Как несколько точек на распечатке выдали информатора журналистов в АНБ

Ночью понедельника, 5 июня, американское издание The Intercept опубликовало материал о том, как Генеральное разведуправление РФ участвовало во взломе избирательной системы США накануне президентских выборов 2016 году. Публикация издания основывалась на документе-расследовании Агентства нацбезопасности США. Его The Intercept предоставил информатор, связанный с АНБ. Уже через несколько часов после публикации информатор был задержан ФБР. Выявить его могли благодаря паттерну точек на распечатке секретного документа.

После того, как журналисты The Intercept получили документ от источника, они решили проверить его подлинность, обратившись непосредственно в АНБ. В агентство передали копию распечатки. Сделав это, журналисты фактически навели правительство на информатора. На сканированной копии имелись следы изгибов бумаги (значит оно было распечатано и отправлено обычной почтой) и закодированные водяные знаки. Они указывали когда и на каком принтере была сделана распечатка.

Паттерн из точек, на заглавной странице документа АНБ. Изображение: ArsTechnica

Водянные знаки оставил при печати принтер Xerox Docucolor, пишет ArsTechnica. Печать специальных паттернов, содержащих мета-данные о устройстве и времени печати, — распространенная в принтерах функция. Исследователи Electronic Frontier Foundation создали инструмент для дешифровки паттернов принтеров Docucolor. С помощью него в ArsTechinca расшифровали водяные знаки на документе, полученном The Intercept и выяснили, что он был напечатан 9 мая, в 6:20 утра на принтере с серийными номером 535218 или 29535218.

Если пропустить паттерн через инструмент EFF, можно получить следующие мета-данные

Вооруженное такими доказательствами, АНБ смогли бы быстро определить, кто распечатал документ, проверив логи принтеров. Расследователи установили, что информатором The Intercept выступила 25-летняя Реалити Виннер, работавшая на Pluribis International Corporation. Компания предоставляет услуги по аналитике, переводу, и разработке кибероружия для разведывательного сообщества. 

В рамках расследования «правительственное агентство определило, что шестеро людей распечатывали [опубликованный в СМИ] отчет. Виннер была одной из них. Дальнейшая проверка их компьютеров показала, что у Виннер был контакт со СМИ через email», — говорится в мотивации агента ФБР для выдачи ордера на арест. Во время задержания Виннер ФБР, она призналась в том, что была источником The Intercept.

Напомним, ранее исследователи обнаружили в ноутбуках HP, выпускавшихся с 2015 года, кейлоггеров, записывавший все нажатия клавиш пользователя. В компании обновили драйвера, чтобы устранить уязвимость.