WikiLeaks publiceert broncode CIA-tool voor watermerken Office-documenten

WikiLeaks heeft opnieuw CIA-bestanden uit de Vault 7-collectie gepubliceerd. De huidige dump omvat onder meer de broncode en handleiding van de zogenaamde Scribbles-tool, waarmee Office-documenten van een watermerk voorzien kunnen worden.

Op die manier is het bijvoorbeeld mogelijk om documenten te volgen en na te gaan of zij oorspronkelijk uit de eigen organisatie afkomstig zijn. Volgens WikiLeaks voorziet de tool documenten van een 'web beacon'. Uit de handleiding blijkt dat een aangepast document bij het openen verbinding maakt met een server, waardoor de eigenaar in staat is om het document te 'volgen'. Door ook de broncode te publiceren, hoopt WikiLeaks dat onderzoekers meer over de werking van Scribbles uitvinden.

Uit de handleiding blijkt verder dat de software werkt met Office 2013 en met documenten van Office 97 tot en met 2016. Scribbles kan worden gebruikt om de documenten offline van een watermerk te voorzien, zo nodig in grote hoeveelheden. De handleiding toont een waarschuwing om de Scribbles-bestanden niet op de pc van een doelwit achter te laten of ze anderszins in de handen van 'een tegenstander' te laten vallen.

Een tweede waarschuwing aan het einde van de handleiding vermeldt dat de bestanden alleen werken met Microsoft Office. Als een doelwit de bestanden met een ander programma zoals OpenOffice of LibreOffice opent, dan 'bestaat de mogelijkheid dat het watermerk en de corresponderende afbeeldingen en url's zichtbaar worden'. Bovendien zou 'Protected Mode' ervoor zorgen dat het document geen verbinding kan maken, totdat het doelwit aangeeft het document te willen bewerken.

WikiLeaks publiceert al langer wekelijks documenten uit de Vault 7-dump. Vorige week publiceerde de organisatie de handleiding voor de zogenaamde Weeping Angel-tool, waarmee bepaalde Samsung-smart-tv's door middel van fysieke toegang als afluisterapparatuur zijn in te zetten.

De aan te passen Scribbles-parameters

IT-banen

Reacties (78)

Webgnome 28 april 2017 20:13

Legt WikiLeaks ook wel eens zaken van andere landen bloot of is het alleen maar Amerika bashen...

mae-t.net @Webgnome • 28 april 2017 23:33

Heel goeie vraag, behalve dat ik het niet als bashen zou presenteren (dat is een waarde-oordeel inplaats van een vraag).

Opzich kan je een vooringenomenheid (indien aanwezig) tegen Amerika misschien rechtvaardigen als het doel is om te laten zien dat ze echt niet altijd zo goed en netjes zijn (dat imago is toch al tanende). Dat is misschien ook een van de redenen dat je je afvraagt of daar misschien sprake van is. Een andere reden om je zoiets af te vragen zou het verloop van de Amerikaanse verkiezingen kunnen zijn, en de vraag of Wikileaks daar voor het karretje van Putin en/of Trump zou zijn gespannen. Assange heeft daar opzic wel wat over gezegd (ik heb het niet utigebreid gelezen): https://wikileaks.org/Ass...t-on-the-US-Election.html

Aan de andere kant kan het ook simpelweg komen doordat ze in de VS nou eenmaal heel veel lekwaardige dingen doen, of dat er heel veel gelekt is. Oftewel de wet van de grote getallen. Dat maakt het opzich natuurlijk ook lastig om te verifieeren of er een vooringenomenheid is, want je weet niet hoe de verhoudingen in aantal gelekte informatie uit de VS versus die uit de rest van de wereld is.

Het enige dat ik zonder diepgravende analyse met zekerheid durf te stellen is dat ze zeer zeker niet alleen maar over de VS publiceren. Hun eerste lek ging over Zwitserland. Als ik op wikipedia afga, is er mogelijk wel een bias en wordt daar ook een reden voor gegeven. Ik citeer:

Verder zou de site geïnteresseerd zijn in informatie over Azië, de voormalige Sovjet-Unie, Latijns-Amerika, Afrika ten zuiden van de Sahara en het Midden-Oosten.[7] Later ligt het 'Vrije Westen' vaak onder vuur, mogelijk door gebrek aan medewerkers die niet-Westerse talen beheersen.

jimzz @mae-t.net • 29 april 2017 17:41

Amerikanen en Europeanen zijn niet eerlijk naar de burgers toe en dat is een doorn in het oog voor Wikileaks. Een goed voorbeeld is de "war on terrorism" die eigenlijk een verkapte manier is om bepaalde tegenstanders uit de weg te ruimen en economische belangen te behartigen.

In redelijk wat islamitische landen worden Christenen vervolgd etc, omdat ze niet Islamitisch zijn. (Ook wel heidenen genoemd). De VS die roept dat ze die mensen wel zullen beschermen doen niets, verkopen via Saudi Arabie duizenden wapens die op zijn beurt weer aan de IS verkocht wordt. Als het alleen aan de VS lag waren de Christenen daar waarschijnlijk al lang uitgeroeid. Rusland daarintegen die zich niet met Syrie wilde bemoeien (totdat Assad, hun bondgenoot, hen om hulp hebben gevraagd) heeft die Christenen wel geholpen en ze zijn nog eens legaal in dat land ook (in tegenstelling tot de VS die schijt aan internationale regelgeving heeft en gewoon zijn eigen ding doet).

Ik wil Rusland niet goed praten, want ook daar gebeuren dingen die niet juist zijn. Maar als er iets ernstigs op de loer ligt dan zullen de VS en de EU net zo goed ons voorliegen dat er niets aan de hand is. Mocht er oorlog uitbreken dan zou Putin meteen zijn volk vertellen dat mensen die in het buitenland studeren terug naar hun thuisland moeten komen. De VS en de EU zouden dit proberen achter te houden om paniek te voorkomen.

Nu is dit een wilde speculatie, maar is zeker niet gek. Ik speculeer nu over iets groots als oorlog, maar in kleine politieke beslissingen zie je al dat het volk al jarenlang wordt voorgelogen. Wikileaks is daar het gevolg van. Jarenlang bespioneerd en afgeluisterd door de CIA, de bonnetjesaffaire, de treinkaping van 94 en zo kun je wel uren doorgaan over informatie die ons gegeven is en totaal niet klopt of waar is.

HDoc @jimzz • 29 april 2017 22:03

Nou ik zou maar niet al teveel vertrouwen hebben een Poetin, die zeker tijdens onze laatste verkiezingen een subversieve campagne voerde om extremistische partijen in de kaart te spelen. Poetin wil er natuurlijk alles aan doen om ons in de rest van Europa te destabiliseren onder het mom van "verdeel en heers". Laat je dus niet al teveel leiden door wat er op internet rond gaat. Het is Rusland waar stelselmatig kritische journalisten gewoon omgebracht worden. Waar kritische mensen gewoon weer naar Siberië worden gestuurd zonder duidelijk proces.

Vooralsnog is het onze eigen regering die zo democratisch mogelijk ons land zo goed mogelijk probeert te besturen en haar best doet om ons burgers zo goed mogelijk van dienst te zijn. Waarbij iedereen de mogelijkheid heeft alle informatie op te vragen, zo nodig via een WOB.

PS ik neem aan dat je refereert aan de treinkaping op De Punt in 1977 in plaats van '94? En welke bonnetjesaffaire bedoel je?

jimzz @HDoc • 29 april 2017 23:04

Sorry die bedoel ik ja, mijn excuus voor de verkeerde datum.

Ik wil Putin echt niet verdedigen want zoals ik al zei is hij ook een nare man, maar ook westerse media schildert hem expres slecht af, zoals Putin ook de media beinvloed. Beide partijen hebben slechte kanten, alleen wordt vaak alleen Rusland uitgelicht, en dat is waar Wikileaks komt. Die zijn kritisch naar de Amerikaanse regering die ook smerig spel speelt. Ze spelen beide met vuur en dat is niet goed.

mae-t.net @jimzz • 30 april 2017 13:20

Alle politici liegen potentieel en doen zo nu en dan foute dingen, daar hebben de VS en de EU duidelijk geen alleenrecht op. Het kan per land nog wel verschillen hoe openlijk die foute dingen gedaan worden en hoe vanzelfsprekend de slachtoffers het vinden (in Rusland zijn er veel meer "De Punt" situaties dan hier, in de Philippijnen is het normaal als de president (een soort Opstelten maar dan anders) willekeurig verdachten standrechtelijk laat afschieten, in heel veel landen is het normaal dat mensen in dezelfde situatie als Mitch Henriquez overlijden, enz.), maar de precieze omvang is bij de burger eigenlijk nooit bekend dus er is altijd wel iets te onthullen.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 08:07]

stewie @Webgnome • 28 april 2017 20:30

Alsof het bashen van Amerika nog nodig is? Maar er is al heel wat gelekt over anderen landen, misschien eens nieuws lezen?

gbh @Webgnome • 29 april 2017 05:52

Het westen destabiliseren.

Bij voor Rusland gevoelige informatie wordt er door WikiLeaks gecensureerd:

http://gizmodo.com/wikile...documents-from-1786445992

j3rry @Webgnome • 30 april 2017 00:27

Wikileaks haalt hun info vooral via Assange en Snowden
deze 2 personen zijn de belangerijkste mensen die data vergaren en openbaar maken
ook dmv vertrouwen omdat ze zo goed als onaanraakbaar zijn

Assange bevind zich in de Ambassade van Equador een land dat het niet al te nauw neemt met mensenrechten
en Snowden is Rusland een land van dictatuur en censuur...

wat als Snowden nu informatie zou vrijgeven over Rusland ?
wel ik denk dat we hier niet veel hoeven over na te denken

wat als Assange nu informatie over Rusland zou vrijgeven want hij verbijft immers niet in Rusland

wel Poetin kan dan Snowden arresteren, folteren zodat Assange stopt met deze info vrij te geven

ofwel kan Poetin een deal sluiten met Equador dat ze Assange uit de Ambassade schoppen
en de kans dat Equador een deal met Rusland aangaat is heel groot

Equador en Rusland zijn niet al te beste vrienden et de VS
en Equador, Bolivia etc... steunt een regime zoals in Venezuela en daar zullen we niet veel over horen
uit schrik voor sancties

en zo lang Assange en Snowden zich binnen de lijntjes blijven zijn ze in of meer veilig

Jerie

@Webgnome • 4 mei 2017 18:29

Legt WikiLeaks ook wel eens zaken van andere landen bloot of is het alleen maar Amerika bashen...

Ja, zat. En dat kun je ook makkelijk uitvinden door ongeveer 30 seconden op de website te browsen. Was minder moeite geweest dan deze reactie typen.

Uit het artikel:

Een tweede waarschuwing aan het einde van de handleiding vermeldt dat de bestanden alleen werken met Microsoft Office. Als een doelwit de bestanden met een ander programma zoals OpenOffice of LibreOffice opent, dan 'bestaat de mogelijkheid dat het watermerk en de corresponderende afbeeldingen en url's zichtbaar worden'. Bovendien zou 'Protected Mode' ervoor zorgen dat het document geen verbinding kan maken, totdat het doelwit aangeeft het document te willen bewerken

Bovendien is dit watermerk kinderlijk eenvoudig te omzeilen via een airgap of zelfs VM zonder networking. Een beetje journalist gebruikt minimaal het laatste, een goede het eerste. Tegen Snowden had dit bijvoorbeeld niets gedaan.

OCU-Macs @Webgnome • 28 april 2017 20:24

Heel bijzonder dat je off-topic en ongewenst gemodereerd wordt. Volgens de regels van tweakers is je taal gebruik niet ongewenst en je kwetst niemand. Tevens lijkt je opmerking toch wel redelijk on-topic.

Wellicht dat de downmodders eens inhoudelijk en beargumenteerd kunnen reageren in plaats van nullen en min-enen uit te delen??

jimzz @OCU-Macs • 29 april 2017 17:42

Dat zeg ik al jaren, van mij mag dat systeem dan ook volledig verdwijnen zoals op HWI, daar kun je reageren, maar niemand met een cijfertje bashen omdat je het niet met die persoon eens bent. En helaas gebruiken mensen het modsysteem om hun mening te verkondigen ipv objectief te kijken naar de inhoud.

OCU-Macs @jimzz • 29 april 2017 19:41

Het grappige (bijna hilarisch) is, dat bij sommige onderwerpen, zoals dit onderwerp, de gedownmodde reacties vaak de meest interessante zijn, omdat hier een 'afwijkende' zienswijze wordt neergelegd.

Maar goed, de mensen die met 'minnen' strooien om anderen de mond te snoeren verzieken het wel voor degenen die wel een reactie van 0 en hoger scoren. Zonder tegengeluid voelen die reacties een beetje 'afgevlakt' aan, en verdwijnt ook de (beargumenteerde) discussie. Iets waar de tweakers.net frontpage nu juist zo interessant voor was.

Dit mod-systeem (en/of de handhaving/naleving ervan) mist totaal zijn doel, en ondermijnt het merk 'tweakers.net'.

klompmaker 28 april 2017 20:16

Maar zou dit gemaakt zijn in samenwerking met Microsoft of onafhankelijk?
Al snap ik nog wel de functie en beschikbaarheid om een document te kunnen volgen, al zou dit wel gemeld moeten worden...

Soldaatje @klompmaker • 28 april 2017 20:39

Ik denk dat ze sowieso wel toegang hebben tot de broncode van Microsoft/Windows/Office, net als ontwikkelaars onder bepaalde voorwaarden.
Al dan niet met hulp van de Patriot Act.

batjes

Security

@Soldaatje • 28 april 2017 20:49

Veel van de broncode is -semi- open inzichtelijk voor o.a. universiteiten en overheden. Ga er maar vanuit dat ze de broncode hebben, geen patriot act voor nodig

Blokker_1999

Netwerk en systeembeheer
Wikileaks
Security

@batjes • 29 april 2017 02:44

Broncode kan door een select gezelschap ingezien worden, maar dan wel enkel in de kantoren van Microsoft, in speciale ruimtes waar geen andere apparatuur is toegestaan. Je kan ze dus bekijken, maar daar houd het dan ook op.

mashell @Blokker_1999 • 29 april 2017 10:57

Dat zijn de regels die voor normale stervelingen gelden. Maar voor de geheime diensten kunnen wel eens heel andere regels gelden. Ik kan me voorstellen dat die gewoon een VPN toegang en een medewerkers login hebben. Valt niet op tussen normaal gebruik en ze kunnen alles zoeken wat ze nodig hebben.

Matthijs Hoekstra @Blokker_1999 • 29 april 2017 15:58

nee hoor, kan gewoon online via website, je hebt wel een certificaat nodig voor authenticatie.

dasiro @Soldaatje • 28 april 2017 20:59

meer nog: de amerikaanse overheid eist inzage om in aanmerking/gecertificeerd te worden om gebruikt te worden voor bepaalde security clearance levels.

kwint 28 april 2017 20:17

Waarom publiceert Wikileaks deze bestanden?
Het lijkt mij best handig dat een geheime dienst zijn bestanden geheim kan houden? Het is ook niet alsof dit programmaatje je privacy oid aantast, dit is simpel weg overheidje pesten.
Of mis ik iets?

Richardus27 @kwint • 28 april 2017 20:37

Ik vind dit een moeilijke.
Aan een kant begrijpelijk dat een bedrijf zijn geheimen wil behouden, als werknemenden illegaal documenten doorverkopen aan de concurrent ben je er zo achter wie het is. Of wanneer staatsgeheimen worden doorgespeeld naar een andere inlichtingendienst bijvoorbeeld.

Klokkenluiders worden hiermee natuurlijk wel tegengewerkt, als zij thuis of elders documenten doorkijken kan de instantie dat zo zien. Landen die opressief zijn tegenover de bevolking kunnen 'ongewilde' documenten taggen, en zo zien wie er allemaal opgepakt kunnen worden.

dasiro @kwint • 28 april 2017 21:02

zoals het hier wordt voorgesteld niet, maar je kan ook een target zijn pc met malware infecteren zodanig dat alle documenten die hij verstuurd getraceert kunnen worden en zo een uitgebreid netwerk van contacten blootleggen, want hoe je het draait of keert: ook (wannabe) terroristen gebruiken microsoft office

Placid_K @kwint • 28 april 2017 20:24

Omdat WilkiLeaks in Russische handen is.

gbh @Placid_K • 28 april 2017 21:59

Vreemd al die ongewenst modjes, kennelijk zijn er hier veel mensen die niks geven om hun vrijheid en liever leven onder de fastoïde Putin dictatuur.

Wikileaks is a Front for Russian Intelligence:

https://20committee.com/2...for-russian-intelligence/

mae-t.net @gbh • 28 april 2017 23:35

Wikileaks is inderdaad wel te misbruiken, maar is dat nou een feature of een bug? In theorie zou informatie van beide kanten in gelijke mate kunnen lekken, dan is het duidelijk een feature. Pas als er nep-informatie gelekt wordt of ze opzettelijk overstroomd worden met informatie van 1 kant, gaat het mis.

Overigens beweert het artikel dat je aanhaalt, dat Wikileaks actief meewerkt of in het leven is geroepen door de Russen. Dat gaat een stapje verder en bij dat soort dingen moet je altijd goed uitkijken dat je kritisch blijft nadenken, want alle rode knipperlichten "propganda" gaan branden bij zo'n tekst. Beide kanten van het verhaal proberen zo twijfel te zaaien.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 08:07]

laptopleon @gbh • 29 april 2017 13:23

Ik heb het gelinkte artikel gelezen, maar er staat bar weinig concreets in. De schrijfstijl is van een hoog 'nou, dan weet je het wel' gehalte maar er wordt niets aangetoond.

Dat iemand als Snowden een interview geeft op RT bewijst bijvoorbeeld niets. Reken maar dat Amerikaanse nieuwszenders niet allemaal stonden te trappelen.

miekol 28 april 2017 22:44

Zou een dergelijke 'phone home' techniek niet direct door de mand vallen met een firewall zoals Little Snitch op Mac Os?

Verwijderd @miekol • 29 april 2017 01:42

Iedere firewall die nieuwe uitgaande verbindingen detecteert zou werken.
In werkelijkheid komt het wel vaker voor dat mensen meer lax zijn met policies voor uitgaande verbindingen ten opzichte van inkomende.

En vaak zijn we/firewalls vaak best lief voor poort 80/tcp (http) en 445/tcp (https).

Mooiste is als je per applicatie whitelist...
En alles andere standaard blokkeren.

En ook dan kunnen die applicaties gebruikt worden als omweg als het ware.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:07]

Sjaak_Trekhaak @Verwijderd • 29 april 2017 07:39

HTTPS is poort 443

Verwijderd @Sjaak_Trekhaak • 29 april 2017 09:01

Yup... Het was laat.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 08:07]

turtles3 28 april 2017 20:46

Ik moest toch wel even lachen bij het bericht als je het document met Open Office opent! Het is dus geen super geheim.

Verwijderd 28 april 2017 23:02

Ik vind de *kuch* spectaculaire onthullingen rond Vault7 een behoorlijke dode mus.

Wat oude exploits, wat saaie manuals en nu zowaar een http tracker, embedded in een bestandsformaat waarin je sowieso http requests kan verstoppen, by design dan nog.

Daar kan je misschien Joe Sixpack mee blij maken maar eigenlijk gaat het helemaal nergens over.

Wanneer krijgen we eens wat lekken van Fancy Bear of DragonOK? Of moeten we nu met zijn alleen gaan geloven dat de rest van de wereld brave koorknapen zijn.

Tegen het huidige tempo (was met Snowden ook het geval - informatie met mondjesmaat) moeten we wachten tot 2020 vooraleer alles is gepubliceerd).

Ik denk dat ik ook maar een een SomethingLeaks ga starten, dan krijg ik allerhande tools en informatie in handen die ik vervolgens aan de hoogste bieder kan verkopen, de kruimels zet ik wel online.

AJ 29 april 2017 01:44

is dit nieuws... ik gebruik de techniek misschien al wel 10 jaar, om commerciële clouddiensten te testen op lekkages

ColdRain @AJ • 29 april 2017 10:45

Jij "gebruikt misschien al wel 10 jaar commerciële clouddiensten".
Dat is knap!

supersnathan94 @ColdRain • 29 april 2017 12:36

Hoezo? Dropbox viert dit jaar juni haar 10e verjaardag. Dat kan dan dus prima kloppen.

laptopleon @supersnathan94 • 29 april 2017 13:30

Eens. Bovendien, als Dropbox een clouddienst is - ik zeg áls - dan was pakweg Hotmail (* 1996) het ook. En ook die hebben webmail nou niet bepaald zelf bedacht.

MrMonkE @laptopleon • 29 april 2017 14:59

Cloud is ook gewoon een naampje voor alles wat er al was.

Zie ook Larry Ellison:
https://www.youtube.com/watch?v=rmrxN3GWHpM&t=45m45s

mae-t.net @laptopleon • 30 april 2017 13:31

Hotmail was inderdaad toen al een clouddienst, onder alle mogelijke moderne definities van dat woord.

laptopleon @mae-t.net • 30 april 2017 15:53

Het nadeel van zo'n ruime definitie, is dat heel internet dan een clouddienst is en altijd al was. De term voegt dan niets toe, terwijl het juist gebruikt wordt om diensten te omschrijven die iets nieuws doen.

Denk bijvoorbeeld aan Siri. De werkelijke rekenkracht en applicatie zit ergens anders en zou je ook niet 'even' thuis op een PC of zo kunnen draaien.

tweaknico @laptopleon • 1 mei 2017 15:07

Waarom denk je dat netwerken als wolkjes worden getekend?
dat is al heel oud...

AJ @ColdRain • 30 april 2017 11:20

knap is een relatief begrip...

[Reactie gewijzigd door AJ op 25 juli 2024 08:07]

Verwijderd 28 april 2017 21:15

Zwak hoor van de CIA. Nou weet iedereen natuurlijk wat te doen: open alle geheime documenten standaard met LibreOffice,simpeler kan het haast niet.

FreshMaker @Verwijderd • 29 april 2017 08:09

Zwak hoor van de CIA. Nou weet iedereen natuurlijk wat te doen: open alle geheime documenten standaard met LibreOffice,simpeler kan het haast niet.

Fooled everyone into using Libreoffice.
Life is so much simpler now

* CIA 2017

Ayporos @Verwijderd • 28 april 2017 23:10

Of, gebruik een in-house texteditor of een private fork van een open-source tekstverwerker met custom bestandsindeling en naam waarvan je zeker weet dat hij veilig, robuust en backdoor-loos is.