利用數(shù)據(jù)文件上的水印溯源

2015-07-30 10:47:38 安全牛　點(diǎn)擊量：評(píng)論 (0)

企業(yè)移動(dòng)數(shù)據(jù)安全公司Bitglass近期做了一個(gè)實(shí)驗(yàn)：創(chuàng)建一個(gè)帶水印的虛構(gòu)數(shù)據(jù)文件來測(cè)試到底是什么人在翻閱這份文件。該文件最終12天里流轉(zhuǎn)了22個(gè)國(guó)家，被查看1081次。數(shù)字水印不能預(yù)防你的數(shù)據(jù)被盜，但能大幅縮短

數(shù)字水印不能預(yù)防你的數(shù)據(jù)被盜，但能大幅縮短發(fā)現(xiàn)數(shù)據(jù)被盜的時(shí)間，比企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露平均耗時(shí)的7個(gè)月短多了。

追蹤設(shè)備不是什么新鮮事物。汽車產(chǎn)業(yè)中，多數(shù)廠商都爭(zhēng)相勸導(dǎo)車主在車內(nèi)安裝此類設(shè)備，承諾這些設(shè)備將在汽車萬一被盜之時(shí)讓警察知道該到哪兒找回汽車。司法實(shí)踐中，緩刑期的罪犯有時(shí)候會(huì)被要求戴上一個(gè)有相同功能的腳環(huán)——告訴當(dāng)局該罪犯的確切位置。

對(duì)數(shù)據(jù)當(dāng)然也可以這么做。數(shù)字水印可以追蹤數(shù)據(jù)被瀏覽或下載的地點(diǎn)，也可以識(shí)別出IP地址和打開或下載該數(shù)據(jù)的設(shè)備類型。據(jù)專家稱，這一技術(shù)尚未大范圍使用，某些情況下涉及隱私問題，但其擁護(hù)者認(rèn)為，盡管數(shù)字水印不能預(yù)防數(shù)據(jù)被盜，但它能讓被入侵的公司立即知道自身數(shù)據(jù)被盜而不是等幾個(gè)月之后才察覺。

他們的口號(hào)是：數(shù)據(jù)泄露不可預(yù)防，但可以被發(fā)現(xiàn)。

Bitglass產(chǎn)品副總裁里奇·坎帕尼亞說：“數(shù)據(jù)泄露平均要在7個(gè)月左右才會(huì)被發(fā)現(xiàn)。早點(diǎn)發(fā)現(xiàn)泄露事件能幫助預(yù)防進(jìn)一步的數(shù)據(jù)流出，還能使被盜數(shù)據(jù)無效化。”比如說，可以在信用卡數(shù)據(jù)被盜但還未賣出之前通過凍結(jié)和重發(fā)卡來使被盜信用卡毫無用武之地。

為演示數(shù)字水印技術(shù)的有效性，以及闡明被盜數(shù)據(jù)的傳播范圍之廣，Bitglass在今年早些時(shí)候創(chuàng)建了一個(gè)虛構(gòu)的數(shù)據(jù)文件，其中包含1568份姓名、社會(huì)安全號(hào)、信用卡號(hào)、地址和電話號(hào)碼。他們給這份文件做了數(shù)字水印，并將文件匿名放入了DropBox等8個(gè)疑似網(wǎng)絡(luò)犯罪交易市場(chǎng)的暗網(wǎng)網(wǎng)站上。

據(jù)Bitglass公司稱，該水印即使經(jīng)過復(fù)制、粘貼等文件操作，也不會(huì)失去其有效性。文件每次被打開，都會(huì)發(fā)回被打開的地址和打開方式信息。

該公司報(bào)告稱，12天之后，這份文件流轉(zhuǎn)過5大洲22個(gè)國(guó)家，包括美國(guó)、巴西、尼日利亞、香港、西班牙、德國(guó)、英國(guó)、法國(guó)、瑞典、加拿大、俄羅斯聯(lián)邦、捷克、意大利和土耳其。

該數(shù)據(jù)被瀏覽了1081次，含47次下載，其中訪問最頻繁的是尼日利亞、俄羅斯和巴西。坎帕尼亞說：“下載了該文件的人中極少有人會(huì)采取隱蔽他們的地址或打開設(shè)備的措施。”

當(dāng)然，知道你被盜數(shù)據(jù)的去向，甚至知道是誰下載了它，并不能幫你找回?cái)?shù)據(jù)，就像被盜車輛一般也找不回來一樣，甚至連清除數(shù)據(jù)也做不到。下載行為發(fā)生的許多國(guó)家基本上都處于美國(guó)司法實(shí)踐范圍之外。

不過，知道這些信息依然有許多好處。Blancco科技集團(tuán)IT安全顧問保羅·亨利說。他自己從2007年開始就在他的事件響應(yīng)和取證業(yè)務(wù)中使用了水印技術(shù)。

他說：“這是個(gè)極棒的工具。我在很多電子郵件相關(guān)的案子里用它來鑒別到底是誰未經(jīng)允許就查看他人的郵件。我還將之用在保留客戶的知識(shí)產(chǎn)權(quán)相關(guān)數(shù)據(jù)上，用來在暗網(wǎng)上搜索Pastebin之類的站點(diǎn)查看這些數(shù)據(jù)是否出現(xiàn)時(shí)排除誤報(bào)。”

亨利贊同能夠快速采取措施降低被盜數(shù)據(jù)造成的傷害很有價(jià)值的說法。但他也承認(rèn)，水印技術(shù)提供的識(shí)別量在法律程序中也是有所幫助的。

只要用得合適，你還真能呈上符合法庭要求的證據(jù)。對(duì)企業(yè)而言，這將幫助他們?cè)诜ㄍド响柟趟麄兊闹R(shí)產(chǎn)權(quán)防御。

而且，相對(duì)而言，這花不了多少錢。坎帕尼亞稱，水印只是公司更寬泛的安全套裝的一部分，每月的許可費(fèi)用也只是每用戶5美元起而已。

盡管水印仍然遠(yuǎn)遠(yuǎn)達(dá)不到像致力于檢測(cè)和預(yù)防惡意程序的軟件一樣常用，卻在剛剛過去的兩周內(nèi)由于與Hacking Team高調(diào)被黑案有關(guān)而獲得了井噴式的曝光率。Hacking Team是向政府和司法部門售賣黑客和監(jiān)視工具的一家意大利公司，被隱私和人權(quán)組織視為“互聯(lián)網(wǎng)的敵人”。

據(jù)報(bào)道，Hacking Team對(duì)其伽利略軟件做了水印，也就意味著凡是查看了這些被黑文件的人將能夠找出是誰在用這一軟件，也能找出他們的目標(biāo)是什么。

這促使Resilient Systems首席技術(shù)官，安全大師布魯斯·施奈爾在他的博客中沉思道：“這是一種會(huì)招來客戶不滿的東西，還是一種會(huì)招來自帶敢死隊(duì)的不滿客戶的東西。我不覺得該公司能逃過這一劫。”

坎帕尼亞稱，Bitglass的水印則不同。“Hacking Team對(duì)軟件做水印來防止盜版。賣給美國(guó)政府的拷貝與賣給俄羅斯政府的拷貝就有不同的水印。即使軟件之后出現(xiàn)在另一個(gè)地方，Hacking Team也能夠追蹤回它最初的買家。”

然而，相較之下，Bitglass的水印則是為可見性設(shè)計(jì)的，無論數(shù)據(jù)跑到哪里都可見。“舉個(gè)例子，當(dāng)數(shù)據(jù)在Dropbox或某家身份交易網(wǎng)站上被找到，公司可以查明是會(huì)計(jì)部的保羅泄露的那份文檔。”他說。

但是，亨利說，水印有著法律和隱私問題，因?yàn)樗率乖O(shè)備執(zhí)行非來自用戶的指令，或非設(shè)備自身設(shè)定的指令。

某些執(zhí)法機(jī)構(gòu)不能讓電腦執(zhí)行任何非自身指令，否則將會(huì)被認(rèn)為是釣魚執(zhí)法。但水印確實(shí)會(huì)導(dǎo)致用戶電腦執(zhí)行一些自身不會(huì)下達(dá)的指令。

而且，與其他任何安全工具情況類似，水印也不是刀槍不入的。亨利說，在他看來，毫無疑問，知曉水印技術(shù)的罪犯“可以獲得含水印數(shù)據(jù)的信息而又不被發(fā)現(xiàn)。”

坎帕尼亞還承認(rèn)，對(duì)文件做個(gè)截屏或者將之轉(zhuǎn)為文本文件都有可能令水印失效。

不過，水印仍然是能提供可支持起訴的“確鑿證據(jù)”的一款可見性工具。

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊