Стеганоанализ в компьютерно-технической экспертизе04.02.2024 16:30

В 1999 году на встрече по обмену опытом с представителями правоохранительных органов США я узнал о существовании цифровой стеганографии. Тогда демонстрация работы S-Tools произвела на меня эффект, сравнимый с тем, что производят фокусы Копперфильда, однако после «разоблачения» все стало понятно. Еще через несколько лет я узнал, что существует научное направление, посвященное обнаружению стеганографии. Это было что-то совсем фантастическое…

С тех пор я интересуюсь стеганоанализом цифровых изображений, стараюсь популяризировать его среди тех, кто противодействует киберпреступлениям.

Цель статьи — привлечь внимание к применению стеганоанализа в компьютерной экспертизе и пригласить сообщество к дискуссии по методологическим аспектам.

Основные принципы стеганографии

Слово «стеганография» имеет греческие корни и буквально означает «тайнопись». Исторически это направление появилось первым, но затем во многом было вытеснено криптографией. Тайнопись осуществляется различными способами, общей чертой которых является то, что скрываемое сообщение встраивается в некоторый безобидный, не привлекающий внимание объект, который затем открыто передается адресату. Если криптография делает осмысленное бессмысленным, то стеганография скрывает сам факт обмена информацией.

Среди методов стеганографии можно упомянуть такие, как, например, писание молоком, маскировка секретного сообщения в тексте, микроточки — микроскопические фотоснимки, вклеиваемые в текст писем и др. Появление новых технологий в конце XX века стимулировало развитие компьютерной стеганографии. И сегодня эта наука использует методы и достижения криптографии, цифровой обработки сигналов, теории связи и информации.

Стеганографические системы активно используются для решения таких задач:

  1. Защита конфиденциальной информации от несанкционированного доступа;

  2. Преодоление систем мониторинга и управления сетевыми ресурсами;

  3. Защита авторства с помощью цифровых водяных знаков.

Пункты 1 и 2 делают стеганографию весьма привлекательной в тех случаях, когда надо не просто защитить информацию, но и спрятать ее, т.е. для хранений тайн и/или тайного общения различного профиля и целей: от сокрытия «черной» бухгалтерии до инструкций по захвату самолетов (есть сведения, что террористы »9/11» общались посредством стеганографии). Другими словами, компьютерная стеганография предлагает не вызывающий подозрений механизм обмена конфиденциальными или криминальными данными.

Детектировать применение таких методов сложно. Автору достоверно известен только один случай обнаружения стегановложения на CD JPEG-файла размером в сотни мегабайт. Данная информация помогла следователю — подозреваемый сознался, что разместил в конце JPEG типографское клише $100 купюры.

Актуальность проблемы

Доступность стенографических программных продуктов позволяет без труда осуществлять скрытый обмен информацией контрагентам с минимальными познаниями в области ИТ. Одним из противоправных направлений использования стеганографии является передача данных ограниченного доступа из ведомственной/корпоративной компьютерной сети. Это соответствует угрозе УБИ.111: «Угроза передачи данных по скрытым каналам» из «Банка данных угроз безопасности информации» ФСТЭК России.

ГОСТ про скрытые каналы

В соответствии с ГОСТ Р 53113.1–2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов»: Скрытый канал (covert channel) — это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», справедливо отмечает, что подавляющее большинство утечек данных происходит через различные интернет-ресурсы, и для противодействия им единственным верным решением становятся не контекстные ограничения (при которых блокируется доступ к отдельным ресурсам), а контентные, когда конфиденциальная информация не может быть передана ни по каким каналам, кроме корпоративных.

Однако, поскольку сервис электронной почты доступен даже в ведомственных компьютерных сетях, передача файлов «наружу» не представляет труда.

По данным, приведенным в исследовании компании «СёрчИнформ», именно электронная почта является «самым популярным каналом для слива данных в компаниях — на них приходится 45% утечек в России и 41% в СНГ». Для госсектора отмечено, что 50% утечек персональных данных происходят посредством электронной почты.

ГОСТ про утечку информации

Исторически основным направлением защиты корпоративных компьютерных сетей было противодействие внешним угрозам (антивирусы, брандмауэры и т.п.). Начиная с 2000-х на внутренние угрозы стали обращать больше внимания, что нашло отражение в стандартах и нормативных документах (например, раздел »12.5.4 Утечка информации» в стандарте ГОСТ Р ИСО/МЭК 27002–2012, где говорится о необходимости сканирования каналов связи на наличие скрытой информации), и, в практическом плане, привело к появлению на рынке информационной безопасности систем предотвращение утечек данных (DLP — Data Leakage Prevention), одной из функций которых является анализ трафика, выходящего за пределы сети.

Теоретически, DLP-системы способны выявить структурную файловую стеганографию и вложения, осуществленные программным обеспечением, оставляющим сигнатуру. Cтеганоанализ цифровой стеганографии несравнимо сложнее. Невзирая на значительное количество методов стеганоанализа, данный функционал в DLP-системах не заявлен (на момент подготовки статьи), что может быть связано, как с отсутствием спроса (непонимание заказчиками серьезности угрозы), так и с отсутствием методического и алгоритмического обеспечения, сложностью технической реализации проверки и принятия решения в онлайн-режиме. Следует отметить, что ряд производителей DLP, например, Forcepoint и Forta решают проблему стеганографических каналов путем уничтожения вложения.

Технологические аспекты файловой стеганографии

Независимо от контейнера (информационная последовательность, в которой скрывается или может скрываться сообщение), типичная стеганосистема (на сегодняшний день, все стеганографические программы сегментов free- и shareware используют симметричную схему) представлена на рисунке 1 и состоит из следующих элементов:

  • анализатор формата — программа проверки контейнера на предмет возможности его использования для стеганографии (формат, потенциальный размер вложения);

  • прекодер — программный модуль, предназначенный для преобразования скрываемого сообщения в вид, удобный для встраивания в контейнер. Как правило, на данном этапе выполняется архивирование и шифрование вложений;

  • стеганокодер — программный модуль, реализующий какой-либо стеганографический алгоритм, с учетом особенностей контейнера (преобразует вложение в стегановложение);

  • стеганоконтейнер — контейнер, модифицированный стеганоалгоритмом и содержащий стегановложение;

  • ключ — секретный параметр стеганографического алгоритма и/или алгоритма шифрования;

  • вложение — данные, подлежащие сокрытию (как правило, файл или текст);

  • стеганодетектор — программный модуль, проверяющий, содержит ли данный контейнер стегановложение;

  • стеганодекодер — программный модуль, восстанавливающий стегановложение (без расшифровывания и/или разархивирования);

  • постдекодер — программный модуль, реализующий алгоритмы расшифровывания и/или разархивирования. После постдекодера восстанавливается исходный вид вложения.

Рисунок 1 – Схема типичной стеганосистемы

Рисунок 1 — Схема типичной стеганосистемы

Существуют несколько направлений в компьютерной стеганографии, где контейнером является файл (такое экзотическое направление, как альтернативная компиляция исполняемых файлов (Stilo) не учитывается, в виду его низкой пропускной способности и неэргономичности):

  1. Связанное с цифровой обработкой сигналов (цифровая компьютерная стеганография). Это направление наиболее популярно и представлено несколькими десятками программ (S-Tools, CryptArkan, Stegomagic, The Third Eye, Hermetic Stego, WeavWav, Gifshuffle, JSteg Shell, MP3Stego). В качестве контейнеров используется информация аналоговой природы (пиксельные данные в BMP, коэффициенты DCT JPEG, фаза или амплитуда в аудиофайлах и т.п.). Скрытие осуществляется за счет наличия погрешности оцифровки и особенностей восприятия информации органами чувств человека. 

  2. Связанное с использованием особенностей форматов хранения/передачи данных (форматная или структурная компьютерная стеганография).  Распространенные структуры хранения и передачи цифровой информации имеют резервные поля или позволяют инкапсулировать внутри себя данные без потери функциональности (резервные байты в BMP, «фиктивные» порции в PNG, EXIF или дописывание в конец файла в JPEG и т.п.). Скрытие уровня «домохозяек» (Camouflage, JpegX), т.к. просмотр структуры и/или несложные алгоритмы сразу выявляют такую стеганографию.

  3. Использующее текст в качестве контейнера (данное направление можно отнести к компьютерной стеганографии с натяжкой, т.к. текст воспринимается человеком непосредственно — с необязательным привлечением компьютерной системы). Существует два основных подхода к встраиванию информации в текстовый контейнер. Первый предполагает использование семантических особенностей языка (Tyrannosaurus lex, TextHide). Например, в тексте производится поиск слов, имеющих некоторый набор синонимов. Затем, в соответствии со скрываемым сообщением, осуществляется замена найденных слов на соответствующие им синонимы, что не искажает смысловое содержание. Второй подход заключается в генерации искусственного текста (Nicetext, Texto, Markov-Chain-Based).

Наиболее популярными и простыми в использовании контейнерами для цифровой стеганографии являются изображения, аудио- и видеофайлы.

Стеганоанализ

Основной целью стеганоанализа является выявление факта наличия скрываемой в контейнере информации, ее извлечения, модификации или разрушения.

Классифицировать стеганоаналитические методы, по аналогии с задачами антивирусной защиты, можно следующим образом:

  • сигнатурные (поиск уникальных последовательностей бит, которые привносит в контейнер стеганопрограмма независимо от стегановложения);

  • статистические (эвристические).

Статистические методы базируются на понятии «естественного» контейнера. Суть методов заключается в оценивании вероятности существования стеганографического вложения с неизвестной (универсальные) или известной (специфические) стеганосистемой на основе критерия оценки близости исследуемого контейнера к «естественному».

В настоящий момент большинство опубликованных методов являются статистическими, т.е. приблизительными методами обнаружения, позволяющими с определенной вероятностью предположить, что файл содержит вложение. Наиболее результативным направлением в статистическом стеганоанализе можно считать адаптивные многомерные модели: CHEN, JRM — для частотных областей изображений, SPAM, SRM — для пространственных областей изображений. Для их применения необходимо иметь в распоряжении набор стеганоконтейнеров с заранее известными размерами вложения, затем извлечь векторы признаков, затем осуществить процедуру классификации/регрессии методами машинного обучения.

Лидером в области статистического стеганоанализа на сегодняшний день является лаборатория встраивания цифровых данных Бингхэмптонского университета .

В то же время стеганографическое программное обеспечение может быть выявлено путем поиска и анализа определенных характерных особенностей у стеганоконтейнеров — сигнатур. Любая стеганографическая программа добавляет специальные маркеры в контейнер (начальные параметры стеганодетектора) для определения наличия вложения и расчета параметров извлечения.

Другое мнение

Ряд авторов (Hassan, Karampidis) под сигнатурным анализом понимают выявление структурной стеганографии. В качестве примеров стеганопрограмм, где он возможен, приводят Hiderman (добавляет вложение в конец BMP-файла, заканчивает файл последовательностью «CDN»), Masker и JpegX (добавляют информацию в конец JFIF-файла после маркера EOI). Но мы считаем сигнатурным анализ разделом анализа цифровой стеганографии, т.к. изменения происходят в пиксельных данных.

Методы, основанные на поиске сигнатур, достаточно легко автоматизировать, и они могут быть эффективно использованы при обработке большого количества контейнеров без непосредственного участия человека. Однако их работа базируется на знании алгоритма работы стеганодетектора, который можно определить лишь путем дизассемблирования. Естественным недостатком сигнатурного подхода является невозможность выявления новых алгоритмов, информации о которых (и соответствующих сигнатур) еще нет в базе данных используемого стеганоаналитического ПО.

Таким образом, возможности сигнатурного анализа сильно ограничены. Использование в качестве параметра алгоритма стеганодетектирования пользовательского пароля или его производной делает сигнатурный анализ стеганографических контейнеров практически невозможным, трансформируя задачу стеганоанализа в задачу криптоанализа с известным алгоритмом.

Процессуальные аспекты стеганоанализа 

Форма результатов стеганоанализа

На современном этапе развития отечественной криминалистики, среди вопросов, относящихся к компьютерной экспертизе, отсутствует стеганографическая тематика, хотя специалисты хотя специалисты упоминают о ней.

На наш взгляд, это связано с двумя факторами: с недостаточной осведомленностью тех, кто ставит вопросы перед экспертом, о возможных направлениях использования стеганографии криминалитетом;, а также с отсутствием в арсенале экспертов методик, позволяющих дать ответы на поставленные вопросы. Если в случае со структурной стеганографией такие методики могут быть легко разработаны для получения ответа в категорических формах, то при использовании статистического стеганоанализа возможно применение только количественных методик с ответом в вероятностной форме.

Обычно выводы в вероятностной форме отражают неполную внутреннюю убежденность в достоверности аргументов, в доказанности факта. Они допускают возможность существования факта, но не исключают абсолютно другого (противоположного).

Все экспертизы по признаку детерминируемости можно разделить на три класса:

  1. Детерминированные, где результат однозначен (бухгалтерская экспертиза, налоговая экспертиза, экспертиза холодного и метательного оружия, исследование компьютерной информации т.п.)

  2. Учитывающие погрешность измерений (геммологическая экспертиза, определение технической возможности предотвращения наезда транспортного средства на пешехода с анализом исходных данных технико-диагностическим методом, экспертиза алкогольной интоксикации и т.п.)

  3. Вероятностные, где один результат (выявление свойства объекта) может относиться к нескольким объектам (у которых это свойство одинаковое). Например, почерковедческая, баллистическая, фоноскопическая экспертиза, генетическая идентификация, и т.п.

По нашему мнению, формализация выводов при статистическом стеганоанализе возможна в виде интервальных оценок, вполне понятных для суда. Например, «с вероятностью не менее 0,99 файл содержит вложение», или «размер вложения с вероятностью 0,95 находится в пределах 80–95% от максимально возможного».

Концепция стеганоаналитической экспертизы

Обнаружение стеганографического ПО на компьютере даёт повод подозревать, что нем же имеются файлы со стегановложениями. Кроме того, тип найденного стеганографического ПО непосредственно влияет на последующий стеганоанализ. Так, наличие на анализируемом компьютере программы S-Tools указывает на необходимость исследовать файлы форматов GIF, BMP и WAV, а присутствие программы JPHide-&-Seek — начать анализ с JPEG-файлов.

Но ведь стеганографическое приложение может быть удалено… Следовательно, мы приходим к необходимости проведения предварительного этапа стеганоанализа, целью которого является поиск оставшихся от стеганографических приложений файлов (фрагментов файлов с характерными сигнатурами), записей системного реестра и т.п. артефактов.

Таким образом, если следователь предполагает наличие стеганоканала между устройствами, он может, в рамках компьютерной экспертизы, поставить перед экспертом вопрос о присутствии на этих устройствах одинаковых стеганографических средств или их следов. В случае положительного ответа целесообразно назначить дополнительную экспертизу (стеганоаналитическую) для анализа файлов, которыми обменивались устройства.

Если использована форматная стеганография, то ответить на вопрос о наличии вложения можно посредством HexEditor или специализированного ПО StegSpy. При подозрении на цифровую стеганографию целесообразно сначала проверить файлы сигнатурными методами.

При форматном и сигнатурном стеганоанализе извлечь вложение просто, однако, скорее всего это можно сделать в зашифрованном/заархивированном виде. В этом случае следующий этап — криптоаналитическое исследование с целью получения вложения в исходном виде.

В случае отсутствия результата применения форматных и сигнатурных методов — переходить к статистическому стеганоанализу.

Стеганоаналитическое исследование должно включать 3 этапа:

1.        Предварительный (поиск дополнительной информации)
2.        Основной (форматный, сигнатурный, статистический)
3.        Заключительный (подбор пароля)

Таким образом, можно говорить о выделении стеганоаналитической экспертизы (САЭ) как подвида компьютерной экспертизы.

Назначение САЭ целесообразно в двух случаях:

  • следствие располагает информацией об использовании подозреваемым компьютерной стеганографии;

  • на устройстве обнаружено стеганографическое ПО.

Типовые вопросы САЭ:

1.     Содержит ли рассматриваемый файл скрытую информацию?
2.     С помощью какого стеганографического алгоритма (программного средства) осуществлено вложение скрытой информации?
3.     Каковы характеристики исходного файла (размер, имя, расширение и т.д.)?
4.     Возможно ли восстановить скрытую информацию?

Методология стеганоанализа зависит от того, в рамках какой деятельности он осуществляется. Если стеганоанализ проводится в интересах оперативных подразделений, то он имеет ориентирующее значение и проводится на усмотрение аналитика. Если результаты должны иметь доказательную силу, необходимо выполнить исследование по определенной методике с оценкой достоверности результатов. Следует отметить, что стеганоанализ с определенной достоверностью востребован не только ОВД в качестве доказательства по уголовному делу, но и любыми организациями в рамках расследования инцидентов ИБ.

Этапы стеганоаналитического исследования

Рассмотрим типовую экспертную задачу в виде вопроса: содержит ли рассматриваемый файл/файлы скрытую информацию? И если да, то возможно ли ее восстановить?

1. Первым этапом всегда является сбор дополнительной информации: поиск следов присутствия (артефактов) стеганографических программ (СГП) обеспечения (в том числе в виде посещения онлайн-сервисов) и потенциальных контейнеров на компьютерах, носителях, в облачных ресурсах, email-переписке подозреваемого, логах операционной системы.

Если на этом этапе конкретизировать задачу не удалось, то остается проверить объекты исследования на наличие форматной стеганографии, применить имеющиеся сигнатурные методы. Также можно применить методы слепого (универсального) статистического стеганоанализа, но достоверность последнего в этом случае невысока.

2. Предположим, что поиск артефактов дал результаты и удалось установить программу/алгоритм стегановложения.

В случае с форматной стеганографией это позволяет ответить на вопрос о наличии вложения и определить его размер, но в зашифрованном и заархивированном виде.
Если найденная программа/алгоритм присутствует в банке сигнатурных методов, то можно гарантировано определить наличие вложения (когда стеганодетектирование не требует пароля) или извлечь вложение (когда стеганодекодирование не требует пароля). 

При цифровой стеганографии и отсутствии соответствующего сигнатурного метода (т.е. в большинстве случаев), в распоряжении аналитика остается статистический стеганоанализ. Предполагаем, что его инфраструктура в виде информационного, математического, аппаратно-программного, методического и организационного обеспечения существует.

Статистический стеганоанализ можно представить несколькими этапами:

  • Формирование серий пустых контейнеров

  • Выбор шага вложения и формирование серий с различным уровнем вложения

  • Проверка репрезентативности серий

  • Оценка качества методов стеганоанализа на сериях

  • Выбор стеганоаналитического метода для исследования

  • Оценка достоверности исследования

  • Применение выбранного метода для предсказания размера вложения

В случае выполнения исследования в рамках оперативной деятельности пп. 3, 4, 6 аналитик, исходя из временных ограничений, может пренебречь (рисунок 2).

Для восстановления информации при неизвестном пользовательском пароле необходимо знать алгоритм стеганодекодирования (как правило, вкупе с алгоритмами расшифрования и разархивации вложения) или иметь возможность использовать программу, предназначенную для извлечения вложения (в этом случае подбор реализуется с помощью средств программной автоматизации, например, AutoIt). Задача подбора пароля может быть распараллелена. Что касается ложной расшифровки, то такая вероятность сохраняется из-за применения в стеганодекодировании хэшированного значения пароля.

Рисунок 2 – Схема стеганоаналтического исследования

Рисунок 2 — Схема стеганоаналтического исследования

Выводы и перспективы

Тенденция последних соревнований по стеганоанализу Аляска и Аляска-2 демонстрирует интерес сообщества к датасетам, содержащим полноцветные изображения, полученные разными устройствами. В фокусе — точность при минимальном количестве ложных обнаружений.

Это говорит о том, что стеганоанализ находится на пороге качественного скачка, когда он перестанет быть исключительно уделом ученых. В среднесрочной перспективе стеганоанализ переместится из исследовательских лабораторий в практическую плоскость деятельности правоохранительных органов развитых стран.

Применение стеганоанализа в криминалистике, судя по отсутствию публикаций в журнале «Теория и практика судебной экспертизы», не исследуется в России, хотя необходимо перенимать положительный опыт, адаптировать его под требования отечественной правовой системы. В случае появления стеганоанализа в экспертной деятельности он займет свою нишу в качестве подвида компьютерной экспертизы.

Применение форматных, сигнатурных и статистических методов стеганоанализа различается в плане вычислительной сложности, применимости, точности и наукоемкости отличаются, что на качественном уровне иллюстрирует таблица.

Качественная характеристика стеганоанализа в зависимости от стеганографической технологии сведена в таблицу:

Технология

Характеристики

Стеганография

Стеганоанализ

Сложность

Точность

Применимость

Наукоемкость

Цифровая

Статистический

высокая

средняя

высокая

высокая

Сигнатурный

низкая

высокая

низкая

средняя

Структурная

Структурный

низкая

высокая

высокая

низкая

Также методы различаются по категоричности выводов эксперта. Уже сейчас форматный и сигнатурный стеганоанализ позволяют сделать категорический вывод о наличии/отсутствии вложения. Однако статистический стеганоанализ позволяет сделать лишь вероятностный вывод, который будет обоснованным при производстве экспертизы в соответствии с методикой, оценивающей достоверность результатов. При этом экспертное сообщество допускает вероятностные выводы для некоторых видов экспертиз, например, почерковедческой, фоноскопической, портретной, генетической и т. п. И для них разработаны соответствующие количественные методики.

Итак, дело за малым — разработать аналогичные методики для стеганоанализа!

© Habrahabr.ru