Способ обнаружения скрываемой в файлах-контейнерах банковской информации
Проблема защиты информации становится острее с каждым годом. Если на заре Интернета и глобальных сетей вопросам безопасности уделяли внимание в основном военные организации и крупные корпорации, то сейчас даже небольшая компания, насчитывающая десяток компьютеров и одну постоянную точку доступа к Интернету, должна озаботиться этим вопросом. Сложность необходимой аппаратуры постепенно увеличивается, если раньше обходились одним брандмауэром и антивирусами, то сейчас все большее распространение получают системы обнаружения проникновений (intrusion detection). Постепенно вводятся в строй средства, позволяющие отслеживать как внешние, так и внутренние воздействия или передачу наружу какой-то корпоративной информации. Существует достаточно много систем, позволяющих отследить какие-то подозрительные данные, передаваемые по сети, например отправку писем на сайты вакансий или пересылку каких-то ценных данных конкуренту. Естественно, что с появлением все новых систем безопасности появляются все новые способы их обойти. Например—стеганография.
Стеганография, в отличие от криптографии, скрывает сам факт передачи информации. Возникла она очень давно и всем отчасти знакома хотя бы по письмам, написанным молоком. В настоящее время появились новые стеганографические методы, использующие цифровую информацию для скрытия данных. Для служб информационной безопасности банка важно отслеживать всякие попытки несанкционированной передачи и приема информации. Особенно важно следить за файлами изображений, не используются ли они в качестве файлов контейнеров. Существует довольно много стеганографических методов, позволяющих скрыть одну информацию внутри другой (см. Мельников Ю. Н., Баршак А. Д., Егоров П. Е. Сокрытие банковской информации нестандартными способами (Банковские технологии. 2001. № 9. С. 25—27)).
Остановимся на наиболее распространенных, тех, что используют избыточность цифровых изображений, и попробуем определить, действительно ли нельзя определить факт наличия скрытой информации. Такой выбор обусловлен как простотой, так и определенной надежностью данных методов. Для сравнения: скрытая информация в текстовых файлах легко обнаруживается (достаточно просмотреть файл в шестнадцатиричном формате), так же легко обнаружить скрытую информацию в неиспользуемых или зарезервированных областях файлов, нужно лишь сравнить ее с той, какой она должна быть по умолчанию или стандарту.
Мы будем рассматривать bmp-файлы с глубиной цвета 24 бита. В данном формате под каждую точку изображения отводится три байта (см. рис. 1), в каждом из которых хранится информация о красной, зеленой и синий составляющей (итого 3 ґ 8 = = 24 бита).
В LSB (Least Significant Bits) методе стеганографии для записи используются наименее значащие биты из 24, например 3 самых младших (по одному из красной, зеленой и синей составляющей) или 8 (по три из синей и красной составляющей и два из зеленой) или какое-либо другое число (соответственно, чем больше битов используется для записи информации, тем сильнее искажается рисунок). Естественно предположить, что при специальном анализе внесенные изменения можно будет обнаружить и таким образом определить наличие внедренной в файл рисунка информации. Тут необходимо пояснить следующий момент: внедряемая информация является секретной. Она как правило, предварительно шифруется и поэтому обладает определенными статистическими характеристиками (например, частота появления 1 и 0 в двоичной записи почти одинакова).
Для определения характеристик изображения авторами была написана программа, помогающая определять различные статистические характеристики. Анализ может проводиться по различному числу битов в изображении, например, по трем самым младшим (R:1, G:1, B:1) или любой другой их комбинации. Первая вычисляемая величина—отношение числа единиц в исследуемых битах изображения к максимально возможному, обозначим ее M. Для каждого пикселя считаются все биты, содержащие единицы, и делятся на общее число битов (имеются в виду только выбранные биты, например 3 младших). Для изображения, содержащего информацию, M должно быть близко к 0,5. Далее изображение разбивается на блоки размера m x n и для каждого из них также считается значение M (Bits — число битов, которое мы смотрим в каждом пикселе, например, если брать три самых младших, то Bits = 3):
где 
— число «1» в битах одного пикселя.
График, показывающий значения M для блоков (см. рис. 2),
— синего цвета.
Другая используемая величина (обозначим ее Q) — отношение числа переходов между битами соседних пикселей к максимально возможному (например, если в двух соседних пикселях мы имеем красные составляющие 01011001 и 01011001 (равны) то число переходов = 0, а если 00011000 и 00011111, то число переходов = 3, выполняется операция XOR между двумя пикселями и считается число единиц в результате). В итоге имеем следующую формулу (для одного блока m x n):
где
и 
— число переходов для двух рядом расположенных пикселей по горизонтали и по
вертикали, соответственно. График распределения данной величины (см.
рис. 2) показывается красным цветом.
Приведем пример (анализируются три младших бита: один младший красный, один младший зеленый и один младший синий). В файл-контейнер была помещена скрываемая информация, с почти одинаковой вероятностью появления 0 и 1.
На рис. 2 вверху график M и Q для блоков до, а внизу—после записи информации (размер блоков 10 ґ 10, по вертикальной оси расположены M и Q, по горизонтальной—номера блоков). Данные графики показывают, насколько могут различаться характеристики различных блоков изображения (как видно из графиков, при сокрытии информации отличия минимальны). Значение M для всего рисунка до записи информации 0,848833, после—0,501533. Столь резкие изменения характерны в случае использования в качестве контейнера изображений с большими однотонными областями (например, чертежи). Для записи информации в файл формата bmp использовалась программа Absorber (http://home.skif.net/~ssh/my/index.html?id= absorber, также можно найти на download.ru и подобных), которая не только производит встраивание информации, но также выполняет и предварительное шифрование.
Для файлов, исходно обладающих характеристиками, аналогичными той, которую вы видите на рис. 3. (почти одинаковое число 0 и 1), по данному методу затруднительно получить однозначный ответ о наличии скрытого сообщения. Поэтому для них планируется использовать более сложные алгоритмы анализа.
В случае же встраивания в текст обычного, нешифрованного сообщения мы получим примерно одинаковое значение M для всех блоков картинки, которое будет зависеть от характеристик исходного текста и используемой кодовой таблицы.
Следующий результат (рис. 4) получается при записи в изображение русского текста в кодировке ОС DOS. Анализировались три последних бита, запись производилась при помощи программы, разработанной на кафедре ВМСС МЭИ. Данная программа использует один байт из каждых трех, отводимых под точку 3:2:3 (из красной и синей составляющих используются по три бита, а из зеленой составляющей используется только два бита, так как глаз более чувствителен к зеленому цвету). Вверху на рис. 4 статистика исходного файла изображения, внизу—после добавления скрываемой информации.
Описанные методы хороши тем, что они легко могут быть автоматизированы, но возможно также и определение скрытой информации вручную.
Например, на рис. 5 вверху изображение до внесения скрытой информации, а внизу—после. При этом использовался следующий метод: убирались все биты, кроме самых младших; если самый младший бит в байте цвета (красного, синего или зеленого) равен 1, то весь байт принимает значение 255, а если 0, то весь байт становится равным 0.
Таким образом, если в файле-контейнере спрятана информация, то рисунок изменяется очень сильно (до неузнаваемости). В противном случае—видимые глазом изменения не очень существенны.
В данной статье показана принципиальная возможность обнаружения факта наличия скрытой информации, внедренной с помощью стеганографических методов в файлы цифровых изображений формата bmp. Использование программ, работающих по описанному в данной статье методу, позволит службам безопасности банка контролировать передаваемые файлы изображений на наличие в них скрытой информации, которая могла бы нанести ущерб интересам банка.
