jueves, 8 de junio de 2017

Durante décadas, las impresoras láser a color han rastreado invisiblemente a sus usuarios al incluir patrones de pequeños puntos amarillos en cada página de salida. Este seguimiento fue conocido por las personas que trabajaron en la industria de la imagen y fue intermitentemente revelado por algunos fabricantes en su documentación. Pero incluso hoy en día, la mayoría de los usuarios finales no son conscientes de ello.

Esta semana The Intercept publicó un artículo en el que se habla de cómo las elecciones del año pasado en Estados Unidos sufrieron ciberataques por parte de la inteligencia militar rusa y ahora el FBI ha detenido a "Reality Leigh Winner" (25) por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente. Para encontrarla la NSA ha estudiado (entre otras cosas) un rastro invisible que dejan las impresoras al imprimir documentos.

El problema es que la mayoría de las nuevas impresoras imprimen casi de forma invisible unos puntos amarillos que rastrean exactamente cuándo y dónde se imprime cualquier documento: los "Tracking Dots". Esos puntos indican el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Debido a que la NSA registra todos los trabajos de impresión, puede utilizar esto para hacer coincidir exactamente con quién imprimió el documento.
La orden de arresto contra contratista muestra cómo la localizaron porque había impreso los documentos y los había enviado a The Intercept. El documento publicado por The Intercept no es el archivo PDF original, sino un PDF que contiene las imágenes de la versión impresa que fue escaneada más tarde.

En el documento filtrado, esos puntos indicaban el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Con esos datos la NSA pudo estudiar qué empleados tuvieron acceso a la impresora en esa fecha. Seis personas que trabajaban para la agencia gubernamental habían utilizado esa impresora, y los interrogatorios acabaron dando con Winner como la causante de esa filtración.

Winner fue arrestada el sábado pasado, justo antes de que el artículo apareciera en The Intercept este lunes. La responsable de la filtración tenía acceso a documentos confidenciales como miembro en activo de la Fuerza Aérea, y llevaba trabajando desde febrero de este año en las instalaciones de Pluribus International en Georgia. Ahora se enfrenta a una acusación por la recolección transmisión o pérdida de documentos de defensa.

Según documentos clasificados publicados y obtenidos de la NSA, Rusia intentó hackear a al menos un proveedor de software de las máquinas de votación utilizadas en las elecciones de Estados Unidos y también realizó más de cien ataques de spear-phishing (phishing orientado a conseguir acceso a datos confidenciales) dirigidos a funcionarios involucrados en el proceso electoral.

En Errata Security de Robert Graham lo explican y detallan cómo funciona ese sistema que no todo el mundo conoce y que permite "analizar" un documento impreso para descubrir con qué tipo de impresora se ha imprimido. La mayoría de las impresoras modernas hacen uso de los llamados "Tracking Dots", una serie de puntos que se pueden descubrir si uno hace una ligera edición del documento e invierte los colores.

Se puede descargar el documento del artículo original aquí:
A continuación, puede abrirlo en un visor de PDF, realizar zoom en algunos espacios en blanco en el documento, y tomar una captura de pantalla de este. En la imagen hay puntos amarillos, pero apenas se pueden ver. Ahora se puede usar la opción "Invertir colores" en la imagen, para obtener algo como esto.
Esta imagen está al revés, así que tenemos que girarlo 180 grados, o flip-horizontal y flip-vertical:

Ahora se puede decodificar desde el sitio de de Electronic Frontier Foundation (EFF).

En los últimos dos años, la Electronic Frontier Foundation (EFF) ha examinado este mecanismo de seguimiento, un sistema de interés ejemplar debido a la forma no transparente en que los gobiernos parecen haber persuadido a las empresas de tecnología a cambiar su diseño de producto sin ninguna base jurídica específica y, con la ayuda de muchos voluntarios, hemos aprendido a leer algo de la información oculta.

Esta investigación está en curso, pero ya sabemos cómo hacer que los puntos sean fácilmente visibles (con luces LED, microscopios o escáneres de color ordinarios), y sabemos cómo leer los datos incorporados por varios fabricantes importantes de impresoras. Normalmente, una impresora marcará sus páginas de salida con el número de serie de la impresora y la fecha y hora en que se imprimió la página (si la impresora tiene su propio reloj incorporado). Esta información facilita asociar la salida de impresión en color con individuos, ya que podría correlacionarse con registros de tarjetas de crédito, registros de servidores, imágenes de cámaras de vigilancia y similares.

Esto produce el siguiente resultado:
El documento filtrado por The ntercept fue de una impresora con el número de modelo 54, número de serie 29535218. El documento fue impreso el 9 de mayo de 2017 a las 6:20. La NSA casi seguramente tiene un registro de quién utilizó la impresora en ese momento.

La situación es similar a cómo Vice descubrió la ubicación de John McAfee, publicando fotografías JPEG de él con las coordenadas EXIF GPS metadatos aún ocultas en el archivo.

Es importante tener en cuenta que el FBI y la NSA no necesitaban saber que las páginas habían sido impresas. Todo el material clasificado como "top secret" (la máxima clasificación de seguridad que un documento puede recibir) se almacena en una intranet gubernamental masiva conocida como Joint Worldwide Intelligence Communications System, o JWICS. Este sistema registra a todos los que acceden a documentos secretos, así como lo que hacen con ellos. Incluso si The Intercept hubiera verificado el documento sin alertar a la NSA, y después parafraseado el informe entero, después de que publicara su historia, el gobierno se habría movido rápidamente para determinar quién había accedido al documento y Winner, eventualmente, estaría bajo el el mismo escrutinio.

Para solucionar este problema de punto amarillo, utilice una impresora en blanco y negro, un escáner en blanco y negro o bien, lo puede convertir en blanco y negro con un editor de imágenes.

Fuentes: | Erratasec | The Intercept

Via: blog.segu-info.com.ar