Исследователи и хакеры изучают новые инструменты, позволяющие организовать утечку корпоративных тайн — вывести конфиденциальную информацию за рамки сети, в которой она циркулирует. Один из относительно новых способов достижения этой цели связан с маскировкой сообщений внутри трафика VoIP.
"Технологии, относящиеся к VoIP-стеганографии, вот уже несколько лет обсуждаются в академических кругах, однако из сообщества хакеров поступают последние новости о создании простых в использовании средств, позволяющих выполнять подобные операции", — отметил Чет Хосмер, основатель и научный директор компании WetStone Technologies, которая занимается изучением технологий, применяемых киберзлоумышленниками, и обучением специалистов по безопасности раскрытию киберпреступлений.
"Решений для массового рынка пока не существует, но они уже видны на горизонте, и нам нужно помнить об этом с учетом повсеместного распространения технологий VoIP, - добавил Хосмер. - Методы стеганографии позволяют скрывать секретные сообщения внутри трафика VoIP без серьезного ухудшения качества голосовой связи".
В общем случае стеганография предполагает маскировку передаваемых сообщений таким образом, что никто даже не догадывается об их присутствии. С приходом стеганографии в цифровой мир сообщения начали скрываться внутри вполне безобидного трафика. К примеру, секретную информацию легко можно передать внутри файлов .jpg, задействовав биты, которым отводится второстепенная роль. Таким образом, скрытые сообщения не оказывают практически никакого влияния на восприятие изображения.
"В настоящее время в мире насчитывается более тысячи стеганографических программ, которые доступны любому желающему и позволяют размещать секретные данные внутри графических, звуковых и текстовых файлов, -- сообщил Хосмер. -- Наличия общедоступных стеганографических программ, использующих трафик VoIP, нами пока не зарегистрировано, однако исследователям уже известны три основных способа создания подобных приложений".
Первый заключается в использовании для передачи секретных сообщений незадействованных битов протоколов UDP и RTP, и тот и другой находят применение в технологиях VoIP.
Второй предусматривает сокрытие данных внутри каждого пакета, несущего полезную нагрузку. Но делается все таким образом, чтобы это не сказывалось на качестве связи.
И наконец, третий метод предполагает вставку в поток VoIP дополнительных, намеренно искаженных пакетов. Они отбрасываются принимающим телефоном, но могут обрабатываться другими сетевыми устройствами, имеющими доступ ко всему потоку VoIP. В качестве одного из вариантов здесь можно использовать изменение порядка размещения пакетов, в результате чего принимающее устройство будет отбрасывать те из них, которые нарушают последовательность.
Данные технологии требуют установки специального оборудования на обоих концах канала или наличия промежуточных компонентов, которые будут включать в поток дополнительные пакеты.
"Встроить секретные данные в трафик VoIP труднее, чем в другие файлы, -- подчеркнул Хосмер. -- Но вместе с тем труднее их и обнаружить".
"Среда, используемая для переноса секретных сообщений, называется носителем, -- отметил Кристиан Коллберг, доцент Аризонского университета и один из авторов книги Surreptitious Software ("Тайные программы"). -- В качестве носителя можно использовать практически все, что угодно. К примеру, для переноса секретных сообщений вполне можно задействовать программный код архитектуры x86. Манипулируя параметрами компилятора, вы определяете приоритеты выполняемых операций, а каждая опция может соответствовать какому-то биту в секретном сообщении. Параметров довольно много, и, выбирая ту или иную опцию из имеющегося списка, вы определяете значения конкретных битов сообщения".
Средством передачи скрытых сообщений может служить даже повсеместно используемый протокол TCP/IP. Одним из новейших методов извлечения дополнительной выгоды из механизма ретрансляции TCP является так называемая ретрансляционная стеганография (RSTEG), при которой машины-отправители повторно отсылают пакеты в том случае, если не получают от приемника подтверждения.
"В стеганографии должны быть задействованы как отправляющая, так и принимающая машины", -- говорится в отчете, опубликованном группой польских исследователей под руководством Войцеха Мазурчика из Варшавского технологического университета. В некоторых ситуациях принимающая сторона после поступления очередного пакета не высылает соответствующего подтверждения, и он отправляется заново.
Пакет, передаваемый повторно, отличается от первоначального и в качестве полезной нагрузки несет в себе скрытое сообщение. Принимающая машина способна выделять такие пакеты из всех остальных, раскрывая спрятанное сообщение.
В своем блоге Crypto-Gram Newsletter авторитетный специалист в области безопасности Брюс Шнайер отверг наличие угрозы, исходящей от RSTEG.
"Не думаю, что подобные вещи получат широкое распространение, -- отметил он. -- Хотя сама идея, безусловно, заслуживает внимания".
Мазурчик и его коллеги потратили массу времени на поиск новых сред передачи секретных сообщений. Результаты исследований возможности использования стеганографии в трафике VoIP и беспроводных локальных сетей изложены в опубликованном ими отчете.
Найти какое-то универсальное средство борьбы со стеганографией весьма затруднительно, потому что традиционные средства безопасности, такие как межсетевые экраны, не распознают передачу подобного рода. Файл, содержащий секретное сообщение, выглядит вполне легитимным.
"Наилучшим способом борьбы с утечкой корпоративных тайн путем использования методов стеганографии является поиск косвенных признаков, например появление известных стеганографических пакетов на компьютерах в офисе, -- отметил Хосмер. -- Там, где такие файлы обнаружены, путем дополнительного анализа можно выявить файлы, содержащие соответствующие сообщения и признаки утечки данных".
Во многих случаях для защиты бизнеса вполне достаточно выявить конкретных людей, использующих методы стеганографии. Для предотвращения дальнейших утечек к этим лицам принимаются необходимые меры, и угроза нейтрализуется.
Впрочем, возможно инициирование и более активных действий, например разрушение секретных сообщений путем замены файла, используемого в качестве носителя. Например, если в качестве носителя выбран графический файл, установка всех не имеющих существенного значения битов равными нулю разрушает любое встроенное в него сообщение, не оказывая значительного влияния на внешний вид изображения.
Бесплатные программы обработки файлов с целью разрушения стеганографических сообщений (одна из таких программ - Stirmark) без труда можно найти в Internet. Основатель компании E.R. Forensics Кит Бертолино предложил оригинальный метод "двойной стеганографии", подразумевающий включение в файлы стеганографических сообщений с целью разрушения других стеганографических сообщений, которые, возможно, там присутствуют. В случае получения от правительства гранта Small Business Innovation and Research Бертолино намерен реализовать свою технологию борьбы со стеганографией в коммерческом продукте.
По словам Хосмера, анализ киберпреступлений показывает, что в 3% случаев злоумышленники использовали стеганографические программы. "Хорошее знание стеганографии криминальными элементами стало большим сюрпризом для правоохранительных органов", -- подчеркнул он.
По данным аналитиков Wetstone, которые следят за развитием шести популярных стеганографических программ, интерес к стеганографии растет. В 2008 году в месяц пользователями загружалось в среднем 30 тыс. экземпляров этих программ, тогда как еще годом ранее количество загрузок варьировалось от 8 тыс. до 10 тыс. С учетом того что число компьютеров, подключенных к Internet, в этот период тоже увеличилось, в таком росте нет ничего необычного, но тем не менее он весьма показателен.
Стеганография не всегда служит исключительно деструктивным целям.
"С технической точки зрения ее методы аналогичны установке цифровых водяных знаков, но с несколько иными намерениями, -- отметил Коллберг. -- Водяные знаки представляют собой секретное сообщение, встраиваемое, к примеру, в изображение. Если изображение размещается в Сети, водяной знак может найти поисковый робот. Таким образом, создатель изображения имеет возможность проверить, заплатил ли сайт за его размещение, или же в данном случае речь идет о нарушении авторских прав".