每个企业都有秘密,但秘密未必是不可告人的事,或许仅仅是不想完全披露公司计划或没将内部通信全部暴露给公众。但是,要怎么才能阻止某人复制粘贴内部邮件到网页邮箱中发给外部记者,或者匿名放到论坛上供网民查看下载呢?无论你所面对的是哪种泄露问题,有件事你不可不知。即便寥寥数语的文本,也可能含有标识泄露源的“指纹”。
观察下面两个句子。你能分辨出哪个句子含有可能锁定泄露者的秘密标识符吗?
- This is a test.
- This is a test.
使用零宽字符,比如零宽不连接符或零宽空格,就有可能在文本中嵌入看不见的指纹,且这些指纹经过复制粘贴过程依然留存。为什么此text非彼text?因为某个“text”之间有不可见的零宽字符。
正如英国研究员汤姆·罗斯所言,我们可以将想插入的信息都转换成二进制,然后用一系列零宽字符来表示这些二进制位,这样就能在文本中嵌入看不见的信息了。
罗斯是在发现有人泄露某私营视频游戏留言板讨论内容之后,才意识到零宽字符还可以这么用的:
该网站安全性相当高,所以理论上只能是已登录用户把内部公告拷贝粘贴到了其他地方。我写了个脚本供该网站维护团队在每个公告中嵌入看不见的信息,这信息就是浏览了公告的用户的用户名。几个小时之内,公告文本就带着一串看不见的零宽字符被分享到了其他地方。信息泄露者的用户名被准确识别了出来,封号处置;一场成功的战役! |
正如安全专家扎克·阿伊桑几个月前所言,极短文本中的一个不可见字符,就足以鉴别出公司里的泄密者。
不过,普通用户也没那么容易发现这些不可见零宽字符。很多应用都会自动渲染包含零宽字符的文本,压根儿不告诉用户这里面含有秘密字符。其他应用则可能将不可见字符替换成空格或未识别字符符号。
对检举者或揭露暴政政体秘密的记者而言,零宽字符指纹嵌入法的影响不可谓不大。仅仅是复制粘贴一段信息给记者,就很可能暴露出自己的线人身份,让自己处于危险之中。
很多记者可能还没意识到,收到信息先滤掉敏感字符,或者花时间自己手敲一遍,可以更好地保护自身安全。但即便如此,像是故意拼错或不引人注意的小改动等等加指纹的方式,也是防不胜防的。
想要保护信息源,***像阿伊桑说的那样,别直接发布信息摘录和原始文档。你永远不能确定字里行间有没有隐藏着可能指向泄露者的线索。