211service.com
Pieaugošie uz tīklu balstītas steganogrāfijas draudi
Vēl 2011. gadā Budapeštas, Ungārijas Kriptogrāfijas un sistēmu drošības laboratorijas pētnieki atklāja neparastu ļaunprātīgas programmatūras veidu. Šī ļaunprogrammatūra tiek iegulta Microsoft Windows iekārtās, apkopo informāciju, jo īpaši par rūpnieciskajām vadības sistēmām, un pēc tam nosūta to pa internetu uz savu vadības un kontroles centru. Pēc 36 dienām ļaunprogrammatūra automātiski noņem sevi, padarot to īpaši grūti atrast.
Viņi sauca šo ļaunprogrammatūru Duqu jo tas rada failus ar prefiksu ~DQ.
Programmatūra vairākos veidos bija neparasta. Pirmkārt, drošības pētnieki pamanīja, ka Duqu ir ievērojama līdzība ar Stuxnet ļaunprogrammatūru, kuru, iespējams, izstrādāja ASV un Izraēlas kiberkara komandas, lai uzbruktu Irānas kodolieročiem. Viena drošības komanda teica, ka tas ir gandrīz identisks Stuxnet, taču ar pilnīgi citu mērķi vākt informāciju, nevis uzbrukt.
Tomēr visinteresantākais ir veids, kā Duqu pārsūta informāciju atpakaļ uz savu vadības centru. Vispirms šī informācija tiek šifrēta un pēc tam iegulta JPEG failā, lai tā izskatītos kā nevainīgs attēls, kas pazīstama kā steganogrāfija. Lai gan šifrēšana aizsargā informāciju, steganogrāfija vispirms slēpj ziņojuma esamību.
Pētnieki joprojām pēta Duqu, lai precīzi noteiktu tā mērķi un saprastu, kas to radījis. Taču fakts, ka šī ļaunprātīgā programmatūra informācijas nosūtīšanai internetā izmanto steganogrāfiju, ir daļa no satraucošas tendences. 2008. gadā ASV Tieslietu ministrija kļuva par steganogrāfijas upuri, kad JPEG attēlos, iespējams, tika nopludināta sensitīva finanšu informācija. 2002. gadā tika atklāts, ka bērnu pornogrāfijas grupa apmainījās ar informāciju, izmantojot steganogrāfiju. Ir zināms, ka Ņujorkā atklātais Krievijas spiegu gredzens ir izmantojis steganogrāfiju, lai nosūtītu informāciju atpakaļ saviem saimniekiem.
Tas rada vairākus svarīgus jautājumus. Cik plaši izplatīta ir interneta steganogrāfija, kādus paņēmienus tā izmanto un kā ar to cīnīties?
Šodien mēs saņemam daļēju atbildi, pateicoties Stefena Vendzela darbam kiberaizsardzības pētniecības grupā Fraunhofera Komunikācijas, informācijas apstrādes un ergonomikas institūtā Bonnā, Vācijā, un dažiem draugiem. Šie puiši sniedz pārskatu par to, kā ļaunprogrammatūra slēpj slepenu informāciju parastās tīkla pārraidēs, un parāda, ka dažādu metožu skaits pēdējos gados ir dramatiski pieaudzis.
Viņi īpaši koncentrējas uz tīkla steganogrāfiju — informācijas slēpšanu parastās tīkla pārraidēs, nevis USB zibatmiņās vai fiziskos attēlos un tā tālāk. Viņi norāda, ka šī tīkla steganogrāfija ir īpaši pievilcīga, jo principā nav ierobežots nosūtāmās informācijas apjoms, atšķirībā no, piemēram, USB zibatmiņas.
Turklāt iespējas slēpt informāciju tīkla pārraidēs ir pieaugušas strauji. Jo īpaši vairākas pieejas ir vērstas uz IP telefonijas programmām, piemēram, Skype, kas pēdējos gados ir kļuvušas arvien populārākas.
Agrāk tīkla steganogrāfi ir izmantojuši TCP/IP protokolus, kuriem ir galvenes, kas satur informāciju datu maršrutēšanai pa internetu. Šajās galvenēs ir arī neizmantoti lauki, kurus var izmantot, lai salīdzinoši viegli pārsūtītu slēptu informāciju.
Vendzels un kolēģi saka, ka pēdējos gados uzbrukuma fokuss ir mainījies uz augstāka līmeņa lietojumprogrammām un pakalpojumiem, piemēram, Skype, Bit Torrent un Google meklēšanu, kā arī uz jaunām tīkla vidēm, piemēram, mākoņdatošanu. Pēdējā laikā esam piedzīvojuši izmaiņas slēpto datu nesēju izvēlē, saka viņi.
Piemēram, viena pieeja, ko sauc par steganogrāfiju vai TranSteg pārkodēšanu, ir runas datu saspiešana tā, lai tie aizņemtu mazāk vietas, un atbrīvoto vietu izmantot slēptu datu pārnēsāšanai.
Vēl viens uzbrukums runas datiem ir identificēt datu paketes, kas saistītas ar klusumu starp vārdiem. Pēc tam tos var iesaiņot ar slēptiem datiem.
Alternatīva pieeja ir uzbrukt Google meklēšanas vaicājumiem, kas lietotājam ierakstot parāda 10 populārāko saistīto meklēšanas frāžu sarakstu. Viens uzbrukums pārtver ieteikumus no Google serveriem un katras no 10 ieteiktajām frāzēm pievieno unikālu vārdu. Uztvērējs vienkārši izvelk šos pievienotos vārdus un pārvērš tos ziņojumā, izmantojot iepriekš kopīgotu uzmeklēšanas tabulu.
Iespējams, ka satraucošākā tendence ir viedtālruņu pieaugošās iespējas, jo mūsdienās tiem ir iespējas, kas nesenā pagātnē bija pieejamas tikai galddatoros un klēpjdatoros. Viedtālruņi piedāvā plašu steganogrāfisku iespēju klāstu, jo tie spēj ierakstīt un nosūtīt audio, video, nekustīgus attēlus, kā arī dažāda veida teksta failus. Turklāt tie acīmredzami ir mobili un var automātiski izveidot savienojumu ar dažādiem tīkliem.
Pats biedējošākais ir tas, ka šīs ierīces ir unikāli neaizsargātas. Mobilajās operētājsistēmās izmantotie drošības slāņi izrādās tikko piemēroti, saka Vendzels un citi.
Viena veida ļaunprogrammatūra, ko sauc par SoundComber, tver personas datus, piemēram, ciparus, kas ievadīti viedtālruņa tastatūrā tālruņa zvana laikā, un pēc tam pārsūta tos, izmantojot jebkuru no dažādām metodēm, piemēram, iepriekš definētu vibrācijas veidu, mainot skaļuma līmeni. zvana signālu, bloķējot un atbloķējot ekrānu un tā tālāk.
Tas viss rada nopietnus draudus. Joprojām ir vairāk nekā simts paņēmienu, kas pārsūta slepenus datus, izmantojot metainformāciju, piemēram, galvenes elementus vai tīkla pakešu laiku, saka Wendzel un citi.
Problēma, protams, ir pamanīt datorus, kas inficēti ar steganogrāfisku ļaunprātīgu programmatūru, vai nu tieši meklējot pašu ļaunprogrammatūru, vai meklējot steganogrāfijas pazīmes datos, ko tie pārraida.
Tas ir vieglāk pateikt nekā izdarīt. Ļaunprātīgas programmatūras novēršanas programmatūra parasti meklē iepriekš noteiktu failu kopu, par kuru ir zināms, ka tie ir problemātiski. Ir arī programmatūra, kas piedāvā aizsardzību pret datu noplūdi, kas normalizē pārraidīto trafiku, cerot, ka tas novērš tīkla steganogrāfiju. Citas sistēmas izmanto mašīnmācīšanos, lai noteiktu steganogrāfijas indikatora pazīmes.
Tomēr neviena no šīm pieejām nav ideāla vai ne tuvu tam. Pretpasākumi nevar vienlaikus novērst visas šīs pieejamās slēpšanas metodes protokolu un pakalpojumu sarežģītības un daudzveidības dēļ, saka Vendzels un citi.
Viņi norāda, ka, pirms var izveidot pretpasākumu, kas to dara, pētniekiem būs jāizstrādā jauns fundamentālu pieeju kopums, lai cīnītos pret jaunizveidotajām steganogrāfijas formām.
Viena lieta ir droša: tīkla steganogrāfijas noteikšana un novēršana kļūs arvien grūtāka, jo izplatās ļaunprātīgas programmatūras, piemēram, Duqu, draudi. Esiet brīdināts!
Atsauce: arxiv.org/abs/1407.2029 : Slēpts un nekontrolēts – par tīkla steganogrāfisko draudu rašanos