|
【PConline 深度报道】最近大家一直在聊打印安全的问题,对于普通家庭用户来说,没啥好怕的,平时也就打印打印孩子的试卷,难道黑客家的娃也想玩题海战术吗?可是企业用户就没这么淡定了,虽然无纸化社会喊了很多年,但是合同、标书、提案,仍然需要打印出来,装订好,签字盖章才能生效。别的咱就不说了,就拿招标来说,那个紧张呀,毕竟大几千万的工程或者项目,标书的袋口都是要封蜡印章,哪怕泄露出去几个数字,都有可能直接导致功亏一篑。
这几天发生了一件什么事让很多从业人员紧张呢?6 月初,美国司法部宣布FBI逮捕了美国国安局(NSA)承包商的一位名叫Reality Leigh Winner的雇员,她被指控对外泄露了某些机密文件。相关的一系列调查显示,这些文件是用NSA的打印机打印并携带出办公室,然后将扫描的副本邮寄给了一家媒体。那么NSA是怎么发现这件事呢? 他们是通过对文件副本中隐藏的黄色圆点追踪到了嫌疑人。厉害了我的哥,打印机还能干这么牛掰的事情? 事实上,这并不是什么新的技术,在Xerox施乐公司推出第一台彩色激光打印机时,这项技术就同时出现了。其核心是在打印的同时,根据之前设置的内容,在文件上嵌入几乎看不见的黄点,而通过这些黄点可以追踪到文件是在何时及何地所打印的。如果还不理解,通过下面一系列的图片,你会知道这是怎么回事。 这是一份乍看非常正常的PDF文档,只有非常仔细看,才会发现在空白区域有不规则的黄色小点。也许你会认为这是打印机的问题,不会多在意,殊不知这是一组包含重要信息的密码。
使用图形软件中的“反转颜色”功能,就能让这些黄色小点看起来更加清晰。黄色小点被提取出来之后,使用对应的工具对图像进行解码。就像摩尔密码一样,黄色小点最终能变翻译成我们想知道的信息。由于NSA在其打印机上记录了所有的打印作业,所以很快就能找到嫌疑人。 让人有些惊讶的是,根据美国电子前哨基金会EFF的报道,包括三星、兄弟、爱普生、佳能、富士、惠普、京瓷、利盟等几乎所有主流彩色打印机厂商都与美国政府签订了秘密协议,确保其打印机输出文件在数字取证时具备可回溯性。难怪这几年在政府重要部门的打印机采购中,某国产自主品牌打印机每次都能拿到大单。目前Github上已经放出去除跟踪点阵的开源工具。 实际上国内有很多企业也在干这么恶心的事情,只是大家不知道罢了。 早在今年年初的时候,就有微博用户@次等水货 发现,微博官方开始在图片背景强制增加黄斑LOGO平铺水印。来感受一下两张照片的不同,左边是原图,右边是上传到新浪微博后的截图,如果把亮度和对比度调整之后,就能明显发现上面多了很多条纹。仔细放大一看,居然是新浪微博的LOGO。
下面这张是局部经过后期特别处理的,看的会更清楚一些。
新浪微博这么搞全屏水印显然是想对照片进行标记,方便自己去识别,显然不是从版权保护去考虑的,而是出于某种商业目的,这年头有了大数据,脑洞必须往大了想。 就在一个月前,魅族也因为自私在手机截屏操作中加入全屏水印,闹得沸沸扬扬。 当时有用户在使用魅族手机的时候,发现自己在网上上发布的手机截图,会出现奇怪的色块。开始也没觉得怎么样,后来越来越奇怪。
于是经过一些图像处理,最终发现这些色块居然组成了一个二维码(中间部分被遮挡,防止隐私外泄)。
有专业认识经过分析,结果发现,二维码被扫描之后生成的一组数据中,前四串字符是 IP 地址,第五串字符是IMSI码,类似IMEI,用于标识SIM卡,第六串字符是魅族设备的序列号,最后一串字符是魅族设备的型号。最终魅族方面的解释是内测版和稳定版使用同一套代码,在内测结束后未及时移除该功能,目前已经删除。当时之所以这么做,在水印中包含有手机SN、IMEI等信息,是为了防止内测版本泄漏,方便追溯到泄露者,加入IP是为了区分泄漏机器处于公司内网还是外网。可是这样做真的妥当吗? 这让主页君联想到很多年,有传言说如果复印人民币,机器可以自动识别而不进行复印。这是真的吗?未必是这样。
在防伪技术并不发达的年代,各国央行都在努力的防范犯罪分子用复印机制造假钞。复印机如何识别钞票和普通文档?如果手边有百元钞票,其实上面就可以看到防复印标记——欧姆龙环,叫这个名字是因为它由日本欧姆龙公司发明的,在欧洲也叫EURion星座图案,这则是因为五个圆环呈“猎户座”方式排列。这一特征在2005版的人民币上首次出现,之前版本的人民币是没有的。最早于1990年出现在50马克的纸币上。
关于如何在扫描的过程中判断是欧姆环,技术资料很少,我们只知道这套Counterfeit Deterrence System(即CDS)系统是由Central Bank Counterfeit Deterrence Group (中央银行伪造防治组)开发的。在生产的彩色复印机的过程中,预设了对这种图案的识别(2002年第一次发现彩色复印机因为识别欧姆龙环而不能复印钞票,当时是一台施乐复印机),一旦发现含有这种星座图案出现,复印机会自动进行输出处理,使输出纸币产生严重的色彩失真。据了解,还有一些图像处理软件对含有欧姆龙环的图片编辑与保存无效。
为此我们找了一台高端复印机和一台低端一体机做了测试,结果会让大家意外。无论低端一体机,还是高端彩色复印机都可以复印人民币,倒是高端的彩色复印机没办法复印美元,输出的打印纸上会出现一个网址www.rulesforuse.org。这个网站就是上面我们提到的中央银行伪造防治组,也就是CDS系统的开发者,由于人民币并没有加入这个组织,所以......至于为什么低端的一体机可以复印美元,我想可能出于成本控制吧,况且低端机型打印出来的纸币太假了,一眼就能看破。 关于打印设备,眼下有太多我们并不知道的隐藏技术。关于俄罗斯通过黑客攻击操纵美国总统大选的报道自特朗普当选以来就此起彼伏不绝于耳,但是此次爆料事件出现了让人惊悚的一幕,与斯诺登、曼宁等泄密事件不同,NSA在数小时之内就抓住了泄密黑客操纵总统大选事件调查资料的内鬼,立功的也许就是神秘的黄色圆点。
眼下打印机安全真的是不得不关注的问题了。DoS攻击只能说的是小儿科级的东西,充其量就是让你卡一点,较高级别的威胁包括打印内容捕获和篡改,借助打印语言,寻找在打印机上留存的打印内容、捕获到本地或者是修改打印内容中的某个字段,有可能造成机密信息泄露或重大商业损失。这两年在一些香港和欧美的大片中,打印机屡次成为网络被攻入的突破口,攻击者通过打印机直接闯入服务器,接下来想干什么还是随意嘛,保存在服务器上的文件、密码等多种敏感信息信手拈来,这真的不是电影中才有的情节,现实生活中也许还有更猛的料,只是我们不知道罢了。 别的也不多说了,如果真的处于非常敏感的岗位,一定要遵守安全手册上的条款,千万别轻易把打印出来的文件照片在网上传阅,因为对方随时能够知道你是谁?别以为翻了墙就安全了。小天真! |
