Едва издание The Intercept опубликовало секретный документ, доказывающий существование "российского следа" в атаках на выборы президента США в прошлом году, как Федеральное бюро расследований арестовало источник издания, человека, который передал журналистам секретный документ — 25-летнюю Риалити Ли Виннер. Даже по меркам США это было очень быстро. Как спецслужбам удалось так быстро сработать?
Оказалось, что журналисты The Intercept сработали удивительно непрофессионально, а Ли Виннер не особенно подумала о последствиях. В результате они вместе оставили как минимум два следа, отработка которых позволила ФБР и АНБ очень быстро выйти на источник утечки. Ли Виннер не выдержала первого же допроса и во всем призналась.
Когда мы подробно писали про схему атаки, то упоминали о том, что в АНБ признали подлинность документа. Документ спецслужбе показали журналисты The Intercept, прося прокомментировать его содержание. Мы не знаем, показали они бумажный оригинал или отсканированный файл, но совершенно точно они показали его в цвете, точно так же, как потом выложили его в открытый доступ.
Это было ошибкой. Ладно, Ли Виннер, но журналисты The Intercept были обязаны знать, что большинство (если не все они) современных цветных принтеров при печати специальным образом помечают невидимыми без сильной лупы желтыми точками каждый лист бумаги. Это позволяет знающему человеку в последствии идентифицировать время и дату печати, а также модель и серийный номер печатающего устройства.
Судя по анализу, который в своем блоге провел специалист по безопасности Роберт Грехем, переданный в The Intercept документ содержал эти почти невидимые метки. Грехем, используя специальный инструмент, смог установить время печати и серийный номер принтера. Если смог он, то смогли и агенты ФБР. В конце концов, производители принтеров ввели функцию печати "меток" под давлением именно американских спецслужб.
Кстати, лирическое отступление. Программное обеспечение принтеров также знает, когда вы хотите распечатать изображение денег — и тоже помечает их особыми метками. На сей раз уже хорошо видимыми.
Зная серийный номер принтера и время печати, в АНБ могли быстро "поднять" логи печати и выяснить, с какой именно машины документ был отправлен на принтер.
Однако, если верить ордеру на арест Ли Виннер, АНБ и ФБР использовали другой способ вычислить источник утечки. Они очертили круг лиц, который имел доступ к совершенно секретному документу, а затем проверили их компьютеры. Оказалось, что из всех подозреваемых только Ли Виннер вела переписку с The Intercept с рабочего компьютера. С рабочего компьютера, Карл!
Впрочем, ФБР могло установить заодно и модель принтера, чтобы ускорить процесс поиска, а в запросе на ордер агент не стал этого упоминать, чтобы а)не выдавать лишний раз не самые известные методы работы спецслужб, б)не усложнять процесс рассмотрения дела судьей. То, что в рабочем компьютере Ли Виннер нашли переписку с журналистами и ее последующее признание — уже достаточные основания для ареста подозреваемой.
К слову, это не первый и, надо полагать, не последний серьезный прокол журналистов-расследователей, работающих с секретными документами и людьми, которые эти документы им передают.
Журналисты Vice в свое время не удалили EXIF-данные с фотографий своего источника, скрывавшего от властей и спецслужбы смогли узнать точные GPS-координаты места съемки. New York Times, публикуя документы Эдварда Сноудена небрежно наложило поверх "сканов" документов черные полоски, позволив желающим скачать оригиналы с именами и прочими чувствительными данными. Другая распространенная (и часто случающаяся с источниками Wikileaks) "ошибка резидента" — случайное сохранение .doc-файлов, так что Word "впечатывает" в настройки документа информацию о том, кто конкретно последний с ним работал.
Если вы когда-нибудь захотите выдать журналистам секретные документы, распечатанные на принтере вашей организации, то после печати отсканируйте их на черно-белом "копире" и передайте копии. А если вы журналист и хотите кому-тому переслать такой документ — сделайте его черно-белую копию. Только так вы сможете решить проблему "желтых точек" и не выдать свой источник.
