Содержание статьи
Буэнас тардес, уважаемые любители IT-безопасности и почитатели кодекса межгалактических хакеров. Сегодня мы в удивительной для себя манере докажем друг другу, что (warning! метафоризация!) «двести пятнадцать миллионов деструктивных способов управлять лифтом» - ничто по сравнению с одним единственным решением – монтёром. Малограмотные магистры клавиатуры и мышки слабо представляют себе, как же порой просто обнаружить их шкодливые проделки. Даже в такой развивающейся области, как Стеганография.
Об азах стеганографии писал и журнал «Хакер»(1,
2, 3,
4, 5), однако в силу своей специфики мало уделил внимания обнаружению «тайнописи». Впрочем, и всех номеров журнала не хватит, чтобы досконально осветить эту тему: интенсивные исследования ведутся в большинстве ведущих Вузов и научно-исследовательских институтов, а также в частных и государственных компаниях на протяжении последних 20-ти лет. За всё время исследовательской деятельности на основе обработки большого количества звуковых, графических, текстовых и иных файлов удалось создать обширную базу стеганографических признаков и типов. В частности, применяя технологию контрольной суммы данных, на первых этапах проверки информации удаётся отсеять большое количество «пустых» файлов. На сайтах
www.hashkeeper.org и www.nsrl.nist.gov
содержится база данных файлов операционных систем и большого количества известного софта. Большинство программ стегоанализа способны самостоятельно подгружать информацию с сайтов, быстро отсеивая ненужные данные.
Существуют тысячи способов включить сообщение, звук или изображение в другой файл и пару десятков методов обнаружить тайную интеграцию. Соотношение, на первый взгляд, удручающее. Однако, к примеру, простые некоммерческие (freeware soft) программы для стеганографии используют такой подход сокрытия информации (чаще всего в графических файлах), который в полной мере соответствует гарантии сохранности банки тушенки под консервным ножом. Даже использование относительно продвинутого метода наименее значащих битов (Least Significant Bit, LSB) не даёт успеха.
Метод LSB основан на ограниченных возможностях восприятия органов чувств - люди не способны различать незначительные вариации цветов или звуков. Как показывает практика, замена в изображении двух младших битов (каждый отвечает за какой-либо цвет или оттенок) не воспринимается человеческим глазом. В случае необходимости можно занять и три разряда, что весьма незначительно скажется на качестве картинки. А бит, псевдослучайно вкрапленный в естественный шумовой фон mp3 файла, обнаружить очень и очень сложно. Особенно, если речь идёт о треке в стиле noise :).
Простые методы дестеганографии заключаются в следующем: для начала нужно найти все места возможных закладок инородной информации, которые допускает формат файла-контейнера. Далее требуется извлечь данные из этих мест и проанализировать их свойства на соответствие стандартным значениям. Для решения первой задачи достаточно внимательно изучить спецификации используемых форматов файлов, а вторая обычно решается методами статистического анализа. Например, если необходимо спрятать некий текстовый фрагмент, то такое послание будет содержать только символьную информацию: 52 знака латиницы, 66 знаков кириллицы, знаки препинания и некоторые служебные символы. Статистические характеристики такого сообщения будут резко отличаться от характеристик случайной последовательности байтов, которую должны напоминать младшие биты RGB-картинки, собранные вместе (для метода
LSB).
Однако всегда надо учитывать тот факт, что человеческая фантазия безгранична и человек может спрятать информацию элементарным образом в очень труднодоступное место. И тогда в дело на смену специализированному софту вступают горячий утюг, наручники и табуретка ;).
Stegdetect
http://www.outguess.org/detection.php
Stegdetect весьма эффективен против большого числа стеганографических программ: JSTEG, JPHS, Gifshuffle, Hide-and-Seek, Steganos. Stegdetect первым делом проверяет самые доступные хранилища: поля-комментарии и поля расширений различных форматов файлов, наличие искусственно созданных изображений, а также изображений с большим количеством участков однотипной заливки. Программа сравнивает частоту распределения цветов для возможного носителя скрытой информации и теоретически ожидаемую частоту распределения цветов для файла-носителя скрытой информации. Это, возможно, не самый быстрый метод защиты, но если возникают подозрения на счет противоправной деятельности, то этот метод может быть самым эффективным. Однако осилить более сложную «смысловую нагрузку» в текстовых документах проге уже не по силам. А ведь бессмысленные фразы, скорее всего, сгенерированны специальными стего-программами по словарям (или написаны сумасшедшими роботами-колонизаторами).
В то же время Stegdetect показывает достаточно уверенные результаты в том случае, если содержание вложения превышает 10 % объёма файла-контейнера. Однако я бы порекомендовал эту программу лишь начальникам, подозревающих своих бухгалтеров в передачи секретной информации под видом десятка фотографий подсолнухов.
FTK Imager
FTK Imager позволяет быстро создать образ жесткого диска для последующего изучения, а также на лету просмотреть файлы MS Office, архивов или изображений. Вы можете самостоятельно выбрать, какие форматы хотите просмотреть – все они рассортированы по типу.
Анализ данных осуществляется благодаря встроенной в программу базе контрольных сумм (есть возможность и импортировать извне) - все файлы, содержащие в себе вложения или дополнительные изменения, будут сразу же отображены. Как известно, ещё не удалось создать файл-контейнер, который не изменил бы свой размер, приняв стего-файл. Дублированные, архивированные, шифрованные, файлы с неверным расширением и так далее выводятся отдельно для последующего изучения. Возможны любые манипуляции с вложениями плюс максимум информации, которую только можно получить из имеющегося у вас файла. Программу отличает весьма дружелюбный интерфейс, информативность и высокая цена. Впрочем, в нашей стране высокая цена ещё никогда не мешала распространению программ ;). Я бы порекомендовал использовать
FTK каждому, кому нужно выискивать следы тайных посланий и мифических знаков в банальных, на первый взгляд, вещах. Код да Винчи по сравнению с ухищрениями прошаренного сотрудника финансового отдела банка покажется головоломкой для детей, в стиле кубика-рубика.
Stego Suite
http://www.000.shoppingcartsplus.com/catalog/item/4170630/4050552.htm
Автоматический программный сканер, содержащий 9 стеганографических алгоритмов детектирования, рассчитанных на все общие типы файлов цифрового изображения и аудио файлов. Состоит из модулей
Stego Analyst – визуального аналитического пакета для всестороннего анализа цифровых изображений и аудио файлов; и
Stego Break – инструмента взлома стеганографической защиты.
Позволяет разом уничтожить данные, спрятанные по алгоритму наименее значащих битов.
Stego Suite изменяет младшие разряды каждого байта мультимедиафайла на нулевой бит. При этом качество изображения или звука не изменяется.. Безобидную картинку мы таким образом не испортим, но несанкционированную передачу данных обязательно пресечем.
File Signature Header
Некоторые пользователи злонамеренно изменяют расширение файла. Или на свою больную голову прячут конфиденциальные сведения в файле, аналогичном уже существующему. Некоторые просто переименовывают файл картинки, к примеру, test.jpg в test.txt и интеллектуальная ОС Windows откроет его в блокноте - вместо картинки получите бессмысленный текст. Если у файла нет расширения (а называется он dfhhu457785h), то при отсутствии некоторых знаний его открытие может стать проблемой.
File Signature Header замечателен тем, что позволяет не только определить принадлежность какого-либо файла, но и зачастую идентифицировать программу, его создавшую, или заострить внимание на каких-либо файлах (в рамках конкретного дела).
Использую базу файлов из интернета, File Signature Header позволяет достаточно быстро оценить, в каком направлении вести поиск. Если проверка показала наличие графических файлов-контейнеров, то есть смысл дальше использовать программу
Stegdetect.
ProDiscover
Необходимый для работы минимум в программе присутствует, но для полного анализа всё равно понадобится дополнительный софт. Программа может работать как с диском, так и с образом, также позволяет работу в сети. Возможна проверка файлов по File signature header (не путайте с одноименной программой) и hash set (базы контрольных сумм файлов), но сам результат отображения не даёт никаких дополнительных сведениий о данных. Программа лишь высказывает своё подозрение о тех или иных файлах, ничем не подкрепляя свою точку зрения. Стоит ли ей доверять? Дело каждого, но я, честно говоря, не рекомендовал бы юзать данный софт.
Ilook Investigator
http://www.ilook-forensics.org
Продукт понравится всем хакерам этого мира, поскольку распространяется бесплатно и (achtung!) только работникам правоохранительных органов. По количеству функций можно сравнить с
FTK Imager и File Signature Header. Есть возможность создать образ проверяемых файлов, смонтировать их, проверить по hash set file signature header (все с возможностью добавления, редактирования). По сравнению с предыдущими программами, интерфейс может показаться антиюзабилитным (беда многих бесплатных и/или программ, разработанных для государства), но это дело наживное и жизнь не отравляет. Правда, информации о программе в сети – нуль. Техподдержки – нуль. Демо-версий – отрицательное число. А чтобы пообщаться с другими пользователями, вам придется пробить аську 9-го управления ;).
Maresware Forensic Suite
По рассказам пользователей, самые лучше стеганографические программы те, что прекрасно себя ведут в командной строке. По всей видимости, этим и руководствовались создатели MFS. Всё, что можно сделать в командной строке, присутствует. Все возможности стандартны - создание и восстановление образа, подсчет и сравнение контрольных сумм, проверка по hash sets, file signature header, поиск по многим параметрам, включая ADS для NTFS, определение файлов PGP и многое-многое другое. Каждая из утилит, входящая в Maresware Forensic Suite, хороша как отдельный продукт, а в наборе просто исключительно приятная вещь. Да, и небольшое добавление: прога заточена для работы в среде Linux & Unix.
Paraben E-mail Examiner
http://www.paraben-forensics.com
Аналогичная версия - MailBag Assistant (http://www.fookes.com). Программа натравлена и привита под электронную почту (давайте скажем «превед» легиону системных администраторов). Подсчет контрольных сумм, проверка текста, подсчет md5, и многое другое. Прекрасно зарекомендовавшая себя программа.
Многие хакеры искренне уверены, что если спрятать секретные сведения в AVI- или WAV-файлы – их не найдёт и сам Господь. Мол, я не боюсь тупых спецслужб, они никогда-никогда не догадаются, где я спрятал пароль от официальной аси управления федеральной службы по надзору за спариванием оленей красноярского края. Мало кто знает, что используемые в большинстве случаев алгоритмы стеганографии давно устарели. Вероятность обнаружения компетентными органами ваших личных, глубоко припрятанных данных, предельно близка к 100%. Те алгоритмы стеганографии, которые обеспечивают приемлемую надежность, во-первых, слишком сложны в вычислительном плане для кодирования потока данных в реальном времени, во-вторых, объем скрываемой информации для них не превышает 3-4 процентов.
Таким образом, стеганография может показаться вообще бессмысленной… если, конечно же, вы не прячете по биту в каждом 25 кадре собственного avi-ролика или, вот же, хороший способ есть. Возьмите bmp-файл и в младшие биты запишите зашифрованный запороленный диск. Затем поместите bmp в многотомный архив, части которого порежьте, инвертируйте первые байты и разложите по системным директориям с разными расширениями на разные жёсткие диски, которые затем раздайте свои знакомым под видом статуэток египетского бога мёртвых Анубиса. Ну вот и всё, вы в безопасности 🙂