Комментарии 7
именно электронная почта является «самым популярным каналом для слива данных в компаниях
Так надо принудительно перепаковывать картинки перед отправкой писем.
Тут вдруг подумалось...
Если все внешние каналы обмена в закрытом сегменте контролируются настолько, что злоумышленнику требуется прибегать с стеганографии, то куда более простым вариантом для безопасников будет контроль запускаемых приложений, чем поиск потенциальной стеганографическкой составляющей в передаваемых данных.
Нет приложения для создания стеганограммы - нет и самой стеганограмы, задача выявления которой отпадает сама собой.
Понимаю, что в плане теории направление очень интересное, но в практическом применении, по моему мнению, очень специфичное.
Здесь вопрос только в ширине канала связи, который мы согласны потенциально оставить. Потому что в пределе, полностью заблокировать его можно только с прекращением любой полезной работы. Когда мы говорим не о бандитах-шифровальщиках, которые вытаскивают к себе на сервера максимальный объем данных (ибо всегда есть риск что у людей есть бэкапы, и тогда надо отбивать затраты хотя бы продажей информации на черный рынок) - а о реальном кроте, имеющим соответствующую квалификацию и работающим на таких же профессионалов за пределами страны - он может использовать широкий спектр скриптовых языков для того чтобы одноразово выполнить алгоритм стеганографии - начиная от доступных ему по служебной необходимости питона или "C" или "Java" - заканчивая какой-то экзотикой в виде javascript внутри браузера или макросов word/excel. Любая вычислительная система эквивалентная машине Тьюринга (несть им числа на современном ПК) способна решить задачу стеганографии (правда - с разной скоростью). В самом крайнем случае, специалист может вынести знания у себя в голове за территорию, там выполнить шифрование и скрытие в контейнер - выучить или распечатать текст в base64, и вручную его набить в файл. В целом, я скептически отношусь к возможности детектирования стеганографических каналов передачи данных, если это не школота балуется... Хорошо если вы сумели поймать in the wild две версии изображения или аудио, или видео - которые внешне одинаковые, а битовый поток разный. Тут можно хоть как-то предположить по времени, какое измененной и путем сличения с оригиналом получить разницу и ее статистически оценивать. Если же сволочь на той стороне умная, и скрывает информацию в уникальных потоках - это примерно как разгадывать шифр гаммирования с длиной ключа равной длине открытого текста: только ловить на operation errors и human factor. Иначе, IMHO, никаких ресурсов не хватит...
В случае исчерпывающего перечня приложений - согласен.
Но "провайдеров программирования" слишком много. И многие используются в "мирных целях".
Пример:
Проводил эксперимент в закрытой сети на компе под гостевой учеткой. Прислал себе на корпоративный емайл текст макроса (Excel VBA), с его помощью сформировал jpeg-контейнер, отослал наружу, успешно получил вложение.
Это я к тому, что злоумышленник может обойтись штатными приложениями.
А насколько сейчас популярны методы стеганографии, связанные не с изображениями? Например, аудиофайлы, dead drop, лингвистика или скрытые смыслы в сообщении, сетевая стеганография?
Публикации
Стеганоанализ в компьютерно-технической экспертизе