關(guān)于我們

“女版斯諾登”泄密背后且看復(fù)印機(jī)的電子數(shù)據(jù)取證

發(fā)布時(shí)間：2017-06-09 00:00:00

6月3日，美國(guó)聯(lián)邦調(diào)查局（FBI）成功逮捕國(guó)家安全局（NSA）合同制泄密人員雷埃利蒂·利·溫納（Reality Leigh Winner），后者罪名為將政府機(jī)密信息匿名發(fā)送給美國(guó)新聞網(wǎng)站The Intercept。

據(jù)透露，F(xiàn)BI是根據(jù)打印機(jī)的日志記錄鎖定泄密者的。這一事件背后，是智能終端普遍使用的情況下、電子數(shù)據(jù)取證隨之不斷發(fā)展應(yīng)用的一個(gè)縮影。

事件：“女版斯諾登”泄密被捕！

NSA文件泄密，揭俄羅斯嘗試入侵美國(guó)選舉機(jī)構(gòu)

6月5日，美國(guó)新聞網(wǎng)站The Intercept 根據(jù)泄漏的NSA機(jī)密文件發(fā)布獨(dú)家報(bào)告：2016年美國(guó)總統(tǒng)大選前，俄羅斯黑客組織曾針對(duì)美國(guó)100多名地方官員與一家選舉投票軟件公司發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。文件中明確指出，攻擊發(fā)起者是俄羅斯總參謀部的情報(bào)總局。不過(guò)，該文件并未指出黑客是否影響美國(guó)選舉結(jié)果。

在這篇報(bào)道上線(xiàn)的同時(shí)，美國(guó)司法部宣布起訴一名聯(lián)邦簽約雇員將保密材料發(fā)送給 The Intercept?，F(xiàn)年25歲的溫納被控從佐治亞州的一處政府設(shè)施中帶走保密信息。司法部稱(chēng)，她于6月3日被捕。

雷埃利蒂·利·溫納（Reality Leigh Winner）

打印機(jī)泄露行蹤，“女版斯諾登”被輕松鎖定

據(jù)悉，The Intercept在5月30日收到該機(jī)密文件后立即與NSA取得聯(lián)系并轉(zhuǎn)交副本文件，以便在發(fā)布報(bào)告前征求政府意見(jiàn)。隨后，F(xiàn)BI 官員展開(kāi)調(diào)查。結(jié)果表明，溫納并非直接電郵pdf文件至The Intercept郵箱，而是在對(duì)復(fù)印件進(jìn)行掃描后發(fā)送至該網(wǎng)站。

然而，溫納卻沒(méi)有料到多數(shù)新型打印機(jī)能夠通過(guò)肉眼難以辨別的黃色點(diǎn)狀標(biāo)志記錄文件于何時(shí)何地通過(guò)哪臺(tái)設(shè)備打印。根據(jù) The Intercept 提供的掃描文件截圖，該機(jī)密文件打印于2017年5月9日6:20，打印機(jī)型號(hào)54，序列號(hào)29535218。由此，NSA可通過(guò)打印日志記錄輕松調(diào)查跟蹤到個(gè)人。

據(jù)調(diào)查，僅六名NSA雇員有權(quán)訪(fǎng)問(wèn)該份文檔。在對(duì)這六名雇員的計(jì)算機(jī)展開(kāi)調(diào)查后發(fā)現(xiàn)，只有溫納與The Intercept存在郵件往來(lái)。目前，溫納將面臨收集、傳播或丟失國(guó)防信息的指控，一旦罪名成立將被判處十年監(jiān)禁。

溫納作為美國(guó)政府承包商雇員，在工作中接觸國(guó)家秘密，卻將其捅給媒體，不禁讓人聯(lián)想起此前世界矚目的斯諾登“棱鏡門(mén)”事件，溫納本人也被西方媒體冠以“女版斯諾登”的“美譽(yù)”。

用戶(hù)：如何防止復(fù)印機(jī)硬盤(pán)數(shù)據(jù)泄露?

數(shù)字化辦公的興起，各企業(yè)及單位所配備的中、高速?gòu)?fù)印機(jī)也隨之普及。但復(fù)印機(jī)硬盤(pán)所記憶的用戶(hù)數(shù)據(jù)是一把雙刃劍。

一方面，記錄在硬盤(pán)中的用戶(hù)數(shù)據(jù)較為敏感，往往涉及到企業(yè)或個(gè)人的隱私，加之用戶(hù)極易忽略硬盤(pán)中數(shù)據(jù)的安全保護(hù)，導(dǎo)致復(fù)印機(jī)用戶(hù)數(shù)據(jù)泄露日益嚴(yán)重。

另一方面，這些數(shù)據(jù)中可能包含著犯罪的證據(jù)，在犯罪分子反偵查意識(shí)越來(lái)越強(qiáng)和反取證軟件日益普及的今天，利用常規(guī)手段對(duì)犯罪分子的計(jì)算機(jī)、手機(jī)進(jìn)行取證可能沒(méi)有收獲（關(guān)鍵數(shù)據(jù)被覆蓋或粉碎，操作痕跡被擦除等）。此時(shí)，若犯罪分子的計(jì)算機(jī)連接有中、高速?gòu)?fù)印機(jī)，隱藏在硬盤(pán)中極易被忽略的數(shù)據(jù)就具有十分重大的證據(jù)意義。

大多數(shù)中、高速數(shù)碼復(fù)印機(jī)中的硬盤(pán)，記憶功能相當(dāng)強(qiáng)大。在掃描原稿的時(shí)候能提高掃描原稿的存儲(chǔ)張數(shù)，還可以將一些常用的文件掃描到硬盤(pán)中，隨時(shí)調(diào)用打印或者做一些特殊的處理而不需要原文件。

為了防止復(fù)印機(jī)硬盤(pán)數(shù)據(jù)泄露，用戶(hù)應(yīng)盡量購(gòu)買(mǎi)無(wú)硬盤(pán)裝置的實(shí)用機(jī)型，禁止安裝具有傳真、網(wǎng)絡(luò)連接等功能的配件，使用時(shí)不要選擇“文件服務(wù)器”“存儲(chǔ)箱”等存儲(chǔ)功能。

如工作中對(duì)復(fù)印機(jī)的性能要求較高，確需購(gòu)買(mǎi)有硬盤(pán)的機(jī)型，應(yīng)注意以下幾方面：

（1）增強(qiáng)復(fù)印機(jī)的權(quán)限機(jī)制。購(gòu)買(mǎi)設(shè)備后立即安裝設(shè)備安全證書(shū)，更改管理員的用戶(hù)名和密碼，對(duì)使用的用戶(hù)進(jìn)行身份驗(yàn)證，并定期清理和刪除文件服務(wù)器中的數(shù)據(jù)；

（2）對(duì)存儲(chǔ)的文件設(shè)置密碼。通過(guò)對(duì)文件服務(wù)器中存儲(chǔ)的文件設(shè)置密碼保護(hù)，可以防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)；

（3）盡量刪除沒(méi)有用或不經(jīng)常使用的文件?？稍谟脩?hù)工具的刪除文件服務(wù)器中的全部文件下，刪除存儲(chǔ)在文件服務(wù)器中的所有文件，也可以搜索并刪除用戶(hù)指定的文件；

（4）復(fù)印機(jī)硬盤(pán)拆下或維修時(shí)，要妥善保存。中、高速?gòu)?fù)印機(jī)需要定期的返廠(chǎng)維護(hù)，管理員應(yīng)當(dāng)在維修前拆下硬盤(pán)并妥善保存。維修時(shí)要指定官方授權(quán)的部門(mén)，以防止數(shù)據(jù)的泄露；

（5）復(fù)印機(jī)報(bào)廢后，硬盤(pán)要使用專(zhuān)業(yè)的軟件擦除數(shù)據(jù)，確保數(shù)據(jù)無(wú)法恢復(fù)，或?qū)⒂脖P(pán)自行妥善保留；

（6）將與復(fù)印機(jī)連接的主機(jī)與外網(wǎng)隔絕，并用做復(fù)印的專(zhuān)門(mén)用途，有效避免由于主機(jī)被入侵導(dǎo)致的復(fù)印機(jī)數(shù)據(jù)泄露問(wèn)題。

電子數(shù)據(jù)取證：已深入應(yīng)用于復(fù)印機(jī)等智能終端

具有記憶功能的中、高速大型復(fù)印機(jī)的普及現(xiàn)狀，使得與之相關(guān)的計(jì)算機(jī)犯罪數(shù)量呈增長(zhǎng)趨勢(shì)。

此次“女版斯諾登”泄密事件中，打印機(jī)日志記錄成為破案的關(guān)鍵環(huán)節(jié)，這也反映出電子數(shù)據(jù)取證在智能終端等數(shù)字設(shè)備方面的廣泛應(yīng)用。

復(fù)印機(jī)的數(shù)據(jù)恢復(fù)或取證，除了常規(guī)的現(xiàn)場(chǎng)數(shù)據(jù)取證外，我們還可使用專(zhuān)業(yè)的電子數(shù)據(jù)取證產(chǎn)品，針對(duì)復(fù)印機(jī)的硬盤(pán)進(jìn)行取證。

神琥科技產(chǎn)品體系中的召雨系列，專(zhuān)門(mén)提供對(duì)磁盤(pán)、芯片或移動(dòng)存儲(chǔ)等存儲(chǔ)介質(zhì)的恢復(fù)取證操作。其中，復(fù)印機(jī)取證產(chǎn)品（DS For CopyingAnalysis）提供對(duì)復(fù)印機(jī)的痕跡提取、分析與恢復(fù)。

使用DS For Copying Analysis取證的操作步驟如下：

1) 將復(fù)印機(jī)磁盤(pán)連接至設(shè)備，點(diǎn)擊【高級(jí)分析】，如下圖所示：