隐蔽且简单易行的水印技术:零宽字符

安全
每个企业都有秘密,但秘密未必是不可告人的事,或许仅仅是不想完全披露公司计划或没将内部通信全部暴露给公众。但是,要怎么才能阻止某人复制粘贴内部邮件到网页邮箱中发给外部记者,或者匿名放到论坛上供网民查看下载呢?

每个企业都有秘密,但秘密未必是不可告人的事,或许仅仅是不想完全披露公司计划或没将内部通信全部暴露给公众。但是,要怎么才能阻止某人复制粘贴内部邮件到网页邮箱中发给外部记者,或者匿名放到论坛上供网民查看下载呢?无论你所面对的是哪种泄露问题,有件事你不可不知。即便寥寥数语的文本,也可能含有标识泄露源的“指纹”。

[[225232]]

观察下面两个句子。你能分辨出哪个句子含有可能锁定泄露者的秘密标识符吗?

  1. This is a test‌. 
  2. This is a test. 

使用零宽字符,比如零宽不连接符或零宽空格,就有可能在文本中嵌入看不见的指纹,且这些指纹经过复制粘贴过程依然留存。为什么此text非彼text?因为某个“text”之间有不可见的零宽字符。

正如英国研究员汤姆·罗斯所言,我们可以将想插入的信息都转换成二进制,然后用一系列零宽字符来表示这些二进制位,这样就能在文本中嵌入看不见的信息了。

罗斯是在发现有人泄露某私营视频游戏留言板讨论内容之后,才意识到零宽字符还可以这么用的:

该网站安全性相当高,所以理论上只能是已登录用户把内部公告拷贝粘贴到了其他地方。我写了个脚本供该网站维护团队在每个公告中嵌入看不见的信息,这信息就是浏览了公告的用户的用户名。几个小时之内,公告文本就带着一串看不见的零宽字符被分享到了其他地方。信息泄露者的用户名被准确识别了出来,封号处置;一场成功的战役!

正如安全专家扎克·阿伊桑几个月前所言,极短文本中的一个不可见字符,就足以鉴别出公司里的泄密者。

不过,普通用户也没那么容易发现这些不可见零宽字符。很多应用都会自动渲染包含零宽字符的文本,压根儿不告诉用户这里面含有秘密字符。其他应用则可能将不可见字符替换成空格或未识别字符符号。

对检举者或揭露暴政政体秘密的记者而言,零宽字符指纹嵌入法的影响不可谓不大。仅仅是复制粘贴一段信息给记者,就很可能暴露出自己的线人身份,让自己处于危险之中。

很多记者可能还没意识到,收到信息先滤掉敏感字符,或者花时间自己手敲一遍,可以更好地保护自身安全。但即便如此,像是故意拼错或不引人注意的小改动等等加指纹的方式,也是防不胜防的。

想要保护信息源,***像阿伊桑说的那样,别直接发布信息摘录和原始文档。你永远不能确定字里行间有没有隐藏着可能指向泄露者的线索。

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2024-02-21 21:31:20

Python数据分析数据可视化

2022-04-09 11:48:22

物联网跟踪技术物联网IOT

2021-02-04 20:57:19

显隐术版权字符

2017-09-29 10:49:30

2017-06-05 09:35:39

2009-02-12 10:22:00

路由器宽带共享上网

2009-09-16 13:44:03

PHP正则表达式字符集

2009-10-27 10:00:18

VB.NET水印类

2024-03-01 12:16:00

分布式系统服务

2018-12-06 08:40:43

PythonR函数编程语言

2020-01-17 07:56:40

工控安全基础设施攻击网络攻击

2021-06-15 10:41:00

数据中毒机器学习网络攻击

2024-02-28 18:13:00

kubernetes云计算

2012-04-17 10:28:46

数据中心电源管理

2024-07-12 11:41:35

2013-05-23 15:04:28

网络管理员网络IP地址网络故障解决办法

2022-05-05 13:57:43

Buffer设备MYSQL

2020-06-05 08:26:44

数据安全网络安全信息安全

2022-01-06 13:37:21

安全水印物联网

2021-10-25 22:23:20

微信广告信息
点赞
收藏

51CTO技术栈公众号