Скрытность становится одним из важнейших свойств современных вооружений. Уже появились невидимые для радиолокаторов самолеты, бесшумные подводные лодки, крошечные и потому почти невидимые радиоуправляемые самолеты-шпионы и т.п. И вот в этот ряд «невидимок» неожиданно встала еще одна — стеганография.
Известная как древнейший из способов тайнописи стеганография и современные методы ее раскрытия, называемые стеганоанализом, скорее всего, оставались бы и далее вне поля зрения широкой аудитории, не случись трагических событий 11 сентября. До этого момента стеганография казалась совершенно безобидным элементом сетевой культуры, а стеганоанализ привлекал к себе внимание всего нескольких групп университетских математиков. В процессе расследования трагического инцидента обнаружилась потенциальная опасность именно стеганографии, поскольку по своим тактико-техническим данным она оказалась очень удобна с точки зрения технологии террора. Кроме того, одновременно выявилась слабость существующих методов стеганоанализа: реальных контрмер нет, и в ближайшее время не появится.
На волне всеобщей озабоченности угрозой терроризма и внимания ко всему, что с ним связано, обострился интерес и к этой остававшейся до поры в тени возможности передачи закодированных сообщений через Internet. Достоверных и убедительных доказательств в действительности применения стеганографии именно в связи с атакой на Центр международной торговли в Нью-Йорке пока нет. Однако есть отдельные ссылки на находки ФБР, в которых утверждается, будто для обмена сообщениями использовались тексты, вкрапленные в изображения, в том числе, на порнографических и им подобных сайтах.
Следует уточнить, в конечном счете, дело не только в одном случае, каким бы драматическим по своим последствиям он не был. Вопрос стоит гораздо шире. Internet может стать удобной средой передачи скрытых сообщений, инструментов противодействия этому процессу до сих пор не найдено. Впервые обеспокоенность возможностью злонамеренного использования стенографии была проявлена еще за полгода до падения «близнецов». В феврале 2001 года в газете USA Today появились две статьи, в которых выдвигались предположения о том, что бен Ладен и его террористическая организация могут использовать стеганографию для планирования и проведения актов диверсии. В качестве вероятных мест публикации скрытых сообщений были названы e-Bay, Amazon, некоторые спортивные и развлекательные сайты. Для того чтобы проверить достоверность этой гипотезы, специалисты из Мичиганского университета проверили около двух миллионов изображений в формате JPEG на сайте e-Bay и некоторых других. В результате им удалось обнаружить только одно неизвестно откуда взявшееся и никому не нужное скрытое изображение, на котором просматривалось кладбище самолетов B-52.
Отчет прозвучал, казалось бы, успокаивающе. Однако, скорее всего, он свидетельствовал о несовершенстве использованных экспертами методов анализа — методов, которые позволяли им открыть только вложенное изображение, а не тексты. Очевидно, гораздо опаснее возможность скрывать в изображениях текст. Это настолько опасно, что самые известные специалисты по стеганоанализу Нейл Джонсон из университета Джорджа Мэсона и Джэсика Фридрих из университета штата Нью-Йорк в Байндхэмтоне, обеспокоенные возможностью распространения информации с использованием средств стеганографии в преступных целях, решили впредь ограничить публикации результатов своих исследований, чтобы не делиться своими знаниями с злоумышленниками. Озабоченность распространением стеганографии вызвана двумя обстоятельствами. Во-первых, количество потенциальных носителей закодированной информации не поддается исчислению, а методы декодирования пока находятся в зародышевом состоянии. А во-вторых, не вполне понятно, кто и зачем ею пользуется, а этот процесс стал массовым. Показательно, что на фоне большого количества свободно распространяемых стеганографических продуктов успешно действует, например, немецкая компания, делающая то же самое на коммерческих началах. Пакет Steganos Security Suite продан в количестве более чем 100 тыс. копий. Кому и зачем? Компания Steganos предлагает свой продукт в качестве инструмента индивидуальной защиты данных, хотя это и выглядит довольно странно. Действительно, кого и чем именно не удовлетворяют возможности Pretty Good Privacy?
Стеганография с античных времен до Internet
Первые упоминания о стеганографии как о средстве сокрытия критически важных сообщений под невинным прикрытием можно найти у Геродота. В последующем на протяжении многих веков представители «спецслужб» Востока и Запада придумали массу изящнейших приемов. Диапазон применявшихся методов был невероятно широк. От татуировки под шевелюрой гонца и специальных молельных четок, до «промаргивания» сообщения Морзе во время выступления по телевидению. Повествование об этом могло бы составить отдельный занимательный опус, но сегодня это уже давняя и вполне безобидная история. Теперь важнее другое: Глобальная Сеть предоставила для стеганографии новые неограниченные возможности и соответственно большие опасности.
Стандартная стеганографическая схема сохраняется — вне зависимости от технологии, которой она реализуется. Допустим, мы воспользовались древнеперсидским методом и решили нанести татуировку на голову и отправить его в путь-дорогу, когда отрастут волосы. Тогда голова гонца, на которой успели отрасти волосы, становится «носителем» (cover medium), на ней есть «скрытое сообщение» (embedded message) в виде татуировки, «ключом» (stego-key) является бритва. Воспользовавшись ею, мы отделяем «закодированный носитель» (stego-medium) от «цели» (stego-object). Классическая формула
cover medium + embedded message + stego-key = stego-medium + stego-object
благодаря цифровым методам передачи информации обрела новый смысл.
Напомним, что обычно для передачи текстов используется код Standard Code for Information Interchange, ставший стандартом де-факто. Код ASCII использует семь информационных бит и один для контроля четности, например буква «A» латинского записывается как «1000001». Цифровые изображения состоят из очень похожих пикселов из 8 или 24 байт, есть форматы для представления звука, видео и др. Эти носители создают необходимую среду для передачи. Стеганографические средства, разлагая сообщение на биты, позволяют упаковать или спрятать меньший по мощности поток символов сообщения в больший по объему поток символов носителя. В результате получается носитель с вложенным в него сообщением. Использование пароля или ключевой фразы позволяет принимающей выделить вложенное сообщение.
Где можно спрятать сообщение при его распространении через Internet? Да где угодно! Можно поместить его в заголовки пакетов TCP/IP, где есть резервные поля, предоставляющие прекрасное место для скрытых сообщений (правда, это может помешать прохождению через межсетевые экраны). Можно использовать лишние пробелы, образовавшиеся при форматировании документов. Но гораздо более богатые возможности предоставляют аудиофайлы, особенно в формате MP3Stego. Самыми распространенными носителями стали изображения. Например, типичная 8-битная картинка 640x480 с 256 цветами позволяет скрыть в себе примерно 300 Кбайт текстовой информации, а 24-битная размером 1024 x 768 — до 2 Мбайт.
Метод стеганографии не следует путать с техникой «цифровых водяных знаков» (digital watermarking). Они близки по смыслу, но различны по назначению. Общим является то, что и то и другое невидимо глазу на цифровом изображении, однако водяные знаки используются для вполне понятных «легальных» целей, например, для фиксации права собственности. Их наличие не скрывается, они меньше по размеру, и главное требование к применяемым алгоритмам состоит в том, чтобы сохранить знак при любых трансформациях цифрового изображения.
Все множество стеганографических методов, используемых в Internet, можно разделить на две группы. Методы первой группы предполагают небольшую модификацию изображений (Image Domain), вторые используют трансформацию изображений (Transform Domain). Методы Image Domain — иногда их еще называют Bit Wise Method — обычно используют побитную модификацию, например, изменение наименьшего по значению бита (least significant bit, LSB). Эти методы относят к числу простых, они легче поддаются декодированию и допускают потерю информации при тех или иных преобразованиях файла-носителя, например, при сжатии. Из трех наиболее популярных алгоритмов сжатия изображений — Windows Bitmap (BMP), Graphic Interchange Format (GIF) и Joint Photographic Experts Group (JPEG) — чаще используют BMP и GIF, отличающиеся меньшими потерями. Самыми распространенными инструментами, реализующими методы группы Image Domain, являются Hide and Seek, Mandelsteg, Steganos, StegoDos, S-TOOLS и White Noise Storm.
В методах группы Transform Domain используют тригонометрические преобразования (discrete cosine transformation, DCT) или наложения наподобие ряби, незаметной для глаза (wavelet transformation). Эти методы более устойчивы, вложенная информация не теряется ни при каких преобразованиях, поэтому их чаще всего применяют при создании цифровых водяных знаков. Обычно при этом используются файлы формата JPEG; к числу наиболее популярных инструментов относятся Jpeg-Jsteg, JPHide, Outguess, PictureMarc и SysCop.
Несколько слов о стеганоанализе
Прежде всего, вполне естественно желание сравнить стеганоанализ с криптоанализом. Целью криптоанализа является решение намного более «простой» задачи: не обнаружение скрытой информации, а всего лишь декодирование известных сообщений. Криптоаналитик работает в условиях относительно большей определенности, чем стеганоаналитик. У него есть текстовые сообщения, есть теоретические представления о методах кодирования, частично декодированные тексты и т.д. Стеганоанализа напоминает криптоанализ только в том случае, если есть, скажем, эталонное изображение и другое изображение, о котором заведомо известно, что в нем есть вложение. Однако чаще ситуация осложняется тем, что априори неизвестно, есть ли закладки или нет; кроме того, объемы потенциальных носителей могут быть очень значительными.
При хорошо подобранном изображении-носителе и стеганографическом инструментарии формируется картинка, которую человеческий глаз ни в чем «заподозрить» не может. Однако располагая необходимыми инструментальными техническими средствами, всегда можно обнаружить оставшиеся «отпечатки пальцев», которые свидетельствуют о наличии скрытого сообщения. Этот шаг, «обнаружение наличия» является первым этапом в контратаке на стеганографию.
Дальнейшая тактика зависит от того, чем располагает аналитик. Находится ли в его распоряжении только закодированный носитель или, может быть, еще что-то? Соответственно классифицируются типы стеганографических контратак. Основными инструментами стеганоаналитика служат средства распознавания образов. Они позволяют обнаружить какие-то отличия изображения от подобных ему: это может быть наличие шума, деформация палитры, несоразмерность градаций серого в черно-белых изображениях и т.д.
После того, как скрытое изображение обнаружено, существует несколько вариантов продолжений. Кроме понятного желания расшифровать и получить для себя скрытую информацию, есть еще одно важное дело. Нужно обезопасить носитель, или, другими словами, сохранив картинку на каком-либо сайте, уничтожить в ней это самое скрытое сообщение. Это совершенно отдельная, новая и практически непаханая сфера приложения профессиональных усилий.
Что делать?
Получить представление о текущем положении дел в стеганографии и в стеганоанализе несложно. Серьезных работ по стеганографии мало. Можно назвать по существу две группы, возглавляемые упомянутыми выше Нейлом Джонсоном и Джэсикой Фридрих. Указание в строке поисковой машины их имен в оригинальной нотации Neil F. Johnson и Jessica Fridrich в сочетании со словами steganography и steganoanalysis позволит найти все наиболее интересные работы. (Кроме того, Джэсика очень интересно пишет о решении задач для кубика Рубика, рекомендую не упустить.)
С практической точки зрения нужно отметить, что стеганоанализ — это относительно новое научное направление. Оно еще очень немногочисленно и не имеет больших практических достижений, по сути, еще не вышло за границы академических лабораторий, хотя потребность в нем, как показывает жизнь, достаточно велика. Может показаться странным, но в 2002 году в мире не существует ни одной компании, которая работала в области стеганоанализа профессионально, на коммерческих началах, — и это при том, что объем работ, который необходимо выполнить, чтобы появились доступные пользователям инструменты, невероятно велик.
Если учесть, что декодирование спрятанного сообщения требует решения трех задач — обнаружение закладки, определение формата и собственно дешифровка — то появление практических средств, способных решить эти задачи, займет многие годы. Но жертвой злоумышленников, распространяющих стеганографическими средствами информацию, уже сейчас может стать любая компания. Что же делать в условиях, когда средств защиты нет? Ответ прост: как всегда в подобных случаях, когда нет готового решения, нужно полагаться на здравый смысл, на корпоративную дисциплину и контроль. Прежде всего, на предприятии необходимо строго настрого запретить использование любого стеганографического программного обеспечения; нет абсолютно ни каких доводов в защиту его полезности. Грамотный аудит позволит обнаружить большинство из известных инструментов этого типа. Второе (и может быть, главное) — анализ поведения сотрудников. Показательным является соотношение текстов и картинок в их почте; особенное подозрение должны вызывать ситуации, когда одна и та же картинка посылается многократно. Третье — мониторинг корпоративного сайта, анализ того, как потребляется выкладываемая на нем информация. Если обнаруживается противоречащая здравому смыслу ситуация, например, определенное изображение загружается аномально часто и при этом не загружается никаких текстов, то такое положение дел должно вызывать тревогу.
Возможно, для нашей отечественной реальности подобные проблемы еще не слишком злободневны. Но в то же самое время они открывают возможности для применения могучего математического и программистского потенциала, которым обладают наши специалисты. Ниша свободна, интересно, найдутся ли желающие ее заполнить?