Римляне татуировали секретное послание на выбритой голове гонца; когда волосы отрастали, он отправлялся в путь.

Нильс Провос не обнаружил случаев применения стеганографии на сайте eBay
Руководство некоей конструкторской компании заподозрило, что один из сотрудников передавал ее интеллектуальную собственность за пределы внутрикорпоративной сети. Агентство Electronic Evidence Discovery расследовало этот случай в июне 2000 года и не смогло обнаружить доказательств на локальном жестком диске сотрудника. После проверки журналов регистрации электронной почты киберсыщики обнаружили улики: в журнале значилось, что инженер отослал два сообщения с присоединенными файлами, в которых находились безобидные картинки. На самом же деле в этих картинках были скрыты две инженерные спецификации, разработанные компанией.

Способ, использованный для сокрытия спецификаций в файлах с изображениями, представляет собой высокотехнологичную версию метода, получившего название «стеганография», которая, как подчеркнул Сайан Чакраборти, вице-президент компании Sigaba, существует испокон веков.

Во времена Римской империи, как объяснил он, секретная информация вытатуировывалась на выбритой голове гонца. Когда волосы отрастали, гонец с секретным сообщением на голове и подложным письмом в руках отправлялся по назначению.

В мире ИТ стеганография основывается на подмене неинформативных разрядов в изображении и звуковых файлах на сведения, которые надо спрятать. Вместо того чтобы защищать данные посредством шифрования, стеганография просто скрывает их существование.

И выявить их с помощью традиционных методов попросту невозможно.

По словам экспертов, существуют сценарии и легитимного применения стеганографии. Между тем, несмотря на заявления о том, что стеганографию для секретного общения используют террористы, многие сомневаются в этом.

В прошлом году по прочтении опубликованной в USA Today статьи о стеганографии и терроризме Нильс Провос, аспирант факультета информатики Мичиганского университета, решил написать диссертацию, посвященную вопросам стеганографии.

Провос поставил своей целью разработать инструментальные средства, позволяющие анализировать изображения в поисках признаков применения стеганографии, таких как чересчур большие файлы и несбалансированные растровые изображения. Он протестировал свой инструментарий, а затем использовал его для исследования 2 млн. изображений на Web-сайте компании eBay, через который, по слухам, происходил обмен скрытыми сообщениями. Провосу не удалось обнаружить случаев применения стеганографии.

«Стеганография вдруг привлекает к себе огромное внимание, потом интерес затухает, а затем вспыхивает с новой силой, — заметил Провос. — Но она никогда не получит широкого распространения, поскольку объем данных, которые можно скрыть в изображениях, достаточно невелик. И если кто-нибудь задумал украсть вашу интеллектуальную собственность, проще скопировать данные на диск и унести его в кармане».

Даже если факт применения стеганографии обнаружен, судебные эксперты предпочитают начинать расследование с менее сложных аспектов. Но в некоторых случаях единственным доказательством могут стать сведения, скрытые в графических или музыкальных файлах, поэтому следователям необходимо знать о стеганографии и инструментальных средствах, применяемых для ее обнаружения и дешифрования.

Как это работает

Стеганография предполагает удаление менее значимой информации из массивов цифровых данных с добавлением вместо нее скрытых данных. В частности, может быть использован следующий метод.

Допустим, последовательность из 24 разрядов представляет один пиксел изображения. 3 байта с информацией о цвете позволяют определить 256 различных значений каждого из основных цветов (красного, зеленого и синего), таким образом всего можно представить 16,7 млн. цветов. Рассматриваемое значение соответствует темно-зеленому цвету.

Теперь возьмем 11 из этих пикселов, которые соответствуют, скажем, части однотонного фона. В следующей последовательности младший (самый правый) разряд из каждого 8-битного байта выбирается для сокрытия текстового сообщения из четырех символов Aha! в двоичном коде ASCII:

Так будет выглядеть представление этих 11 пикселов:

Скрытое сообщение занимает 32 из этих 256 разрядов (около 12%) и содержит четыре байта по восемь бит. В этой диаграмме каждый бордовый или золотой четырехугольник представляет бит, который следует изменить, чтобы добавить в изображение скрытое сообщение. Заметим, что только 14 из 256 бит (менее 5%) потребовалось изменить и что только 7 из 11 пикселов были модифицированы.

Две приведенные фигуры представляют 11 пикселов, с которыми мы работаем. Фигура слева — это исходная, немодифицированная версия. Фигура справа — результат описанных выше изменений. Вы видите разницу? Я — нет.

Если вместо 11 пикселов у нас есть файл в формате JPEG емкостью 300 Кбайт, в нем можно скрыть текстовое сообщение размером 36 Кбайт, или около 6 тысяч слов.

- Рассел Кей