维基解密公开CIA机密文档追踪工具Scribbles源码（别名为“Snowden Stopper”）

既今年三月初开始，维基解密披露了一系列CIA Vault7 文档。4月28日维基解密再度公开了该系列中名为 Scribbles 的相关文件及其源代码。Scribbles ，别名为“ Snowden Stopper ”（斯诺登终结者…），是一款将“web beacon”标签加入机密文件中，用以追踪告密者及国外间谍的软件。

最新版本的 Scribbles （v1.0 RC1）是在2016年3月1日发布的，CIA 将其文件标记为机密等级并保持机密性至2066年。至少在去年的2016年年内，CIA 在使用 Scibbles 工具进行文件监控，监控组织内部揭发者或外部间谍。

1、Scribbles 运作原理

维基解密披露的一份文件中表示，

Scribbles 是一个“文档水印预处理系统”，用于将“ Web beacon ”标签插入到可能被内部人员，举报人，记者或其他人员复制的文档中。

这个软件由 C# 语言写成，会生成随机水印，然后插入到文档中。

(S//OC/NF）Scribbles（SCRIB）是一个文件水印工具，可用于批量处理预先放置在输入目录中的多个文档。它为每个文档生成随机水印，将该水印插入到文档中，并将所有这样处理的文档保存在输出目录中，然后创建一个日志文件，该文件标识插入到每个文档中的水印。

——Scribbles 用户指南

每个用户打开这个被处理过的文档后，程序会在后台载入一个嵌入的文档并在 CIA 跟踪服务器上创建一条记录。这条纪录会与读取的文档关联，内容包括用户的身份，阅读文档的时间和 IP 地址。通过这样的方式，CIA 可以监控文档的阅读权限。

这样的工作原理和“ tracking pixel ”的运作原理一致：通过在邮件中嵌入像素大小的图片，实现帮助市场营销者或企业负责人跟踪阅读营销广告的用户数量。

2、仅针对微软Office系列文档

对CIA探员而言，Scribble的不足在于仅支持微软Office系列文档。根据用户手册中所描述的，CIA的此款工具是为微软Office文档的离线预处理开发的，这也就是说，如果这个被处理后的文档是通过其他应用程序打开，如 OpenOffice 或 LibreOffice ，用户可能是可以看到加入的水印或 Url 。

Scribbles文档水印工具可以在微软Office2013（Win8.1 x64）、Office97-2016的文档中正常使用，而如果是Office 95文档或处于锁定／加密／密码保护状态的文档，该工具则将无法正常处理。

此工具的另一个缺陷在于，它的文件水印是从远程服务器上载入的。因此，只有当用户浏览文件时是处于在线状态时，此工具才能发挥作用。

3、维基解密披露文件

以下是维基解密披露的最新一批文件，按照披露时间和组织的顺序排列：

• Year Zero：应对软硬件入侵的CIA Exploit
• Dark Matter：iPhone和Mac的入侵 Exploit
• Marble：混淆网络攻击的一款框架
• Grasshopper：为Windows系统构建定制化恶意软件的平台