Эллиот Алдерсон прятал секретную информацию в аудио-CD файлах. Однако, техника, использованная вымышленным хакером из сериала «Мистер Робот», далека от простой прихоти телевизионщиков. Это всего лишь один из многих методов стеганографии, используемых хакерами и кибер-преступниками для обхода систем безопасности.

Произошедшее от греческих слов steganos (скрытый) и graphos (письмо), слово «стеганография» означает метод сокрытия данных. Чтобы понять, как лучше всего справиться с этой тайной угрозой, мы поговорили с Дэниэлем Лерхом, который имеет степень кандидата компьютерных наук в Университете Universitat Oberta de Catalunya (Каталония, Испания) и является одним из лучших экспертов по стеганографии в Испании.

Panda Security (P.S.): Как бы Вы определили стеганографию? Чем она отличается от криптографии?

Дэниэль Лерх (D.L.): Стеганография изучает, как сокрыть информацию на объекте-носителе (изображение, аудио-файл, текст или сетевой протокол). В то время как в криптографии цель заключается в том, чтобы отправленное сообщение не было прочитано злоумышленником, в стеганографии цель заключается в том, чтобы скрыть даже сам факт какой-либо коммуникации.

Эти две науки не являются взаимоисключающими. На самом деле, стеганография обычно использует криптографию для шифрования сообщения перед тем, как его скрыть. Но их цели различны: не каждому, кому необходимо защитить информацию, также необходимо скрыть ее. Так что стеганография может быть дополнительным уровнем безопасности.

P.S.: Кто может больше выиграть от стеганографии: кибер-преступники или поставщики решений безопасности?


Дэниэль Лерх

D.L.: Несомненно, кибер-преступники. Тем, кто несет ответственность за безопасность компаний и учреждений, не требуется скрывать свои коммуникации. Чтобы обеспечивать их безопасность, достаточно криптографии.

Стеганография – это инструмент, который представляет огромный интерес со стороны разных типов преступников, т.к. он позволяет коммуницировать без риска их обнаружения. Типичные примеры: коммуникации между членами террористических ячеек, распространение незаконных материалов, раскрытие конфиденциальной информации, инструмент для сокрытия вредоносных программ или команд, которые удаленно управляют этими вредоносными программами.

P.S.: Как эта техника развивалась в последнее время?

D.L.: В зависимости от среды, где применяется стеганография, ее развитие было различным.

Направление, которое развивалось больше всего, - это стеганография в изображениях. Их очень сложно моделировать статистически, а потому в них очень легко вносить изменения, которые будут незаметны. Например, значение пиксела в черно-белом изображении может быть представлено байтом, т.е. числом от 0 до 255. Если это значение немного изменить, то человеческий глаз может этого не заметить. Но проблема в том, что при статистическом анализе изображения непросто обнаружить такое изменение. Изображения являются отличным способом сокрытия данных, точно также как видео и аудио.

Другая среда, которой уделяется очень много внимания, - это стеганография в сетевых протоколах. Впрочем, в отличие от того, что происходит с изображениями, сетевые протоколы четко определены. Если мы меняем информацию в сетевом пакете, то это может быть заметно, а потому тут меньше возможностей для маневра при сокрытии данных. И несмотря на то, что такие изменения могут быть легко обнаружены с самого начала, такие техники могут быть весьма эффективны в результате сложности анализа огромного объема трафика в существующих сетях.

Один из старейших носителей информации, и который меньше всего развивался в цифровую эпоху, - это текст. Однако, стеганография в тексте может сделать существенный скачок в силу развития машинного обучения. В техниках, разработанных в последние годы, процесс сокрытия информации утомителен и он требует от пользователя ручного ввода для создания «нормального» текста, который имеет смысл, но при этом содержит скрытое сообщение. Впрочем, современные достижения в глубоком обучении, применяемом в НЛП, позволяют нам создавать более и более реалистичные тексты, так что возможно, что вскоре мы увидим стеганографию в тексте, которую сложно будет обнаруживать.

P.S.: Какие направления применения стеганоанализа в сфере компьютерной безопасности? Какие техники обычно используются?

D.L.: С точки зрения безопасности компании, основные области применения – это обнаружение вредоносных программ, которые используют стеганографию для своего сокрытия, и обнаружение вредоносных пользователей, которые пытаются извлечь конфиденциальную информацию.

С точки зрения спецслужб, обеспечивающих национальную безопасность, основные области применения стеганоанализа – это обнаружение террористических или шпионских коммуникаций.

Хотя большинство инструментов стеганографии, которые можно найти в Интернете, являются достаточно простыми и могут быть обнаружены с простыми и известными атаками, не существует качественных публичных инструментов, которые позволяют нам автоматизировать процесс, обнаруживая стеганографию в сетевых протоколах, изображениях, видео, аудио, текстах и пр.

Может быть, это пока невозможно. Например, в области стеганографии в изображениях, современные передовые техники, которые исследуются в настоящее время, с огромным трудом могут быть обнаружены с использованием машинного обучения. Кроме того, если информация распределяется среди различных носителей, что значительно снижает объем информации на каждом объекте-носителе, то ее обнаружение с помощью современных технологий становится практически невозможным.

P.S.: Как Вы считаете, какую роль стеганография будет играть в ближайшие годы? Будет ли она использоваться чаще как оружие для атаки, или, все же, как средств обороны?

D.L.: Стеганография как средство обороны выглядит очень необычно, хотя такие примеры существуют: например, извлечение информации активистами в стране с тоталитарным режимом.

Основная роль стеганографии в ближайшие несколько лет будет лежать в ее применении в качестве инструмента для сокрытия вредоносных программ и для отправки им требуемых команд управления. Это уже делается, хотя с помощью достаточно примитивных техник. Использование современных техник стеганографии для сокрытия вредоносного кода будет значительно затруднять обнаружение, заставляя средства безопасности использовать передовые методы стеганоанализа.

P.S.: Какой совет Вы бы дали специалистам по информационной безопасности, которые задумываются над использованием стеганоанализа?

D.L.: Вероятнее всего, они заинтересованы в обнаружении вредоносных программ или в эксфильтрации данных. Первое, - это нужно следить за всем, чтобы знать, какие средства существуют, и когда и как их использовать. Затем, это все сводится к практике. Тестируйте и проверяйте технологии, которые мы внедряем, используя огромные объемы данных.

Если вы используете машинное обучение для выполнения стеганоанализа, вы должны быть осторожны с тем, какие данные вы используете для обучения системы. Модель должна быть в состоянии предугадывать данные, которые она никогда не видела. Это может привести к ошибке, если для проверки модели использовались данные, которые были использованы для ее обучения. В машинном обучении часто говорят, что модель настолько хороша, насколько хороши данные для ее обучения. Поэтому если обучающие данные не будут полными, то вероятнее всего, что наша модель не будет надежной. Чем больше данных мы используем для обучения модели, тем меньше вероятность того, что она будет неполноценной. В противном случае, мы рискуем в конечном итоге разработать инструменты, которые хорошо будут работать только в нашей лаборатории с нашими тестовыми данными.

P.S.: Какую роль будет играть искусственный интеллект и машинное обучение в стратегиях информационной безопасности предприятий?

D.L.: Примером может служить автоматическое обнаружение дыр безопасности в ПО. Также замена антивирусной программы, которая обнаруживает сигнатуры известных вирусов, на систему с искусственным интеллектом, которая идентифицирует вирусы на основе общих характеристик и поведения.

P.S.: В среде, где все больше и больше подключенных устройств, какие должны быть приняты меры безопасности для защиты конфиденциальности данных на уровне предприятия?

D.L.: Меры безопасности на IoT-устройствах должны быть такими же, как и те, что применяются по отношению к другим устройствам, подключенным к той же сети. Может показаться странным, что необходимо управлять безопасностью офисного кондиционера на таком же уровне, как и ПК, но с точки зрения злоумышленника, он является хорошей точкой доступа к сети, как и любая другая.