miércoles, 7 de junio de 2017



El problema es que la mayoría de las nuevas impresoras imprimen casi de forma invisible amarillo que rastrea exactamente cuándo y dónde se imprimen documentos, cualquier documento. Los llamados "Tracking Dots". Esos puntos indicaban el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Debido a que la NSA registra todos los trabajos de impresión en sus impresoras, puede utilizar esto para coincidir exactamente con quién imprimió el documento.





Esta semana The Intercept publicó un artículo en el que se hablaba de cómo las elecciones del año pasado en Estados Unidos sufrieron ciberataques por parte de la inteligencia militar rusa.

El FBI ha detenido a Reality Leigh Winner por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente.

La responsable de la filtración ha sido arrestada. Una joven de 25 años llamada Reality Leigh Winner ha sido identificada como la supuesta soplona, y para encontrarla la NSA ha estudiado (entre otras cosas) un rastro invisible que dejan las impresoras al imprimir documentos.

Se publicó la orden de arresto de un contratista de la NSA llamado "Reality Winner", mostrando cómo la localizaron porque ella había impreso los documentos y los había enviado a The Intercept. El documento publicado por The Intercept no es el archivo PDF original, sino un PDF que contiene las imágenes de la versión impresa que fue escaneada más tarde.

En el documento filtrado esos puntos indicaban el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Con esos datos la NSA pudo estudiar qué empleados tuvieron acceso a la impresora en esa fecha. Seis personas que trabajaban para la agencia gubernamental habían utilizado esa impresora, y los interrogatorios acabaron dando con Winner como la causante de esa filtración.

Winner fue arrestada el pasado sábado, justo antes de que el artículo apareciera en The Intercept este lunes. La responsable de la filtración tenía acceso a documentos confidenciales como miembro en activo de la Fuerza Aérea, y llevaba trabajando desde febrero de este año en las instalaciones de Pluribus International en Georgia. Ahora se enfrenta a una acusación por la recolección transmisión o pérdida de documentos de defensa.

Según documentos clasificados publicados por The Intercept y obtenidos de la NSA, Rusia intentó hackear a al menos un proveedor de software de las máquinas de votación utilizadas en las elecciones de Estados Unidos y también realizó más de cien ataques de spear-phishing (phishing orientado a conseguir acceso a datos confidenciales) dirigidos a funcionarios involucrados en el proceso electoral.

En  Errata Security de Robert Graham  lo explican y detallan cómo funciona ese sistema que no todo el mundo conoce y que permite "analizar" un documento impreso para descubrir con qué tipo de impresora se ha imprimido. La mayoría de las impresoras modernas hacen uso de los llamados "Tracking Dots", una serie de puntos que se pueden descubrir si uno hace una ligera edición del documento e invierte los colores. 

En este post, se muestra cómo.

Puede descargar el documento del artículo original aquí:

A continuación, puede abrirlo en un visor de PDF, como la aplicación "Vista previa" normal en macOS. Zoom en algunos espacios en blanco en el documento, y tomar una captura de pantalla de este. En macOS, pulse [Comando-Mayús-3] para tomar una captura de pantalla de una ventana. Hay puntos amarillos en esta imagen, pero apenas se pueden ver, especialmente si la pantalla está sucia.



Tenemos que resaltar los puntos amarillos. Abre la captura de pantalla en un editor de imágenes, como el programa "Pincel" integrado en macOS. Ahora utilice la opción "Invertir colores" en la imagen, para obtener algo como esto. Debes ver un tablero de damas de un patrón aproximadamente rectangular en el espacio en blanco.

Está al revés, así que tenemos que girarlo 180 grados, o flip-horizontal y flip-vertical:

Ahora vamos a la página EFF y haga clic manualmente en el patrón para que su herramienta pueda decodificar el significado:


Esto produce el siguiente resultado:

El documento filtrado por The ntercept fue de una impresora con el número de modelo 54, número de serie 29535218.

El documento fue impreso el 9 de mayo de 2017 a las 6:20. La NSA casi seguramente tiene un registro de quién utilizó la impresora en ese momento.

La situación es similar a cómo Vice descubrió la ubicación de John McAfee, publicando fotografías JPEG de él con las coordenadas EXIF GPS aún ocultas en el archivo.

O es la forma en que los archivos PDF a menudo se eliminan añadiendo una barra negra sobre la imagen, dejando el contenido subyacente en el archivo para que la gente pueda leer, como en este accidente de NYTime con un documento de Snowden. O cómo abrir un documento de Microsoft Office, y luego guardarlo accidentalmente, deja las huellas dactilares identificándolo detrás, como sucedió repetidamente con las filtraciones de la elección de Wikileaks. Este tipo de fallos son comunes con fugas.

Para solucionar este problema de punto amarillo, utilice una impresora en blanco y negro, un escáner en blanco y negro o bien, lo puede convertir en blanco y negro con un editor de imágenes.

Las impresoras tienen dos características puestas allí por el gobierno para ser malo para usted. La primera es que reconocen un patrón apenas visible en la moneda, por lo que no se puede utilizar para falsificar dinero, como se muestra en este $ 20 a continuación:




La segunda es que cuando imprimen las cosas, incluyen estos puntos invisibles, por lo que los documentos pueden ser rastreados.

Sí, este código de las fuerzas gubernamentales en nuestras impresoras es una violación de nuestros derechos de la 3 ª Enmienda.

Fuentes:
https://www.xataka.com/seguridad/la-impresora-que-delato-a-la-soplona-asi-es-como-la-nsa-la-pillo
http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html

Via: blog.elhacker.net