ТОКБ / Дополнительные программы для практик / Стеганография / Статьи / Скрытая утечка информации

Скрытая утечка информации.

Автор: Вячеслав Овсянников Опубликовано 01 сентября 2003 года

Закрыть глаза - не лучший способ Избежать неприятности Народный ЕПОС

Сообщением о том, что кто-то может украсть информацию, обрабатываемую в компьютерной сети, сейчас мало кого удивишь. Методы проникновения в сеть и последующей кражи информации достаточно хорошо известны. Наиболее действенным является внедрение в систему программы – закладки. В зависимости от поставленных целей программа – закладка может, например, перехватывать пароли пользователей или по определенному критерию находить необходимую информацию на жестких дисках. В дальнейшем собранная информация отправляется по электронной почте на заранее обусловленный адрес. Соответственно, все системные администраторы принимают определенные меры по пресечению подобных попыток. Это заставляет взломщиков придумывать новые методы проникновения в сеть или усовершенствовать известные. Есть два самых трудных для взломщика момента: установка программы – закладки («троянского коня») и передача разведанной информации. В эти моменты разведывательную деятельность проще всего обнаружить. Причем, чем больше объем внедряемой программы или объем передаваемых такой программой данных, тем выше вероятность того, что разведывательная деятельность будет обнаружена и пресечена. Необходимость скрывать факт передачи сообщение неминуемо приводит к внедрению злоумышленниками методов стеганографии (скрытной передачи данных). Скрытная передача данных – историческая справка Сколько существует человечество, столько существует и проблема обмена информацией. С одной стороны люди стремятся общаться и обмениваться друг с другом информацией, а с другой стороны стремятся скрыть от посторонних не только суть информации, но и факт ее передачи. Поэтому человечество интенсивно развивает как средства передачи, так и средства сокрытия информации. Для сокрытия информации применятся методы криптографии и стеганографии. Криптография – система изменения информации с целью сделать ее непонятной для непосвященных лиц. Стеганография - система изменения информации с целью скрытия самого факта существования секретного сообщения Слово "стеганография" произошло от греческих слов "steganos"- секрет и "graphy" – запись и буквально означает "тайнопись". В отличие от криптографии, когда посторонний наблюдатель легко определяет факт передачи зашифрованного сообщения, методы стеганографии скрывают сам факт передачи секретной информации, при этом для повышения уровня ее защиты от вскрытия секретная информация может дополнительно шифроваться. Первые упоминания об использовании стеганографии для защиты информации относятся еще к V веку до н.э. В Древней Греции использовались дощечки, покрытые воском, на который наносилось сообщение. Для передачи тайного послания Демерат соскоблил с дощечки воск и написал послание на дереве, после чего дощечка снова была покрыта воском и без проблем прошла контроль. В XV веке монах Тритемиус (1462-1516г.г.), занимавшийся криптографией и стеганографией, описал много различных методов скрытой передачи сообщений. Позднее, в 1499 году, эти записи были объединены в книгу "Steganographia". Эту книгу сейчас можно найти в интернет, вот только для того, чтобы прочитать, ее нужно хотя бы немного знать латынь. Некоторые приемы стеганографии достаточно широко освещены в литературе и "шпионских" фильмах – трудно найти человека, кто не слышал про использование молока или специальных симпатических чернил для написания секретного послания между строк безобидного письма. В годы второй мировой войны в Германии для скрытой передачи информации в обычных открытках и письмах применяли микроточку. Этот способ директор ФБР Гувер назвал "шедевром немецкой разведки". Микроточка представляла собой крошечную фотографию размером с обычную точку, который вклеивалась на место знаков препинания. Так немецкие агенты, работавшие в США, переправляли секретную информацию в Германию. Такие письма не вызывали подозрений цензуры и содержали до 20 таких точек, а каждая микроточка могла содержать не только тексты, но и чертежи. Из этих примеров можно заметить важную отличительную черту стеганографии (это нам потребуется в дальнейшем): методы стеганографии предполагают, что сам факт какого–то обмена информации не скрывается. Но предполагается, что передаваемое сообщение обязательно просматривает некий цензор. Поэтому под скрытием факта передачи информации в стеганографии понимается не только (может быть даже не столько) то, что упомянутый цензор не может обнаружить, что в просматриваемом сообщении присутствует другое (скрытое) сообщение, но и то, что передаваемое сообщение не должно вызывать у цензора подозрений. Если цензор заподозрит какой-либо подвох, он просто перекроет этот канал передачи информации.

Современная стеганография В современном понимании стеганографическая система (или просто стегосистема) – это совокупность средств и методов, которые используются для формирования скрытого канала передачи информации. Общий процесс стеганографии выражается простой формулой:

Контейнер + скрываемое сообщение + стегоключ = стегоконтейнер Контейнер - любая информация, предназначенная для сокрытия тайных сообщений. Скрываемое (встраиваемое) сообщение – тайное сообщение, встраиваемое в контейнер. Стегоключ - секретный ключ, необходимый для скрытия (шифрования) информации. В зависимости от количества уровней защиты (например, встраивание предварительно зашифрованного сообщения) в стегосистеме может быть один или несколько стегоключей. Стегоконтейнер – контейнер, содержащий встроенное сообщение. Стеганографический канал (стегоканал) - канал скрытой передачи информации. Чтобы не вызывать подозрений, в результате описанных выше преобразований передаваемый стегоконтейнер для стороннего наблюдателя практически ничем не должен отличаться от исходного контейнера. Но этого мало. Чтобы стегосистема была надежной, при ее построении необходимо исходить из предположения, что наш пресловутый «цензор» имеет полное представление о применяемой стеганографической системе и деталях ее реализации. Единственной неизвестной ему величиной является стегоключ. Исходя из этого предположения, стегосистема должна быть сконструирована таким образом чтобы только обладатель стегоключа имел возможность выделить из стегоконтейнера встроенное сообщение, и, главное, чтобы только обладатель стегоключа имел возможность установить факт присутствия скрытого сообщения. В настоящее время в связи с развитием цифровой техники и средств телекоммуникаций возникло новое направление – компьютерная стеганография. Компьютерная стеганография Компьютерная стеганография это часть стеганографии, которая занимается вопросами реализации стегосистем с использованием компьютерной техники. Поскольку цифровая информация обычно передается в виде файлов, то в компьютерной стегосистеме используются понятия файл-контейнер и файл-сообщение. Для того, чтобы посторонние не заподозрили факт передачи сообщения, файл-сообщение особым образом (при помощи стегоключа) "смешивают" с файлом-контейнером. При этом, как и принято в "классической" стеганографии, файл-контейнер должен выглядеть вполне безобидно, а подмешивание секретной информации не должно изменять его основных свойств. Тем не менее, компьютерная стеганография может использовать и только ей присущие специфические методы, основанные, например, на использовании специальных свойств компьютерных форматов. Простейший пример использование компьютерной стегосистемы очень похож на использование симпатических чернил. Можно белыми буквами на стандартном белом фоне редактора Microsoft Word в тексте рекламы очередного стирального порошка написать несколько строчек секретного послания. Белые буквы на белом фоне не видны, а сделать их видимыми может даже начинающий пользователь. Конечно, надежность этой простейшей стегосистемы крайне низка. Такие простые стегосистемы годятся разве что для обмана собственной жены. Это только в советской литературе можно было прочитать сказки о том, как Владимир Ильич лепил в тюрьме чернильницы из хлебного мякиша, наливал в них молоко и писал молоком секретные письма. ("Чернильница" в этих сказках затем мужественно съедалась вместе с остатками "чернил"). Тем не менее, не очень сложные компьютерные стегосистемы уже реально применяются злоумышленниками (в частности, "виросописателями"). Известен, например, вирус, имеющий кодовое название "W32/Perrun". Этот вирус "прячет" свое тело объемом 18К в файле *.jpg. Точнее говоря, он просто добавляет свой код в конец *.jpg файла. С точки зрения стеганографии (впрочем, и с точки зрения вирусологии) это весьма примитивный вирус. Но он показывает метод, как внедрить в систему программу – закладку большого объема. Нужно сделать эту программу двухкомпонентной. Стартовая часть, которая только ищет основное тело программы в других файлах, может быть очень маленькой, что облегчает ее внедрение. Объем же основной части программы может быть очень большим, и при этом риск ее обнаружения может быть сведен к минимуму. Более сложный механизм маскировки реализован создателем вируса Win95.CIH. Этот вирус внедряется в *.exe файл, используя особенности формата PE (Portable Executable), принятого в системе Windows начиная с Windows 95. В Windows исполнимый файл *.exe может содержать не только код, но и многочисленные дополнительные данные. Это пиктограммы, различные служебные данные и дополнительная информация, например, об экспортируемых и импортируемых функциях. Каждый вид данных, содержащихся в файле формата РЕ, это отдельный объект. Для хранения всех объектов файл формата РЕ разбивается на ряд секций фиксированного размера. Каждый объект начинается с новой секции. Если объект не занимает всего объема секции, то эта часть секции не используется. Поэтому в файле формата РЕ всегда достаточно свободного места (рис.2).

Больше всего свободного места в первой секции, в которую записывается только заголовок файла (PE header). В эти свободные места можно упрятать достаточно много информации, и при этом размер файла не изменится и работоспособность файла не нарушится. Описанные выше примеры показывают возможность максимально скрыть процесс внедрения программы – закладки в компьютер. Результат работы внедренной программы – это найденные ей файлы. Файлы могут быть различных форматов и иногда очень большого объема. Для их скрытной передачи применяются более совершенные методы компьютерной стеганографии, основанные на избыточности аудио-, фото- и видеоинформации. Действительно, младшие цифровые разряды таких файлов содержат мало полезной информации, и их изменение очень слабо влияет на качество исходного файла. Поэтому можно использовать младшие разряды для передачи скрытой информации без видимого искажения исходного файла. К тому же эти файлы сами по себе имеют большой объем, поэтому в них легче встроить большой объем скрываемой информации. Каждый ведь знает: для того, чтобы надежнее спрятать иголку, нужен большой стог сена. Возможности современных методов компьютерной стеганографии можно хорошо прочувствовать, поэкспериментировав, например, со свободно распространяемыми стегопрограммами. Одна из самых распространенных утилит, умеющая прятать информацию в графических (форматы gif, bmp) и звуковых (формат wav) файлах является программа Э.Брауна S-Tools. Программа позволяет не только скрыть сообщение, но и зашифровать его с помощью стойкого криптоалгоритма, что обеспечивает как высокую скрытность факта передачи сообщения, так и стойкость секретного сообщения. С помощью данной программы мы внедрили в графический файл целый куплет одной песни вместе с припевом (формат MP3, объем 46,4кб). Полученный стегоконтейнер можно рассмотреть на рис3.

Визуально невозможно определить, что рисунок содержит в себе еще какую-то информацию. Более того, даже имея точно такую же, как у нас, программу S-Tools, Вы не сможете обнаружить, что файл содержит вложенное сообщение. (Для желающих поэкспериментировать: мы использовали четвертую версию программы S-Tools, она не совместима с предыдущими. Последний раз мы ее скачивали с ftp://ftp.ware.ru/win/s-tools4.zip). Необходимо еще ввести правильный пароль (для нашего стегоконтейнера пароль "epos") и установить правильный алгоритм шифрования (мы использовали IDEA). Только после этого вы сможете обнаружить, что в графическом файле спрятан звуковой файл, сможете извлечь его из стегоконтейнера hiddenEpos.bmp и прослушать запрятанную песню. Развитие методов компьютерной стеганографии не ограничилось только разработкой более совершенных способов, программ и алгоритмов встраивания сообщений, а и поиском каналов передачи информации. Конечно, Интернет является очень удобным каналом для передачи разведанной информации, однако не всегда есть возможность воспользоваться им. Например, такая ситуация возникает при использовании межсетевых экранов и жестком администрировании передачи информации. Тем более, что администратору системы, как правило, и не нужно просматривать каждый файл в поисках недозволенных вложений. Он анализирует адреса, в которые отправляется почта, и с каких узлов принимаются файлы. Каким же это надо быть сисадмином, чтобы не удивиться, если главный бухгалтер вдруг начал периодически отсылать кому-то фотографии цветочков?! Особенно, если у этого главного бухгалтера аллергия на цветы. Поиск новых каналов передачи разведанной информации привел к идее ПЭМИН-вирусов.

Компьютерная стеганография и ПЭМИН - вирус Давно известно, что утечка информации может происходить и по каналам ПЭМИН – побочных электромагнитных излучений и наводок. Эти каналы неудобны только тем, что они неуправляемы. Чтобы получить нужную информацию требуется огромное время работы дорогостоящей аппаратуры, которая часто большую часть времени будет фиксировать только новые рекорды при игре в «солитер». И тут ученым Кембриджа (Андерсен и Кун) пришла идея использовать в качестве канала передачи данных побочные излучения компьютера, но только сделать этот канал управляемым. Работа над этой идеей привела к рождению технологии Soft Tempest - технологии скрытой передачи данных по каналу побочных электромагнитных излучений с помощью программных средств [4]. Soft Tempest атака, предложенная Куном, позволяет с помощью специальной программы-закладки, внедряемой с использованием стандартной техники применения "вирусов", "червей" и "троянцев", искать необходимую информацию в компьютере и передавать ее путем модуляции изображения монитора. Принимая побочные излучения монитора можно выделить полезный сигнал и таким образом получить секретную информацию, хранящуюся в компьютере – пароли, письма, документы. Эта технология получила и второе название: ПЭМИН-вирус. Правда, название это весьма неточное. Оно только отражает тот факт, что программа – закладка, управляющая излучением компьютера (в частности, монитора) может быть внедрена в целевой компьютер, в том числе и с использованием технологии построения компьютерных вирусов. Поэтому в дальнейшем мы будем стараться использовать более правильный термин Soft Tempest, оставляя термин ПЭМИН-вирус только как поэтический синоним. Простейший способ Soft Tempest атаки, предложенный и опробованный Куном, использует амплитудную модуляцию экранного изображения и стандартный АМ-приемник. Поставленная цель – передать информацию путем управления излучением компьютера была достигнута. Однако, при передаче информации этим простейшим способом на экране монитора возникает характерное изображение, вид которого определяется частотой амплитудной модуляции (рис.4).

Подобную "рябь" на мониторе трудно не заметить. В принципе, модулировать можно не весь экран, а только его небольшую часть, но даже и в этом случае человек, увидев такую рябь на экране, сразу заподозрит что-то неладное. Таким образом, при передаче информации путем управления излучением монитора мы сталкиваемся с необходимостью решения задачи стеганографии в классической постановке, так называемой "проблемой заключенных" (как двум заключенным, Алисе и Бобу обменяться секретными письмами, если передавать почту они могут только через не в меру любопытного охранника Вилли). Кун решил задачу встраивания секретного сообщения, проанализировав особенности отображения информации на экране монитора и характеристик спектра излучаемых при этом побочных колебаний. Это позволило таким образом подобрать характеристики управляющих сигналов, чтобы информация, излучаемая в эфир, отличалась от отображаемой на экране монитора. Причем, оказалось что это возможно не только для текстовой информации, но и для графической. На рис.5 приведены фотографии из работы Куна и Андерса. Слева – изображение, отображаемое на экране монитора, справа – чернобелое изображение, принимаемое контрольным приемником.

Если в качестве изображения, играющего роль стегоконтейнера, выбрать «обои» рабочего стола, то такое изображение не вызывает подозрений у пользователя компьютера, несмотря на то, что в это время в эфир излучается найденная программой-закладкой секретная информация. Более того, профессиональный разведчик в принципе может выбрать метод модуляции, при котором передаваемый сигнал будет оптимизирован для максимально надежного приема с помощью специального приемного и декодирующего оборудования. Тем не менее, модуляция изображения монитора может быть заметна оператору. По нашему мнению лучшие результаты сейчас можно получить, если применить хорошо отработанные методы стеганографии. Так, на рис.6, слева приведено изображение стандартных "обоев" рабочего стола Windows. С помощью упомянутой выше программы S-Tools в это изображение встроена почти настоящая шпионская информация - графический (*.jpg) файл с изображением, которое Епос наносит на коврики для мышки, поставляемые с компьютерами "Expert" (рис.6, в центре). По виду результирующего изображения (рис.6, справа) невозможно обнаружить присутствие в нем скрытого изображения.

Интересно, что в нашем эксперименте объем файла – контейнера составляет 64,4 кб, а объем встраиваемого изображения 33,5 кб, - добрая половина объема файла, внутри которого оно прячется. Объем полученного при этом стегоконтейнера составляет 65 кб. Таким образом, можно скрытно передавать разведанную информацию путем программного управления излучением монитора. Однако практическая реализация стегосистемы с передачей информации через излучение монитора, скорее всего, окажется очень сложной. Во-первых, восстановление изображения по излучению монитора сопровождается значительными искажениями, вследствие чего встроенная информация может быть разрушена. Во-вторых, мы не можем управлять выбором изображения, используемого в качестве контейнера. И не можем управлять временем, когда выбранное в качестве контейнера изображение высвечивается на экране. Методы Soft Tempest атаки и компьютерной стеганографии с использованием ПЭМИН, предложенные учеными Кембриджа, имеют один существенный недостаток – для передачи полезного сигнала используется сигнал монитора, что требует выполнения определенных условий (оператор использует подходящую экранную заставку, передача возможна при перерывах в работе оператора и т.д.).