Дэниэль Лерх: «Стеганография – это инструмент, представляющий огромный интерес для кибер-преступников»

Original author: Panda Security
  • Translation


Эллиот Алдерсон прятал секретную информацию в аудио-CD файлах. Однако, техника, использованная вымышленным хакером из сериала «Мистер Робот», далека от простой прихоти телевизионщиков. Это всего лишь один из многих методов стеганографии, используемых хакерами и кибер-преступниками для обхода систем безопасности.

Произошедшее от греческих слов steganos (скрытый) и graphos (письмо), слово «стеганография» означает метод сокрытия данных. Чтобы понять, как лучше всего справиться с этой тайной угрозой, мы поговорили с Дэниэлем Лерхом, который имеет степень кандидата компьютерных наук в Университете Universitat Oberta de Catalunya (Каталония, Испания) и является одним из лучших экспертов по стеганографии в Испании.

Луис Корронс (L.C.): Как бы Вы определили стеганографию? Чем она отличается от криптографии?

Дэниэль Лерх (D.L.): Стеганография изучает, как сокрыть информацию на объекте-носителе (изображение, аудио-файл, текст или сетевой протокол). В то время как в криптографии цель заключается в том, чтобы отправленное сообщение не было прочитано злоумышленником, в стеганографии цель заключается в том, чтобы скрыть даже сам факт какой-либо коммуникации.

Эти две науки не являются взаимоисключающими. На самом деле, стеганография обычно использует криптографию для шифрования сообщения перед тем, как его скрыть. Но их цели различны: не каждому, кому необходимо защитить информацию, также необходимо скрыть ее. Так что стеганография может быть дополнительным уровнем безопасности.

L.C.: Кто может больше выиграть от стеганографии: кибер-преступники или поставщики решений безопасности?


Дэниэль Лерх

D.L.: Несомненно, кибер-преступники. Тем, кто несет ответственность за безопасность компаний и учреждений, не требуется скрывать свои коммуникации. Чтобы обеспечивать их безопасность, достаточно криптографии.

Стеганография – это инструмент, который представляет огромный интерес со стороны разных типов преступников, т.к. он позволяет коммуницировать без риска их обнаружения. Типичные примеры: коммуникации между членами террористических ячеек, распространение незаконных материалов, раскрытие конфиденциальной информации, инструмент для сокрытия вредоносных программ или команд, которые удаленно управляют этими вредоносными программами.

L.C.: Как эта техника развивалась в последнее время?

D.L.: В зависимости от среды, где применяется стеганография, ее развитие было различным.
Направление, которое развивалось больше всего, — это стеганография в изображениях. Их очень сложно моделировать статистически, а потому в них очень легко вносить изменения, которые будут незаметны. Например, значение пиксела в черно-белом изображении может быть представлено байтом, т.е. числом от 0 до 255. Если это значение немного изменить, то человеческий глаз может этого не заметить. Но проблема в том, что при статистическом анализе изображения непросто обнаружить такое изменение. Изображения являются отличным способом сокрытия данных, точно также как видео и аудио.

Другая среда, которой уделяется очень много внимания, — это стеганография в сетевых протоколах. Впрочем, в отличие от того, что происходит с изображениями, сетевые протоколы четко определены. Если мы меняем информацию в сетевом пакете, то это может быть заметно, а потому тут меньше возможностей для маневра при сокрытии данных. И несмотря на то, что такие изменения могут быть легко обнаружены с самого начала, такие техники могут быть весьма эффективны в результате сложности анализа огромного объема трафика в существующих сетях.

Один из старейших носителей информации, и который меньше всего развивался в цифровую эпоху, — это текст. Однако, стеганография в тексте может сделать существенный скачок в силу развития машинного обучения. В техниках, разработанных в последние годы, процесс сокрытия информации утомителен и он требует от пользователя ручного ввода для создания «нормального» текста, который имеет смысл, но при этом содержит скрытое сообщение. Впрочем, современные достижения в глубоком обучении, применяемом в NLP (Natural Language Processing), позволяют нам создавать более и более реалистичные тексты, так что возможно, что вскоре мы увидим стеганографию в тексте, которую сложно будет обнаруживать.

L.C.: Какие направления применения стеганоанализа в сфере компьютерной безопасности? Какие техники обычно используются?

D.L.: С точки зрения безопасности компании, основные области применения – это обнаружение вредоносных программ, которые используют стеганографию для своего сокрытия, и обнаружение вредоносных пользователей, которые пытаются извлечь конфиденциальную информацию.

С точки зрения спецслужб, обеспечивающих национальную безопасность, основные области применения стеганоанализа – это обнаружение террористических или шпионских коммуникаций.

Хотя большинство инструментов стеганографии, которые можно найти в Интернете, являются достаточно простыми и могут быть обнаружены с простыми и известными атаками, не существует качественных публичных инструментов, которые позволяют нам автоматизировать процесс, обнаруживая стеганографию в сетевых протоколах, изображениях, видео, аудио, текстах и пр.

Может быть, это пока невозможно. Например, в области стеганографии в изображениях, современные передовые техники, которые исследуются в настоящее время, с огромным трудом могут быть обнаружены с использованием машинного обучения. Кроме того, если информация распределяется среди различных носителей, что значительно снижает объем информации на каждом объекте-носителе, то ее обнаружение с помощью современных технологий становится практически невозможным.

L.C.: Как Вы считаете, какую роль стеганография будет играть в ближайшие годы? Будет ли она использоваться чаще как оружие для атаки, или, все же, как средств обороны?

D.L.: Стеганография как средство обороны выглядит очень необычно, хотя такие примеры существуют: например, извлечение информации активистами в стране с тоталитарным режимом.

Основная роль стеганографии в ближайшие несколько лет будет лежать в ее применении в качестве инструмента для сокрытия вредоносных программ и для отправки им требуемых команд управления. Это уже делается, хотя с помощью достаточно примитивных техник. Использование современных техник стеганографии для сокрытия вредоносного кода будет значительно затруднять обнаружение, заставляя средства безопасности использовать передовые методы стеганоанализа.

L.C.: Какой совет Вы бы дали специалистам по информационной безопасности, которые задумываются над использованием стеганоанализа?

D.L.: Вероятнее всего, они заинтересованы в обнаружении вредоносных программ или в эксфильтрации данных. Первое, — это нужно следить за всем, чтобы знать, какие средства существуют, и когда и как их использовать. Затем, это все сводится к практике. Тестируйте и проверяйте технологии, которые мы внедряем, используя огромные объемы данных.

Если вы используете машинное обучение для выполнения стеганоанализа, вы должны быть осторожны с тем, какие данные вы используете для обучения системы. Модель должна быть в состоянии предугадывать данные, которые она никогда не видела. Это может привести к ошибке, если для проверки модели использовались данные, которые были использованы для ее обучения. В машинном обучении часто говорят, что модель настолько хороша, насколько хороши данные для ее обучения. Поэтому если обучающие данные не будут полными, то вероятнее всего, что наша модель не будет надежной. Чем больше данных мы используем для обучения модели, тем меньше вероятность того, что она будет неполноценной. В противном случае, мы рискуем в конечном итоге разработать инструменты, которые хорошо будут работать только в нашей лаборатории с нашими тестовыми данными.

L.C.: Какую роль будет играть искусственный интеллект и машинное обучение в стратегиях информационной безопасности предприятий?

D.L.: Примером может служить автоматическое обнаружение дыр безопасности в ПО. Также замена антивирусной программы, которая обнаруживает сигнатуры известных вирусов, на систему с искусственным интеллектом, которая идентифицирует вирусы на основе общих характеристик и поведения.

L.C.: В среде, где все больше и больше подключенных устройств, какие должны быть приняты меры безопасности для защиты конфиденциальности данных на уровне предприятия?

D.L.: Меры безопасности на IoT-устройствах должны быть такими же, как и те, что применяются по отношению к другим устройствам, подключенным к той же сети. Может показаться странным, что необходимо управлять безопасностью офисного кондиционера на таком же уровне, как и ПК, но с точки зрения злоумышленника, он является хорошей точкой доступа к сети, как и любая другая.
  • +13
  • 8.2k
  • 9
Panda Security в России и СНГ
75.79
Облачные решения безопасности, антивирусы
Share post

Comments 9

    0
    Что следует понимать под статическим анализом изображения? Google не даёт простого объяснения
      0

      Там написано «статистический», а не «статический».

      +1
      В статье речь идет о статистическом анализе изображения.
      На эту тему есть подробная информация в монографии.
        +1
        Стеганография – это инструмент, который представляет огромный интерес со стороны разных типов преступников, т.к. он позволяет коммуницировать без риска их обнаружения. Типичные примеры: коммуникации между членами террористических ячеек, распространение незаконных материалов, раскрытие конфиденциальной информации, инструмент для сокрытия вредоносных программ или команд, которые удаленно управляют этими вредоносными программами.

        Террористов и экстремистов в типичных примерах использования стеганографии хорошо было бы разбавить упоминанием преодоления интернет-цензуры, например, где маскировка под другой вид трафика — часто используемый прием. Это даже формально часто не преступление (много где, в России в частности, запрещено предоставлять средства обхода, но не заапрещенно обходить блокировки).
          0
          Предположим некто Джим в какой-то социалке разместил фото красивейшего заката на каких-нибудь островах в океане. Также представим, что некоему Джону это фото ну очень понравилась и он репостнул его у себя в ленте.
          Вдруг выясняется, что внутри этого фото скрывается еще одно, например с детским порно.
          Вопрос:
          Можно ли в этом случае предъявить Джиму и Джону обвинения в распространении детского порно, при условии, что они оба настаивают на том, что не знали о том, что внутри фото с закатом было еще что-то?
            0

            Что значит «вдруг выясняется»? Стеганография не обложена стандартами, если некоторая фотография P позволяет скрыть передачу n бит данных методом M, то вы всегда можете найти такую функцию f(M(P)), что на её выходе будет детское порно, занимающее n бит или менее. Нужно только постараться найти такую f(), которая будет выглядеть применимой для обмена скрытыми и зашифрованными сообщениями, «n бит или менее» одно из необходимых условий. Или, скорее, «правильный» ключ для любого современного алгоритма шифрования, известные реализации которого позволяют использовать его без аутентификации (аутнефикация усложнит нахождение ключа) — что не так уж невозможно, если учесть что для брутфорса можно использовать все достаточно большие или достаточно длинные последовательности мелких картинок, выложенных Джимом, все алгоритмы шифрования, удовлетворяющие условиям («современный» — без известных уязвимостей), все достаточно неприглядные картинки детского порно и, собственно, все возможные ключи — с таким набором переменных можно сообразить какой‐нибудь способ закончить брутфорс побыстрее.


            Если до такого дойдёт, то логичной линией защиты будет указать на осуществимость подставы и указать, что у других картинок Джима и Джона применение такой же f(M(P)) выдаёт мусор.

              0
              Т.е. если для более чем одной картинки например для f(M(P1)) и f(M(P2)) на выходе имеем ДП, то этого будет уже достаточно для выдвижения обвинения в распространении ДП?
              И не важно что Джим и Джон утверждают, что даже не подозревали о существовании такой f(M())?
                0

                Обвинению нужно доказать, что ДП есть. Джиму нужно доказать, что ДП нет. Если и судья, и Джим хотя бы примерно понимают тему, то только одной картинки не хватит — её вполне можно набрутить. Но чем больше обвинение набрутит такого, что будет выглядеть как картинки со скрытым ДП, тем легче будет убедить судью — сложность нахождения f(M()), дающей на выходе ДП у сразу нескольких картинок слишком быстро растёт.


                Джону вообще практически ничего светить не должно (кроме требования убрать картинку или убрать сообщение из картинки) — для передачи стеганографического сообщения достаточно доступности в сети всего одной картинки, f и M важнее. Если Джон не автор картинки, то он просто укажет, что картинка в сети уже была, для обвинения Джона уже придётся доказывать знание им f и M.


                Для Джима есть вторая линия защиты: если обвинение набрутит f и M, то можно докапываться до того, откуда они это взяли. Потому что доказательство того, что f и M нельзя набрутить является фактически доказательством того, что некоторый алгоритм шифрования гарантированно требует некоторого минимального времени на шифрование сообщение на любом современном компьютере (в т.ч. оснащённом фермой ASIC, заточенной под данную задачу), а этого ещё никто ни для какого алгоритма не сделал; так что обвинению всегда можно предъявить, что они набрутили f и M, даже если вы не знаете, возможно ли это в принципе на современном железе.


                Третья линия: обвинение должно искать f и M только для картинок, более ранних дубликатов (таких, что выглядят одинаковыми и M(P) == M(Pdup), но попиксельное совпадение не обязательно) которых в сети нет. Если обвинение сделает ошибку с дупликатом, то её придётся объяснять — нельзя добавить сообщение в уже опубликованную картинку, это нарушает причинно‐следственные связи. (Линия слабее, Джим тоже может набрутить…)




                В общем, как я вижу ситуацию: слишком заморочный и наукоёмкий (обвинению ещё нужно понять, как набрутить: это выглядит для меня возможным, но реализаций и сроков я вам не назову) способ подставить человека. И слишком ограниченный: позволяет только обвинить в передаче информации, передача которой запрещена законом.

            0
            Я понимаю, что статья совсем не об этом, но разве Эллиот Алдерсон прятал секретную информацию в аудио-CD файлах? Я, похоже, что-то там пропустил — мне казалось он просто записывыл файлы на диск, а метки им давал как музыке и запоминал где что.

            Only users with full accounts can post comments. Log in, please.