Os padrões invisíveis que revelam quando e onde você imprimiu um documento
O site The Intercept publicou nesta segunda-feira (5) um documento vazado da NSA que revela uma possível interferência da Rússia nas eleições dos EUA. Horas depois, o FBI acusou formalmente uma funcionária terceirizada da NSA de vazar essas informações.
Como ela foi descoberta tão rápido? Basta olhar de perto o documento que contém as informações confidenciais.
Rob Graham, da Errata Security, lembra que impressoras coloridas inserem padrões de pontos amarelos quase invisíveis no papel. Isso inclui a data e hora que você realizou a impressão, mais o número de série do dispositivo. E você mesmo pode conferir isso.
Primeiro, baixe o arquivo PDF publicado pelo The Intercept neste link. Abra-o e tire uma captura de tela. Depois, abra um editor de imagens, cole a screenshot e clique na opção “Inverter cores”. Ajuste o contraste, e os padrões vão aparecer:
Para decifrar o padrão, é preciso antes girar a imagem em 180 graus. Depois, você usa esta ferramenta da EFF para inserir manualmente os pontos do padrão:
Há uma longa lista de impressoras que inserem esses padrões nos documentos, de fabricantes como HP, Lexmark, Epson e Xerox. Como explica a EFF, cada coluna contém um byte de informação, e tem uma função específica:
- 1: bit de paridade de linha (para garantir um número ímpar de pontos em cada linha)
- 2: minuto em que a página foi impressa
- 3, 4: não utilizados
- 5: hora em que a página foi impressa
- 6: dia em que a página foi impressa
- 7: mês em que a página foi impressa
- 8: ano em que a página foi impressa
- 9: não utilizado
- 10: separador
- 11, 12, 13, 14: número de série da impressora em decimal codificado em binário, dois dígitos por byte
- 15: desconhecido
Inseridos os dados, a ferramenta detecta que o documento veio de uma impressora com número de modelo 54, número serial 29535218. Ele foi impresso em 9 de maio de 2017 às 6h20. Como a NSA registra os acessos de cada usuário à impressora, identificar o responsável fica fácil.
Segundo a declaração do FBI, o site The Intercept entrou em contato com a NSA em 30 de maio para discutir o que parecia ser um documento confidencial, e enviou uma cópia para a agência. Ela fez uma análise e “determinou que as páginas do relatório de inteligência pareciam dobradas e/ou vincadas, sugerindo que elas foram impressas e retiradas à mão de um espaço protegido”. Uma auditoria interna mostrou que seis pessoas imprimiram esse material.
Os investigadores analisaram o computador de trabalho desses seis funcionários, e encontraram um e-mail para o The Intercept na conta pessoal de Reality Leigh Winner; ela era uma terceirizada na Pluribus International. O e-mail não tinha documentos confidenciais, mas comprovava que ela era assinante do site.
O histórico do computador de Winner também mostrou que, em 9 de maio, ela fez uma busca no sistema de arquivos confidenciais da NSA usando os termos que a levaram ao relatório vazado. No mesmo dia, ela imprimiu o documento. Winner está detida desde sábado (3) e aguarda julgamento.
Segundo o relatório, datado de 5 de maio de 2017, agências de espionagem da Rússia realizaram um ataque cibernético em pelo menos um fornecedor de software de votação dos EUA, dias antes da eleição presidencial de novembro. Eles também enviaram e-mails de phishing para mais de 100 funcionários das eleições.
Com informações: Washington Post, Errata Security.
