|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА |
||||
|
|
|
|||
|
|
Библиотека: Способ обнаружения скрываемой в
файлах-контейнерах банковской информации. |
|
|
|
|
|
Способ обнаружения скрываемой в файлах-контейнерах банковской информации Юрий Мельников, Проблема защиты информации становится острее с каждым годом. Если на заре Интернета и глобальных сетей вопросам безопасности уделяли внимание в основном военные организации и крупные корпорации, то сейчас даже небольшая компания, насчитывающая десяток компьютеров и одну постоянную точку доступа к Интернету, должна озаботиться этим вопросом. Сложность необходимой аппаратуры постепенно увеличивается, если раньше обходились одним брандмауэром и антивирусами, то сейчас все большее распространение получают системы обнаружения проникновений (intrusion detection). Постепенно вводятся в строй средства, позволяющие отслеживать как внешние, так и внутренние воздействия или передачу наружу какой-то корпоративной информации. Существует достаточно много систем, позволяющих отследить какие-то подозрительные данные, передаваемые по сети, например отправку писем на сайты вакансий или пересылку каких-то ценных данных конкуренту. Естественно, что с появлением все новых систем безопасности появляются все новые способы их обойти. Например—стеганография. Стеганография, в отличие от криптографии, скрывает сам факт передачи информации. Возникла она очень давно и всем отчасти знакома хотя бы по письмам, написанным молоком. В настоящее время появились новые стеганографические методы, использующие цифровую информацию для скрытия данных. Для служб информационной безопасности банка важно отслеживать всякие попытки несанкционированной передачи и приема информации. Особенно важно следить за файлами изображений, не используются ли они в качестве файлов контейнеров. Существует довольно много стеганографических методов, позволяющих скрыть одну информацию внутри другой (см. Мельников Ю. Н., Баршак А. Д., Егоров П. Е. Сокрытие банковской информации нестандартными способами//Банковские технологии. 2001. № 9. С. 25—27). Остановимся на наиболее распространенных, тех, что используют избыточность цифровых изображений, и попробуем определить, действительно ли нельзя определить факт наличия скрытой информации. Такой выбор обусловлен как простотой, так и определенной надежностью данных методов. Для сравнения: скрытая информация в текстовых файлах легко обнаруживается (достаточно просмотреть файл в шестнадцатиричном формате), так же легко обнаружить скрытую информацию в неиспользуемых или зарезервированных областях файлов, нужно лишь сравнить ее с той, какой она должна быть по умолчанию или стандарту. Мы будем рассматривать bmp-файлы с глубиной цвета 24 бита. В данном формате под каждую точку изображения отводится три байта (см. рис. 1), в каждом из которых хранится информация о красной, зеленой и синий составляющей (итого 3 ґ 8 = = 24 бита).
В LSB (Least Significant Bits) методе стеганографии для записи используются наименее значащие биты из 24, например 3 самых младших (по одному из красной, зеленой и синей составляющей) или 8 (по три из синей и красной составляющей и два из зеленой) или какое-либо другое число (соответственно, чем больше битов используется для записи информации, тем сильнее искажается рисунок). Естественно предположить, что при специальном анализе внесенные изменения можно будет обнаружить и таким образом определить наличие внедренной в файл рисунка информации. Тут необходимо пояснить следующий момент: внедряемая информация является секретной. Она как правило, предварительно шифруется и поэтому обладает определенными статистическими характеристиками (например, частота появления 1 и 0 в двоичной записи почти одинакова). Для определения характеристик изображения авторами была написана программа, помогающая определять различные статистические характеристики. Анализ может проводиться по различному числу битов в изображении, например, по трем самым младшим (R:1, G:1, B:1) или любой другой их комбинации. Первая вычисляемая величина—отношение числа единиц в исследуемых битах изображения к максимально возможному, обозначим ее M. Для каждого пикселя считаются все биты, содержащие единицы, и делятся на общее число битов (имеются в виду только выбранные биты, например 3 младших). Для изображения, содержащего информацию, M должно быть близко к 0,5. Далее изображение разбивается на блоки размера m x n и для каждого из них также считается значение M (Bits — число битов, которое мы смотрим в каждом пикселе, например, если брать три самых младших, то Bits = 3):
где Другая используемая величина (обозначим ее Q) — отношение числа переходов между битами соседних пикселей к максимально возможному (например, если в двух соседних пикселях мы имеем красные составляющие 01011001 и 01011001 (равны) то число переходов = 0, а если 00011000 и 00011111, то число переходов = 3, выполняется операция XOR между двумя пикселями и считается число единиц в результате). В итоге имеем следующую формулу (для одного блока m x n):
где Приведем пример (анализируются три младших бита: один младший красный, один младший зеленый и один младший синий). В файл-контейнер была помещена скрываемая информация, с почти одинаковой вероятностью появления 0 и 1. На рис. 2 вверху график M и Q для блоков до, а внизу—после записи информации (размер блоков 10 ґ 10, по вертикальной оси расположены M и Q, по горизонтальной—номера блоков). Данные графики показывают, насколько могут различаться характеристики различных блоков изображения (как видно из графиков, при сокрытии информации отличия минимальны). Значение M для всего рисунка до записи информации 0,848833, после—0,501533. Столь резкие изменения характерны в случае использования в качестве контейнера изображений с большими однотонными областями (например, чертежи). Для записи информации в файл формата bmp использовалась программа Absorber (http://home.skif.net/~ssh/my/index.html?id= absorber, также можно найти на download.ru и подобных), которая не только производит встраивание информации, но также выполняет и предварительное шифрование.
Для файлов, исходно обладающих характеристиками, аналогичными той, которую вы видите на рис. 3. (почти одинаковое число 0 и 1), по данному методу затруднительно получить однозначный ответ о наличии скрытого сообщения. Поэтому для них планируется использовать более сложные алгоритмы анализа.
В случае же встраивания в текст обычного, нешифрованного сообщения мы получим примерно одинаковое значение M для всех блоков картинки, которое будет зависеть от характеристик исходного текста и используемой кодовой таблицы. Следующий результат (рис. 4) получается при записи в изображение русского текста в кодировке ОС DOS. Анализировались три последних бита, запись производилась при помощи программы, разработанной на кафедре ВМСС МЭИ. Данная программа использует один байт из каждых трех, отводимых под точку 3:2:3 (из красной и синей составляющих используются по три бита, а из зеленой составляющей используется только два бита, так как глаз более чувствителен к зеленому цвету). Вверху на рис. 4 статистика исходного файла изображения, внизу—после добавления скрываемой информации.
Описанные методы хороши тем, что они легко могут быть автоматизированы, но возможно также и определение скрытой информации вручную. Например, на рис. 5 вверху изображение до внесения скрытой информации, а внизу—после. При этом использовался следующий метод: убирались все биты, кроме самых младших; если самый младший бит в байте цвета (красного, синего или зеленого) равен 1, то весь байт принимает значение 255, а если 0, то весь байт становится равным 0.
Таким образом, если в файле-контейнере спрятана информация, то рисунок изменяется очень сильно (до неузнаваемости). В противном случае—видимые глазом изменения не очень существенны. В данной статье показана принципиальная возможность обнаружения факта наличия скрытой информации, внедренной с помощью стеганографических методов в файлы цифровых изображений формата bmp. Использование программ, работающих по описанному в данной статье методу, позволит службам безопасности банка контролировать передаваемые файлы изображений на наличие в них скрытой информации, которая могла бы нанести ущерб интересам банка. Литература: 1. Юрий Мельников,Дмитрий Кузовенков Способ обнаружения
скрываемой в файлах-контейнерах банковской информации. -http://www.bizcom.ru/security/2002-02/01.html |
|||
|
|
||||
|
|
||||
— число «1»
в битах одного пикселя. График, показывающий значения M для блоков (см. рис.
2), — синего цвета. 
и 
— число
переходов для двух рядом расположенных пикселей по горизонтали и по
вертикали, соответственно. График распределения данной величины (см. рис. 2)
показывается красным цветом. 
