Коварные жёлтые точки: как АНБ вычислило информатора с помощью принтера

Как известно, всё новое — хорошо забытое старое. И разразившийся на днях очередной скандал с утечкой информации из одной из секретнейших спецслужб этому правилу абсолютно удовлетворяет. Но вместе с тем ставит вопросы, на которые важно дать ответ, чтобы подобных ошибок больше не совершать.

А начиналось всё типично. В первых числах июня интернет-журнал The Intercept (авторитетный ресурс, созданный три года назад под материалы Сноудена и продолжающий в том же духе), опубликовал подборку конфиденциальных документов АНБ, посвящённых влиянию РоSSии на последние президентские выборы в США. Если коротко, смысл их сводится к изложению мнения одного эксперта: мол, роSSийские военные спецы, взломав софт, обслуживавши избирательные участки, пытались внедрить в машины для голосования некий вирус.

Верить этому или нет — решать вам, а сейчас речь о другом. Личность информатора, естественно, известна не была. Однако менее чем сутки спустя после публикации, американский Минюст предъявил обвинение некой Реалити Лей Винер, 25 лет, работающей в одной из нанятых АНБ сторонних компаний. Ей наверняка предстоит провести за решёткой значительную часть жизни. Но как удалось выйти на неё так быстро?

«Помогла» серия ошибок, допущенных как самим информатором, так и изданием, материалы опубликовавшим. Но чисто технически, идентифицировать человека, допустившего утечку, помогли почти незаметные глазу цветные точки, рассыпанные по украденным листам…

Оригинал.

Получив сканированные документы, авторы статьи в The Intercept отправили часть их в АНБ (чтобы подтвердить подлинность), а потом и опубликовали. При этом они не внесли в снимки практически никаких изменений. Так что было понятно, что оригиналы напечатаны на цветном принтере. Тонкость, о которой авторы почему-то не подумали, состояла в том, что те самые почти невидимые точки скрывали сведения о серийном номере принтера и дате печати. Так что круг подозреваемых сузили до нескольких человек в первые же сутки, а там уже вышли и на Винер — которая тоже допустила промашку, ведя переписку с The Intercept с рабочего компьютера.

Но что же это за точки такие? Глазу они, повторюсь, практически не видны из-за малых размеров и слабого контраста (жёлтое на белом фоне). Но их можно сделать видимыми в графическом редакторе — оставив при просмотре включенным лишь синий канал и увеличив изображение (я сделал именно это, готовя иллюстрации к статье). Проделав эти манипуляции, вы увидите повторяющуюся матрицу из точек (15х8), явно искусственного происхождения.

Красный и зелёный каналы выключены.

Уверен, для большинства из вас это не новость — просто вы забыли, что когда-то о таком уже слышали (в этой колонке я писал о них четыре года назад). Оказывается, цветные лазерные принтеры давно метят печатаемые документы этими знаками. Журналисты обнаружили их ещё двенадцать лет назад — и тогда же выяснили, что хоть никто производителей принтеров не принуждал, все крупные компании сумели договориться об общем стандарте кодирования и внедрили «жёлтые точки» в свои печатающие устройства. Вероятная причина: борьба с фальшивомонетчиками, но конспирологи этим, конечно, не удовлетворены (тем более, что есть версия, что инициатором были спецслужбы США).

Примерно тогда же силами Electronic Frontier Foundation была восстановлена и схема кодирования: смысл большинства полей установлен и, в общем, сводится к уже названным серийному номеру принтера и точной дате печати, плюс биту чётности для уменьшения ошибок. Ради интереса можете проверить свой принтер: скорее всего он тоже метит печатаемые листы — собственно, так ведут себя модели всех популярных вендоров.

И это заставляет задаться несколькими вопросами и сделать неприятный вывод. Вопрос первый: почему уважаемый The Intercept проморгал проблему? Профессионалы должны были знать о «жёлтых точках» и вычистить их из документов прежде, чем публиковать или отдавать в третьи руки. Объяснение тут может быть только одно: они попросту забыли! Когда стеганографический цветовой код был впервые обнаружен, о нём говорилось много, но, видимо потому, что «отучить» принтеры метить бумагу оказалось невозможно, интерес публики к «точкам» поугас. За что теперь и расплачиваемся.

Отсюда вывод: совсем не всё равно, через кого публиковать вынесенные без спросу секретные материалы. Возможно, доверься Винер WikiLeaks, была бы сейчас на свободе.

То же под увеличением.

Вопрос второй: как избавиться от точек? Если вы печатаете на цветном лазернике, разумно предположить, что точки на бумаге есть. Останутся они и на сканах: в TIFF, PNG, PDF, и даже, вероятно, в JPG. Следовательно, чтобы удалить их, потребуется подвергнуть оригинальную распечатку некоторой обработке. Вариантов за дюжину лет предложено несколько. Проще всего преобразовать сканированный документ из цветного в чёрно-белый — тогда точки сотрутся из-за малого контраста. Можно попробовать сделать их видимыми, отключив красный и зелёный каналы, оставив только синий, и затереть вручную. Либо сохранить изображение в плохого качества JPG. Но надёжней всего распознать напечатанный текст и опубликовать лишь его.

Однако не забывайте — и это третье по счёту и самое важное соображение из всех! — о чём говорят специалисты по кибербезопасности: если вы затёрли жёлтые точки, либо ваш принтер их не оставляет, это ещё не значит, что в документе нет другой, спрятанной методами стеганографии, информации. Методов, позволяющих спрятать данные на видном месте незаметно для глаза, множество. Это могут быть, например, чёрные точки, будто бы случайной пылью окружающие текст. Могут быть особенности начертания символов или даже порядок слов в предложении.

Так что надёжней всего, если только вы не специалист по кибербезопасности или мечтаете о судьбе Сноудена, Ассанжа, Винер, держать язык за зубами…