6月3日,美国联邦调查局(FBI)成功逮捕国家安全局(NSA)合同制泄密人员雷埃利蒂·利·温纳(Reality Leigh Winner),后者罪名为将政府机密信息匿名发送给美国新闻网站The Intercept。
据透露,FBI是根据打印机的日志记录锁定泄密者的。这一事件背后,是智能终端普遍使用的情况下、电子数据取证随之不断发展应用的一个缩影。
事件:“女版斯诺登”泄密被捕!
NSA文件泄密,揭俄罗斯尝试入侵美国选举机构
6月5日,美国新闻网站The Intercept 根据泄漏的NSA机密文件发布独家报告:2016 年美国总统大选前,俄罗斯黑客组织曾针对美国 100 多名地方官员与一家选举投票软件公司发动网络钓鱼攻击活动。文件中明确指出,攻击发起者是俄罗斯总参谋部的情报总局。不过,该文件并未指出黑客是否影响美国选举结果。
在这篇报道上线的同时,美国司法部宣布起诉一名联邦签约雇员将保密材料发送给 The Intercept。现年25岁的温纳被控从佐治亚州的一处政府设施中带走保密信息。司法部称,她于6月3日被捕。
雷埃利蒂·利·温纳(Reality Leigh Winner)
打印机泄露行踪,“女版斯诺登”被轻松锁定
据悉,The Intercept在5月30日收到该机密文件后立即与NSA取得联系并转交副本文件,以便在发布报告前征求政府意见。随后,FBI 官员展开调查。结果表明,温纳并非直接电邮pdf文件至The Intercept邮箱,而是在对复印件进行扫描后发送至该网站。
然而,温纳却没有料到多数新型打印机能够通过肉眼难以辨别的黄色点状标志记录文件于何时何地通过哪台设备打印。根据 The Intercept 提供的扫描文件截图,该机密文件打印于2017年5月9日6:20,打印机型号54,序列号29535218。由此,NSA可通过打印日志记录轻松调查跟踪到个人。
据调查,仅六名NSA雇员有权访问该份文档。在对这六名雇员的计算机展开调查后发现,只有温纳与The Intercept存在邮件往来。目前,温纳将面临收集、传播或丢失国防信息的指控,一旦罪名成立将被判处十年监禁。
温纳作为美国政府承包商雇员,在工作中接触国家秘密,却将其捅给媒体,不禁让人联想起此前世界瞩目的斯诺登“棱镜门”事件,温纳本人也被西方媒体冠以“女版斯诺登”的“美誉”。
用户:如何防止复印机硬盘数据泄露?
数字化办公的兴起,各企业及单位所配备的中、高速复印机也随之普及。但复印机硬盘所记忆的用户数据是一把双刃剑。
一方面,记录在硬盘中的用户数据较为敏感,往往涉及到企业或个人的隐私,加之用户极易忽略硬盘中数据的安全保护,导致复印机用户数据泄露日益严重。
另一方面,这些数据中可能包含着犯罪的证据,在犯罪分子反侦查意识越来越强和反取证软件日益普及的今天,利用常规手段对犯罪分子的计算机、手机进行取证可能没有收获(关键数据被覆盖或粉碎,操作痕迹被擦除等)。此时,若犯罪分子的计算机连接有中、高速复印机,隐藏在硬盘中极易被忽略的数据就具有十分重大的证据意义。
大多数中、高速数码复印机中的硬盘,记忆功能相当强大。在扫描原稿的时候能提高扫描原稿的存储张数,还可以将一些常用的文件扫描到硬盘中,随时调用打印或者做一些特殊的处理而不需要原文件。
为了防止复印机硬盘数据泄露,用户应尽量购买无硬盘装置的实用机型,禁止安装具有传真、网络连接等功能的配件,使用时不要选择“文件服务器”“存储箱”等存储功能。
如工作中对复印机的性能要求较高,确需购买有硬盘的机型,应注意以下几方面:
(1) 增强复印机的权限机制。购买设备后立即安装设备安全证书,更改管理员的用户名和密码,对使用的用户进行身份验证,并定期清理和删除文件服务器中的数据;
(2) 对存储的文件设置密码。通过对文件服务器中存储的文件设置密码保护,可以防止未经授权的访问;
(3)尽量删除没有用或不经常使用的文件。可在用户工具的删除文件服务器中的全部文件下,删除存储在文件服务器中的所有文件,也可以搜索并删除用户指定的文件;
(4)复印机硬盘拆下或维修时,要妥善保存。中、高速复印机需要定期的返厂维护,管理员应当在维修前拆下硬盘并妥善保存。维修时要指定官方授权的部门,以防止数据的泄露;
(5)复印机报废后,硬盘要使用专业的软件擦除数据,确保数据无法恢复,或将硬盘自行妥善保留;
(6)将与复印机连接的主机与外网隔绝,并用做复印的专门用途,有效避免由于主机被入侵导致的复印机数据泄露问题。
电子数据取证:已深入应用于复印机等智能终端
具有记忆功能的中、高速大型复印机的普及现状,使得与之相关的计算机犯罪数量呈增长趋势。
此次“女版斯诺登”泄密事件中,打印机日志记录成为破案的关键环节,这也反映出电子数据取证在智能终端等数字设备方面的广泛应用。
复印机的数据恢复或取证,除了常规的现场数据取证外,我们还可使用专业的电子数据取证产品,针对复印机的硬盘进行取证。
神琥科技产品体系中的召雨系列,专门提供对磁盘、芯片或移动存储等存储介质的恢复取证操作。其中,复印机取证产品(DS For CopyingAnalysis)提供对复印机的痕迹提取、分析与恢复。
使用DS For Copying Analysis取证的操作步骤如下:
1) 将复印机磁盘连接至设备,点击【高级分析】,如下图所示:
图-产品首页
2) 复印机磁盘分区解析成功,如下图所示:
图-磁盘解析
3) 进入分区,快速解析该分区的文件信息,如下图所示:
图-快速解析
图-快速解析的文件类型
4) 查看印刷文件,并进行取证分析,如下图所示:
图-印刷文件查看
5) 对删除文件进行深度恢复,如下图所示:
图-文件深度恢复
6) 对深度恢复的删除文件进行恢复提取,如下图所示:
图-删除文件恢复提取
7) 删除文件成功恢复,如下图所示:
图-删除文件成功恢复
DS For CopyingAnalysis 亮点分析
1、支持佳能、惠普、京瓷、理光、东芝、富士施乐、夏普、柯尼卡美能达、震旦等众多品牌的复印机机型;
2、支持MS-DOS、AIX、AMIG、BSD、DVH、GPT、MAC,、MSDOS、PC98、SUN、LOOP等十余类复印机磁盘分区格式;
3、支持FAT16、FAT32、exFAT、NTFS、EXT2、EXT3、EXT4等十多种磁盘文件系统;
4、支持各种文档、图片、音视频、压缩包、可执行文件、源代码文件等格式逾200种。
5、采用便携式硬件,易于携带。
6、机身搭载电容式触摸显示屏,配备键鼠一体的掌中宝,可实现触屏操作和键鼠操作;
7、内置高性能锂电池,可脱离交流电工作;
8、设备背面带有高阻尼支架支撑,高弹性橡胶包边减震设计,满足不同应用场景取证工作需求。
