|
|
|
|
移动端

最隐蔽且简单易行的水印技术:零宽字符

每个企业都有秘密,但秘密未必是不可告人的事,或许仅仅是不想完全披露公司计划或没将内部通信全部暴露给公众。但是,要怎么才能阻止某人复制粘贴内部邮件到网页邮箱中发给外部记者,或者匿名放到论坛上供网民查看下载呢?

作者:nana来源:安全牛|2018-04-09 03:43

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


每个企业都有秘密,但秘密未必是不可告人的事,或许仅仅是不想完全披露公司计划或没将内部通信全部暴露给公众。但是,要怎么才能阻止某人复制粘贴内部邮件到网页邮箱中发给外部记者,或者匿名放到论坛上供网民查看下载呢?无论你所面对的是哪种泄露问题,有件事你不可不知。即便寥寥数语的文本,也可能含有标识泄露源的“指纹”。

零宽字符

观察下面两个句子。你能分辨出哪个句子含有可能锁定泄露者的秘密标识符吗?

  1. This is a test‌. 
  2. This is a test. 

使用零宽字符,比如零宽不连接符或零宽空格,就有可能在文本中嵌入看不见的指纹,且这些指纹经过复制粘贴过程依然留存。为什么此text非彼text?因为某个“text”之间有不可见的零宽字符。

正如英国研究员汤姆·罗斯所言,我们可以将想插入的信息都转换成二进制,然后用一系列零宽字符来表示这些二进制位,这样就能在文本中嵌入看不见的信息了。

罗斯是在发现有人泄露某私营视频游戏留言板讨论内容之后,才意识到零宽字符还可以这么用的:

该网站安全性相当高,所以理论上只能是已登录用户把内部公告拷贝粘贴到了其他地方。我写了个脚本供该网站维护团队在每个公告中嵌入看不见的信息,这信息就是浏览了公告的用户的用户名。几个小时之内,公告文本就带着一串看不见的零宽字符被分享到了其他地方。信息泄露者的用户名被准确识别了出来,封号处置;一场成功的战役!

正如安全专家扎克·阿伊桑几个月前所言,极短文本中的一个不可见字符,就足以鉴别出公司里的泄密者。

不过,普通用户也没那么容易发现这些不可见零宽字符。很多应用都会自动渲染包含零宽字符的文本,压根儿不告诉用户这里面含有秘密字符。其他应用则可能将不可见字符替换成空格或未识别字符符号。

对检举者或揭露暴政政体秘密的记者而言,零宽字符指纹嵌入法的影响不可谓不大。仅仅是复制粘贴一段信息给记者,就很可能暴露出自己的线人身份,让自己处于危险之中。

很多记者可能还没意识到,收到信息先滤掉敏感字符,或者花时间自己手敲一遍,可以更好地保护自身安全。但即便如此,像是故意拼错或不引人注意的小改动等等加指纹的方式,也是防不胜防的。

想要保护信息源,最好像阿伊桑说的那样,别直接发布信息摘录和原始文档。你永远不能确定字里行间有没有隐藏着可能指向泄露者的线索。

【编辑推荐】

  1. 从管理的角度预防内部威胁导致的数据泄露
  2. 从管理的角度预防内部威胁导致的数据泄露 - 网络·安全技术周刊第336期
  3. Facebook数据泄露细节曝光 起因于一款个性分析测试软件
  4. Facebook数据泄露事件的谎言与真相,谁最该反思
  5. 我们该从Facebook史上最大数据泄露事件中明白什么?
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Microsoft SQL Server 2005技术内幕:T-SQL程序设

SQL Server 2005微软官方权威参考手册。 是Inside Microsoft SQL Server 2005系列书中的第一本,SQL Server类的顶尖之作。 全球公认SQL S...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊