O caminho para decifrar informações ocultas

Por Luiz Sales Rabelo*


Conforme prometido, estou de volta para falar sobre esteganálise! A esteganálise está para a esteganografia assim como a criptoanálise está para a criptografia, mas, ao contrário da criptoanálise, a detecção destes dados não é tão obvia. O objetivo da esteganálise é detectar informações ocultas em arquivos de imagens e, quando possível, recuperar a informação escondida.

Observe os arquivos abaixo:

Visualmente são idênticos, mas o segundo arquivo contém uma mensagem escondida. Note que, visualmente, é impossível perceber alguma alteração na imagem resultante, com a mensagem oculta. Para detectar estas alterações (com a informação oculta), utilizamos algumas técnicas e algoritmos, dependendo do tipo de informação disponível. Por exemplo, se conhecemos a ferramenta utilizada para a esteganografia ou se temos o arquivo original e o arquivo possivelmente alterado (por exemplo, duas imagens idênticas, com tamanhos diferentes).

"Como não há um padrão de esteganografia, e sim vários algoritmos possíveis disponíveis para implementação desta técnica, ferramentas de detecção tem um árduo trabalho a ser executado."

Algumas técnicas são:

• Stego-Only Atack (apenas esteganografia): Somente a imagem final (com informação oculta) está disponível para o esteganoanalista.

• Known cover (mensagem de cobertura conhecida): A mensagem de cobertura (cover-message) é comparada com o estego-objeto(stego-object) para detectar as diferenças entre os arquivos.

• Known message Atack (mensagem conhecida): É a análise de padrões conhecidos que correspondem à informação escondida que pode ajudar contra-ataques no futuro.

• Stego-attack (ataque de esteganografia): É utilizada uma mesma mensagem de cobertura várias vezes.

• Known-cover-message (dado embutido e mensagem de cobertura conhecidos): São conhecidas a informação inserida e a mensagem de cobertura usada(cover-message).

Como não há um padrão de esteganografia, e sim vários algoritmos possíveis disponíveis para implementação desta técnica, ferramentas de detecção tem um árduo trabalho a ser executado. Algumas ferramentas são focadas não a detectar imagens com esteganografia embutida, mas sim detectar ferramentas que são utilizadas para geração destas imagens com conteúdo oculto. Como o foco do primeiro artigo foi o LSB (least significant bit), vamos seguir na mesma linha neste artigo.

Basicamente, a técnica para detectar o uso de esteganografia via LSB consiste em dividir a imagem em pequenos segmentos adjacentes, aplicar uma função matemática que vai descrever cada um destes segmentos como um número real, e então, a partir destes números inteiros, uma outra função matemática irá calcular o quão “semelhantes” estes números são e então apontará ou não o uso de esteganografia na imagem analisada.

Esta técnica pode parecer um pouco complexa, e de fato é. Mas é uma técnica com alto nível de acerto e o algoritmo foi até patenteado nos EUA. Maiores informações sobre esta patenteada técnica de detecção de esteganografia estão disponíveis neste site.

Existem outras técnicas menos complexas, como por exemplo gerar uma paleta de cores a partir da imagem suspeita e então analisar esta paleta de cores. Maiores informações sobre esteganálise estão disponíveis em um excelente artigo escrito por Neil F. Johnson e Sushil Jajodia.

E para quem estiver interessado em alguma ferramenta para detecção de esteganografia, recomendo muito o StegoSuite, desenvolvido pela WetStone. Este produto traz um conjunto de ferramentas capaz de garantir que nenhuma informação passará escondida durante a investigação e análise de uma massa de dados.

*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).