigh Winner.

Flere brugere på Reddit bemærker i den forbindelse, at kun seks personer har printet dokumentet. Og derfor har det ikke nødvendigvis været særlig svært at identificere, hvor lækket stammer fra - også uden de gule prikker - er brugernes pointe.

Version2 har efterprøvet teknikken i Errata Security-indlægget. Her fik vi godt nok en fejl ved et paritetscheck af en af prikkerne, formentlig som følge af en fejlindtastning. EFF-værktøjet korrigerede dog, og vi endte med samme output som Errata Security.

Sikkerhedsvirksomhedens eksempel tager afsæt i et MacOS-system og Paintbrush, Version2 testede på Ubuntu med billedbehandlingsprogrammet Pinta.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Tom Paamand

Og scan dem elektronisk retur i dårligere gråtoneudgaver på en "ren" pc. Så er der fortsat fx bevidst indsatte småord i målrettede enkeltudgaver at bekymre sig om - så lad dog være med at fremvise hele PDFen som dokumentation. Endelig har der i dette tilfælde været så få modtagere, at The Intercept burde have nøjes med at referere fra dokumentet, som om de blot havde hørt om det. Rigtig dumme begynderfejl fra journalister, der burde være langt bedre til at beskytte kilder.

  • 7
  • 0
René Nielsen

Rigtig dumme begynderfejl fra journalister, der burde være langt bedre til at beskytte kilder.


Du har ret, men når det er sagt, så er det forhåbentlig en meget alvorlig en gangs fejl .

På kort sigt fik NSA en whistleblower. På længere sigt betyder det ikke noget, da teknikker med f.eks. gule prikker gør at ingen nogenlunde seriøse journalister aldrig vil bringe nogen som helst trykt dokumentation fordi man ikke kan være sikker på anonymiteten.

  • 0
  • 0
Ole Sanvig

Hvorfor i det hele taget i gråtoner, hvis man vil trykke? Sort/hvid i lidt dårlig dpi vil udelukke muligheden for at trykke indlejret information på den her måde. Så længe det kan læses, må det være godt nok. Og det indregner ikke muligheden for sproglige, grammatiske og tegnsætningsmæssige variationer i de forskellige udgaver af dokumenterne.

  • 0
  • 0
Jakob Møllerhøj Journalist

Hvis figuren er fra EFFs program, så må det da være en fejl i indscanningsproceduren. Søjle nummer 2 har lige paritet, alle de øvrige ulige.

Godt set. Det er fra Version2's manuelle indplotning i EFF's program, jf. »fejlindtastning«. Det kan meget vel have været foranlediget af, at undertegnede har fejllæst placeringen af en af de meget lidt synlige prikker. Jakob - V2

  • 3
  • 0
Karsten Nyblad

..nok lettere bare at købe en brugt én i den blå avis...


Hvis printeren kan spores tllbage til sælger, dutter det ikke. Sælger vil sikkert kunne genkende dig, og så er det bare at vise sælger en stak billeder. så du skal enten købe en, du er sikker på er stjålet, eller finde en til at købe den for dig. Husk også at bruge handsker, mens du betjener printeren. Når du er færdig, så put den i brændeovnen og smid asken ud.

  • 0
  • 0
Ditlev Petersen

Husk også at bruge handsker, mens du betjener printeren. Når du er færdig, så put den i brændeovnen og smid asken ud.


Nu vi er i gang med de gode råd, så skæres en pakke papir (typisk 200 eller 500 ark) under et i en skæremaskine. Kniven har ofte små hak i æggen, så alle ark i samme stabel har tilsvarende hak i kanten, forskudt på skrå ned over stakken. Det er intet fældende bevis, da mange andre papirstakke skåret på samme maskine inden for de samme timer/dage (hvis de lå samme sted i skæremskinen) kan have identiske mærker. Men hvis man har en pakke papir med de samme mærker som det mistænkelige ark, så bliver man sikkert kigget nærmere på. Så pakken med papir skal også i ovnen.

Konvolutter kan have tilsvarende forhold, men man kan købe en lille pakke. Frimærker, der rives af et ark, giver også en identificerbar kant til resten af arket. Slik aldrig på frimærker (de to sidste er så ikke længere et problem her i landet). Osv. osv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize