Комментарии 54
Это не стеганография, и такое «чудо» умели очень даже древние вирусы.
Неужели? Как же так! Мне было немногим больше ~10 лет и я уже это знал, это середина 90-х. Представляете? Интернета не было.
P.S. Записывается (при быстром форматировании, а кто полное делает?) только FAT и ее резервная копия (как там с NTFS не знаю, но на флешках обычно FAT).
И-и-и — барабанная дробь! Ответ практически всегда будет — да! Ведь в большинстве случаев создание файловой системы сводится к тому, что на диск записывается только несколько блоков служебной информации, а в остальном содержимое раздела не меняется.
Неужели? Как же так! Мне было немногим больше ~10 лет и я уже это знал, это середина 90-х. Представляете? Интернета не было.
P.S. Записывается (при быстром форматировании, а кто полное делает?) только FAT и ее резервная копия (как там с NTFS не знаю, но на флешках обычно FAT).
Это не стеганография,
Обоснуйте.
Неужели? Как же так! Мне было немногим больше ~10 лет и я уже это знал, это середина 90-х. Представляете? Интернета не было.
Искренне рад за вас. Вы были очень развитым ребенком.
Немного вас разочарую: я тоже в курсе всего этого и примерно с тех же времен.
P.S. Записывается (при быстром форматировании, а кто полное делает?) только FAT и ее резервная копия (как там с NTFS не знаю, но на флешках обычно FAT).
В NTFS точно так же. Более того, и в ext2-3-4 тоже так же.
Собственно, вся статья — это развитие вот этого обсуждения: habr.com/ru/post/347604/#comment_10637312
Давненько хотел попробовать на практике то, о чем мы все знаем в теории. Сейчас вот нашел на это время. Конкретно интересовали граничные случаи — т.е. сколько данных остается на диске, если его забить под завязку. Про то и статья.
Обоснуйте.
Ну ок, в википедии определение стеганографии достаточно расплывчатое, так что Ваше решение в некотором смысле к нему подходит. Но для меня лично стеганография — это метод сокрытия секретных данных в общедоступных. Сюда относится, например, ложные опечатки, которые при знании алгоритма их обнаружения позволяют составить строку битов/байтов, из которых восстанавливается скрытое сообщение.
Прятать же хищное тело злобного вируса (ну или сообщение) в тех местах, куда вряд-ли доберется драйвер файловой системы, ну и плюс многократно дублировать это (во избежание) — к стеганографии не относится. Так же, как, к примеру, и запись тела вируса в те самые куски исполняемых файлов, где для выравнивания остается куча «свободного» места, т.е. килобайты, в которых или 0 или повторяющиеся последовательности. Это всё НЕ стеганография.
Но для меня лично стеганография — это метод сокрытия секретных данных в общедоступных.
Стеганография — это сокрытие самого факта передачи секретных данных. И в этом смысле нет особой разницы между тем, передается ли тайное сообщение посредством ложных опечаток или неиспользуемых секторов. И в том, и в другой случае цель — скрыть сам факт наличия секретных данных.
И в этом смысле нет особой разницы между тем, передается ли тайное сообщение посредством ложных опечаток или неиспользуемых секторов
Мой опыт изучения стеганографии показывает, что даже самая простой вариант стеганографии проходит «на ура». Нет смысла умножать сущности.
(Испытуемые* знали, что используется стеганография, им было предложено обнаружить стегосообщение в передаваемых файлах, но никто ничего не нашел :)
Вообще, складывается впечатление, что чем проще — тем надежнее.
* между прочим — это были проффи, чьей задачей является искать и пресекать :)
их задачей является сбор денег, а отнюдь не «искать и пресекать»
их задачей является сбор денег, а отнюдь не «искать и пресекать»
Не умея искать и пресекать — они денег собрать не смогут.
Люди работают по разработанным для них методичкам, редко кто проявляет инициативу идти по непроторенным путям.
(один из наших обучающих экспериментов был следующий: кулек с товарами из магазина: бытовая химия, разная мелочевка, DVD-диск и художественная книга. Задача — найти стеганографическое сообщение. Началось активное изучение диска и книги. Под подозрение попали даже штрих-коды на товарах. А разгадка была предельно простой — сообщение было напечатано на простенькой бумажной этикетке пластиковой бутылки с моющим средством. В разделе «Состав» — мелкими буквами с минимальным интервалом (слово с настоящей этикетки — слово из секретного сообщения — слово с этикетки и.т.д.)
Этого детского шифра оказалось вполне достаточно)
«Неиспользуемые» в определенных случаях секторы могут затираться, в зависимости от алгоритма работы драйвера ФС. Стеганография (опять же, в моем понимании) предполагает модификацию неких данных (файла с текстом, к примеру) таким образом, чтобы у читающего этот текст не было никаких поводов заподозрить наличие скрытой информации (с UTF-8 это вообще прелестно). Вы же рассуждаете о том, как спрятать секретные данные там, где их обнаружить можно (причем даже не утрудили себя тем, чтобы как-то скрыть этот факт: я ведь могу просто по секторам прочитать весь диск, простейшая программа на ассемблере, и найду всё что Вы спрятали). Уж лучше бы в Flash BIOS записывали, вдруг никто не догадается.
Хотя, впрочем, Вы несколько правы, — но только в том смысле, что Вы скроете секретные данные только на своем носителе, с известной Вам файловой системой. Только вот стеганографию как бы в передаче данных больше используют, а какой носитель и ФС будет использовать Ваш визави — бабка натрое гадала. Так что остается ориентироваться лишь на файлы — как поток байтов, а не на структуру ФС и её алгоритмы.
Вы же рассуждаете о том, как спрятать секретные данные там, где их обнаружить можно (причем даже не утрудили себя тем, чтобы как-то скрыть этот факт: я ведь могу просто по секторам прочитать весь диск, простейшая программа на ассемблере, и найду всё что Вы спрятали).
А с чего вдруг вам придет в голову мысль, что флэшку надо прочитать посекторно? На файловой системе вы не увидите ничего подозрительного — никаких скрытых файлов, никаких несоответствий между размером файлов и свободным пространством на диске.
Ну хорошо, допустим, вы все попавшие к вам в руки носители читаете посекторно. Что вам это даст? Скрытые данные зашифрованы и ничем не отличаются от рандомных.
Хотя, впрочем, Вы несколько правы, — но только в том смысле, что Вы скроете секретные данные только на своем носителе, с известной Вам файловой системой.
Тип файловой системы не важен. По крайней мере, подойдет любая из тех, что широко используются на переносных носителях (fat16, fat32, ntfs, exFat). Главное, чтобы не все свободное место на ней было забито.
Только вот стеганографию как бы в передаче данных больше используют, а какой носитель и ФС будет использовать Ваш визави — бабка натрое гадала.
О об использовании стеганографии и пароле договориться, значит, можно, а о том, как флэшку потом форматировать — никак не получится? Почему? :)
Так что остается ориентироваться лишь на файлы — как поток байтов, а не на структуру ФС и её алгоритмы.
Образ диска — это ведь тоже файл. :)
А с чего вдруг вам придет в голову мысль, что флэшку надо прочитать посекторно? На файловой системе вы не увидите ничего подозрительного — никаких скрытых файлов, никаких несоответствий между размером файлов и свободным пространством на диске.
Скажете это в ФСБ/ЦРУ/ФБР/СБУ.
Вы так и не смогли понять, что то, о чём Вы говорите, к стеганографии относится чуть меньше чем вообще никак.
Скажете это в ФСБ/ЦРУ/ФБР/СБУ.
Ответ неконструктивен.
Я еще раз спрошу: вот попала к вам в руки флэшка. На ней — самая обычная файловая система, записана какая-то вполне банальная фигня. Никаких хитрых файлов, скрытых каталогов или криптоконтейнеров на флэшке не наблюдается. Таких флэшек в любой организации — десятки и сотни.
Вопрос: что может вас заставить насторожиться и начать изучать именно эту флэшку посекторно?
Вы так и не смогли понять, что то, о чём Вы говорите, к стеганографии относится чуть меньше чем вообще никак.
Почти каждое введение в стеганографию начинается с истории о том, что сообщение писали на бритой голове у раба, ждали, пока он обрастет, и отсылали его к адресату. Вас послушать, это к стеганографии относится чуть меньше чем вообще никак. Но жить-то как-то надо. :)
А Вы демагогии где учились?
Я бы сказал, что если «пустые» секторы записаны «случайным шумом», а не нулями или кусками когда-то удалённых файлов, то это повод изучить их повнимательнее.
Конкретно данная реализация может быть обнаружена при частотном анализе: если мы видим, что «случайный шум» состоит из некоторого количества одинаковых пакетов по 4к — тут явно что-то нечисто.
P.S. Прочитал комменты дальше — вы дописываете (в самое начало ведь, да?) совсем уникальный id блока. Тогда копий не будет, да.
Конкретно данная реализация может быть обнаружена при частотном анализе: если мы видим, что «случайный шум» состоит из некоторого количества одинаковых пакетов по 4к — тут явно что-то нечисто.
P.S. Прочитал комменты дальше — вы дописываете (в самое начало ведь, да?) совсем уникальный id блока. Тогда копий не будет, да.
Я бы сказал, что если «пустые» секторы записаны «случайным шумом», а не нулями или кусками когда-то удалённых файлов, то это повод изучить их повнимательнее.
Согласен. Но это уже «второй уровень обороны» — скрыть наличие информации при пристальном изучении дампа диска. Сама-то методика концентрируется на том, что диск в обычной работе с ним ничем не отличается от обычного — т. е. внимание не привлекает.
Можно, конечно, попытаться изобразить на диске какое-то непримечательное содержимое типа кусков былых файлов. Но тогда возникает две проблемы:
— надо как-то обеспечить разнообразие, потому что наличие в свободных секторах, например, только странных текстов подозрительно.
— надо как-то обеспечить распознавание «своих» данных. Если снабжать их какой-то контрольной суммой, то и любой интересующийся злодей сможет проверить, есть на диске скрытые данные или нет.
Посему я выбрал самый простой способ — шифровать. Ну да, наличие рандомных данных может выглядеть подозрительно, но это уже издержки. И кстати, есть у меня знакомый админ, который перед продажей б/у дисков из серверной заполнял их псевдослучайными данными из /dev/urandom :)
вы дописываете (в самое начало ведь, да?) совсем уникальный id блока
Да, в самое начало.
А теперь попробуйте TRIM (для SSD).
Простите, но помимо плохой редакции статьи, главное с чем я столкнулся, так это с вопросом — а что мешает проверяющему органу понять, что Вы что-то спрятали, а потом затребовать пароль для вскрытия шифровки? По идее отказ будет воспринят следствием не в лучшую сторону для Вас. Или таки есть возможность отмахнуться, мол не моя флешка(если речь о флешке) или не помню пароль, канает, как Вы любите вырожаться. Выражение обоснуй я подглядел в вашем ответе к одному из комментариев.
Хотя пока писал, до меня дошло, что прятат можно не только от следствия, но и вдругих случаях(тут как раз и проявилась неудачная на мой взгляд редакция статьи — немного бы пошаманить). Бизнес, коллеги, семья, и так далее. Но что если говорить именно о хитрых следаках и их возможностях технических.
Спасибо.
Хотя пока писал, до меня дошло, что прятат можно не только от следствия, но и вдругих случаях(тут как раз и проявилась неудачная на мой взгляд редакция статьи — немного бы пошаманить). Бизнес, коллеги, семья, и так далее. Но что если говорить именно о хитрых следаках и их возможностях технических.
Спасибо.
Простите, но помимо плохой редакции статьи
Что именно плохо?
главное с чем я столкнулся, так это с вопросом — а что мешает проверяющему органу понять, что Вы что-то спрятали, а потом затребовать пароль для вскрытия шифровки?
Шифрованные данные ничем не отличаются от случайных — там нет явно видимых заголовков или повторяющихся паттернов. Поэтому проверяющие органы не смогут найти на диске подозрительных «зацепок».
Единственное, что может вызвать подозрение — это то, что в незанятых секторах не нули, а какие-то рандомные данные. Ну так всегда можно сказать, что раньше на флэшке были фильмы записаны. :)
а потом затребовать пароль для вскрытия шифровки? По идее отказ будет воспринят следствием не в лучшую сторону для Вас.
Если на диске нет шифрованных данных, то утилита не сможет ничего расшифровать.
Если дать неверный пароль, то утилита тоже не сможет ничего расшифровать.
Другими словами, доказать, что на диске есть скрытые данные, можно только имея валидный пароль.
Или таки есть возможность отмахнуться, мол не моя флешка(если речь о флешке) или не помню пароль, канает, как Вы любите вырожаться.
Вы меня с кем-то путаете. Я не люблю так выражаться.
Хотя пока писал, до меня дошло, что прятат можно не только от следствия, но и вдругих случаях(тут как раз и проявилась неудачная на мой взгляд редакция статьи — немного бы пошаманить). Бизнес, коллеги, семья, и так далее. Но что если говорить именно о хитрых следаках и их возможностях технических.
Статья не претендует на руководство по сокрытию данных. Ее цель — поделиться моими наблюдениями.
Утилита написана для проверки концепции и для развлечения. Она не предназначена для использования в бизнесе или сокрытия информации от правоохранительных органов.
Спасибо. Говорю, особо не придераюсью но например: Немного теоретизирования. До этого Вы описывайте 4 способа проверки. После чего разбирайте каждый. Не мне советовать, но может перед каждым пунктом где Вы детально пишите, писать оглавлаление «болдом»? В принципе читается с юмором, легко, но мелкие моменты я уверен в будущем Вы сделайте информативней и ещё читабильней
Вы что-то спрятали, а потом затребовать пароль для вскрытия шифровки? По идее отказ будет воспринят следствием не в лучшую сторону для Вас.
А «не пойман — не вор» не работает? Как они могут доказать что что то спрятано если нет пароля?
терморектальный криптоанализ профилактически применят и внезапно смогут восстановить пароль.
Я к чему спросил! Помните известный случай с исламистом в США, которого спец службы местные разрабатывали? На его айфоне код стоял — естественно инфа вся зашифрована. Шумиха, все такое… Я так помню он отмахивался мол код забыл. Интересно, а в реалиях РФ в таких случаях как поступают?
Полагаю, обрабатывают пока не вспомнит и, вероятно, правильно делают. И в РФ, и в США (Гуантанамо же).
Тогда продолжим, о какой стеганографии идёт речь, если я толковый спец могу понять, что там что-то скрыто и остаётся выбить пароль от шифровки. Хотя можно отмахнуться, мол: « я не знал, только что у цыганки купил флэху..»?
Хотя зря я этой спрашиваю в рамках этой статьи, так как получается автор старается спрятать данные, а получилось у него или нет, найдут шифровку или дело другое. То есть его метод претендует и в каком-то проценте случаев будет себя оправдывать, а в других не будет, если дядьки заинтересованные и толковые и знают, что надо искать.
Вот что пишет википедия:
Хотя зря я этой спрашиваю в рамках этой статьи, так как получается автор старается спрятать данные, а получилось у него или нет, найдут шифровку или дело другое. То есть его метод претендует и в каком-то проценте случаев будет себя оправдывать, а в других не будет, если дядьки заинтересованные и толковые и знают, что надо искать.
Вот что пишет википедия:
Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, факт шифрования которых не скрыт, вызывают подозрение и могут быть сами по себе уличающими в тех странах, в которых запрещена криптография[1]. Таким образом, криптография защищает содержание сообщения, а стеганография защищает сам факт наличия каких-либо скрытых посланий.
Когда у вас есть наличие закодированного, как Iphone, то очевидно что нужен пароль. Наличие сокрытых данных без пароля определить нельзя — так что нет пароля нет и факта что что-то сокрыто.
Под стеганографией подразумевается факт сокрытия самого факта, что что-то спрятано.
В вашем же случае довольно таки навязчиво отдельные странные фрагменты данных повторяются в нескольких местах жесткого диска. А это жжж неспроста.
Так что ключевая задача стеганографии — избежать вопросов "а что это вы прячете" — не достигается.
В вашем же случае довольно таки навязчиво отдельные странные фрагменты данных повторяются в нескольких местах жесткого диска. А это жжж неспроста.
Ошибаетесь.
На диске не будет повторяющихся фрагментов. В заголовке каждого фрагмента — его уникальный порядковый номер на диске. Сверху все это шифруется AES-256 в режиме CBC. В результате каждый фрагмент будет отличаться от своего дубликата, ведь у того — другой порядковый номер в заголовке.
АДД: Собственно, проверить не составляет труда: достаточно зашифровать короткий файлик, влезающий в один фрагмент целиком, и убедиться, что повторяющихся фрагментов нет. Для этого эксперимента даже диск не нужно искать — вполне подойдет обычный файл:
# Создаем файлик на 10 мегабайт
$ dd if=/dev/zero of=testfile.img bs=1M count=10
# Создаем «секретный файл»
$ echo «Megasecret» > secret.txt
# прячем это все в «образ диска»
$ ./steganodisk -e -s secret.txt -p password testfile.img
Теперь можно просмотреть testfile.img в любом просмотрщике, умеющем показывать бинарные файлы (хоть в том же mcview), и убедиться, что никаких повторяющихся фрагментов там нет.
На диске не будет повторяющихся фрагментов
А если ФС таки затрет фрагментик? Ведь если уж совсем-совсем прятаться, то надо так, чтоб ФС ничего про фрагментики не знала. А если она не знает, то и Вы особо не узнаете (да, можно пометить кластер как сбойный, но беда в том, что есть и реально сбойные кластеры, а не только фиктивные, а фиктивные каким-нибудь NDD обнаружатся). Вы не в ту сторону шифруетесь, ИМХО.
А если ФС таки затрет фрагментик?
Если ФС затрет фрагментик, то утилита его пропустит как не содержащий секретных данных (не сойдется контрольная сумма после расшифровки). Для того и нужна избыточность.
Ведь если уж совсем-совсем прятаться, то надо так, чтоб ФС ничего про фрагментики не знала. А если она не знает, то и Вы особо не узнаете (да, можно пометить кластер как сбойный, но беда в том, что есть и реально сбойные кластеры, а не только фиктивные, а фиктивные каким-нибудь NDD обнаружатся). Вы не в ту сторону шифруетесь, ИМХО.
ФС и так ничего не знает про скрытые данные. И утилита ничего не знает про ФС. Мне кажется, вы упустили главную мысль статьи: обнаружение испорченных фрагментов происходит безо всякой помощи со стороны ФС, а восстановление целого файла происходит за счет избыточности (многократного дублирования фрагментов).
Вместо разделения данных по кускам лучше использовать фонтанные коды ( https://en.wikipedia.org/wiki/Fountain_code ). Тогда можно будет шифровать рандом и результат применения кодирования, плюс шансы, что пропадут все куски с одинаковым идентификатором уменьшатся.
Поправьте если ошибаюсь, но во первых автор не претендует на исключительность своего метода, а лишь предлагает один из способов. Следовательно, если инфа и субъект который генерирует инфу, такая цель за которой «охотится» профессионал, то скорее всего эту инфу вскроют, или хотя бы найдут. Но в случае, если я храню фотки обнаженки любовницы, а жена или подруга нифига не айтишник, то очень даже сработает и нифига его подруга не догадается в жизни. Храни хоть на флешке, хоть на семейном компе, хоть…
Блеать, да это же НЕ стеганография!
Христа ради, объясните.
— Вот вики:
— А вот флешка, на ней Word-Файлы с работы. А ещё зашифрованная фотка голой любовницы спрятанная по методу из статьи.
— Вот и жена с работы пришла. Флешка в компе, и как раз папка с содержимым открыта. Видит документ. Открыла. Не интересно… пошла готовить ужин.
Хотя с другой стороны можно просто скрыть файл. И тут опять таки вопрос в скиллах жены. И у меня вопрос. Можно ли просто скрытый файл стандартными средствами винды называть стеганографифей?
Или речь только о сообщениях, а не данных хранения?
Потому что также вики вот что пишет:
— Вот вики:
Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, факт шифрования которых не скрыт, вызывают подозрение и могут быть сами по себе уличающими в тех странах, в которых запрещена криптография[1]. Таким образом, криптография защищает содержание сообщения, а стеганография защищает сам факт наличия каких-либо скрытых посланий.
— А вот флешка, на ней Word-Файлы с работы. А ещё зашифрованная фотка голой любовницы спрятанная по методу из статьи.
— Вот и жена с работы пришла. Флешка в компе, и как раз папка с содержимым открыта. Видит документ. Открыла. Не интересно… пошла готовить ужин.
Хотя с другой стороны можно просто скрыть файл. И тут опять таки вопрос в скиллах жены. И у меня вопрос. Можно ли просто скрытый файл стандартными средствами винды называть стеганографифей?
Или речь только о сообщениях, а не данных хранения?
Потому что также вики вот что пишет:
Стеганогра́фия (от греч. στεγανός «скрытый» + γράφω «пишу»; букв. «тайнопись») — способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи (хранения). Этот термин ввел в 1499 году аббат бенедиктинского монастыря Св. Мартина в Шпонгейме[de] Иоганн Тритемий в своем трактате «Стеганография» (лат. Steganographia), зашифрованном под магическую книгу.
Я тоже понял что повторяются данные «Чтобы не нужно было искать эти области хитрыми алгоритмами, воспользуемся избыточностью — то есть много-много раз продублируем нашу скрытую информацию по всем секторам диска»
Данные внутри фрагментов повторяются. Но данные на диск пишутся не открыто, а в шифрованном виде, в результате фрагменты с одинаковым содержимым на диске будут разными.
Хранить данные в неиспользуемом месте — это как скрытые криптоконтейнеры, что TrueCrypt, например, использует для plausible deniability.
И TCHunt их умеет находить. Именно, потому что зашифрованные — если мусор в неиспользуемом месте диска подозрительно хорошо проходит тесты на случайность, то это неспроста.
И TCHunt их умеет находить. Именно, потому что зашифрованные — если мусор в неиспользуемом месте диска подозрительно хорошо проходит тесты на случайность, то это неспроста.
А вот всегда было интересно: если мусор остался, скажем, от коллекции фильмов, закодированных каким-нибудь h264, то как у него будет с тестами на случайность? Как по мне, так вполне случайно выглядит.
Пробую найти последовательность из восьми нулей в h264 файле, кроме заголовка есть по ходу файла целые области из нулей
Кроме нулей, могут быть маркеры опорных кадров, контейнеры для видео, звука и прочее. По одному сектору, конечно, не определить, что это такое. А вот когда секторов будет на несколько мегабайт информации, уже можно будет отличить h264 от шума.
Заголовок спойлера
…
7A 32 1E 21 00 05 00 A0 │ 1F 21 10 05 00 A0 1B DB
C0 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 3F 21 10
05 00 A0 1B FF C0 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
7A 32 1E 21 00 05 00 A0 │ 1F 21 10 05 00 A0 1B DB
C0 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 3F 21 10
05 00 A0 1B FF C0 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 │ 00 00 00 00 00 00 00 00
Кроме нулей, могут быть маркеры опорных кадров, контейнеры для видео, звука и прочее. По одному сектору, конечно, не определить, что это такое. А вот когда секторов будет на несколько мегабайт информации, уже можно будет отличить h264 от шума.
github.com/antagon/TCHunt-ng/blob/master/README.md
А можете показать, где там написано про скрытые контейнеры и правдоподобное отрицание? Я вижу там утилиту, которая делает совсем иное — позволяет определить «вот этот вполне себе видимый всем porno.mpg является криптоконтейнером или нет?»
А то, о чем говорили вы (отрицаемое шифрование) выглядит совсем иначе. Это когда из меня вытряхнули пароль от этого контейнера (а он у меня лежит вполне открыто, его и искать не надо) но у контейнера может быть второе дно, скрытое в свободном месте внутри контейнера. Определить есть оно там или нет на основе анализа этого самого пустого места — невозможно (при использовании VeraCrypt невозможно, а вот с TrueCrypt есть способ, который в VeraCrypt запатчили, поэтому привет тем, кто пользуется устаревшим софтом), потому что пустое место в контейнере всегда забито рандомными байтами, неотличимыми от зашифрованного второго дна. Таким образом, придется пытать владельца контейнера пока он не выдаст пароль от второго дня, вот только второго дна может не быть, и атакующий никогда не может быть уверен, то ли его там реально нет, то ли пыточка недостаточно эффективна.
Так что, единственное, что может TCHunt — это преодолеть совершенно детский способ защиты «я переименовал контейнер в resource.bin и спрятал среди ресурсов своей любимой игры». Но это не защита, а детский сад, годный только чтобы порнушку от родителей прятать.
А можете показать, где там написано про скрытые контейнеры и правдоподобное отрицание? Я вижу там утилиту, которая делает совсем иное — позволяет определить «вот этот вполне себе видимый всем porno.mpg является криптоконтейнером или нет?»
А то, о чем говорили вы (отрицаемое шифрование) выглядит совсем иначе. Это когда из меня вытряхнули пароль от этого контейнера (а он у меня лежит вполне открыто, его и искать не надо) но у контейнера может быть второе дно, скрытое в свободном месте внутри контейнера. Определить есть оно там или нет на основе анализа этого самого пустого места — невозможно (при использовании VeraCrypt невозможно, а вот с TrueCrypt есть способ, который в VeraCrypt запатчили, поэтому привет тем, кто пользуется устаревшим софтом), потому что пустое место в контейнере всегда забито рандомными байтами, неотличимыми от зашифрованного второго дна. Таким образом, придется пытать владельца контейнера пока он не выдаст пароль от второго дня, вот только второго дна может не быть, и атакующий никогда не может быть уверен, то ли его там реально нет, то ли пыточка недостаточно эффективна.
Так что, единственное, что может TCHunt — это преодолеть совершенно детский способ защиты «я переименовал контейнер в resource.bin и спрятал среди ресурсов своей любимой игры». Но это не защита, а детский сад, годный только чтобы порнушку от родителей прятать.
Вставлю пять копеек.
1. Зашифрованные данные надо расшифровывать и зачем-то использовать. Ну там смотреть на фотку любовницы например. Для этого нужен софт для расшифровки, например та самая авторская утилита.
2. Наличие утилиты для расшифровки привлекает внимание. Если на компьютере подозреваемого обнаружится дистрибутив Веры Криптовой, или что подозреваемый ходил на сайт за ним, то логично предположить, что утилита была использована, и вероятность применения метода ТРКА возрастает.
3. Соответственно средства для расшифровки надо хранить в безопасном месте — в подполе на даче :) или в облаке в зашифрованном виде (если утилита собственная), тогда вопрос — почему бы там не хранить сами секретные данные? Лучше видимо использовать стандартные средства — ту же Веру, и при необходимости скачивать.
4. Я мало вижу кейсов использования криптозащит файлов, кроме как если человек делает что-то незаконное, но тогда им будут интересоваться правоохранительные органы с соответствующими возможностями/ресурсами, прежде всего в виде ТРКА в различных его формах. А вот для так сказать частного использования… ну только что фотки любовниц прятать. Хотя возможно я слишком наивен — если хабровчане накидают случаев именно необходимости криптозащиты — буду благодарен.
1. Зашифрованные данные надо расшифровывать и зачем-то использовать. Ну там смотреть на фотку любовницы например. Для этого нужен софт для расшифровки, например та самая авторская утилита.
2. Наличие утилиты для расшифровки привлекает внимание. Если на компьютере подозреваемого обнаружится дистрибутив Веры Криптовой, или что подозреваемый ходил на сайт за ним, то логично предположить, что утилита была использована, и вероятность применения метода ТРКА возрастает.
3. Соответственно средства для расшифровки надо хранить в безопасном месте — в подполе на даче :) или в облаке в зашифрованном виде (если утилита собственная), тогда вопрос — почему бы там не хранить сами секретные данные? Лучше видимо использовать стандартные средства — ту же Веру, и при необходимости скачивать.
4. Я мало вижу кейсов использования криптозащит файлов, кроме как если человек делает что-то незаконное, но тогда им будут интересоваться правоохранительные органы с соответствующими возможностями/ресурсами, прежде всего в виде ТРКА в различных его формах. А вот для так сказать частного использования… ну только что фотки любовниц прятать. Хотя возможно я слишком наивен — если хабровчане накидают случаев именно необходимости криптозащиты — буду благодарен.
Насчет криптозащиты не скажу, а вот если спрятать в неиспользуемых секторах диска сообщение типа «Этот компьютер — собственность ИП Иванов и Сыновья, г. Нижние Бурдюки, ИНН 1234567890», то можно будет доказать, например, факт кражи компьютера. Но тогда проще будет записать сообщение прямо в открытом виде и безо всяких заголовков и контрольных сумм, чтобы прямо в просмотрщике диска было все видно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Стеганография мимо файлов: прячем данные прямо в секторах