Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Steganographie/Steganalyse Informationsextraktion aus beschlagnahmten Rechnern Seminar: Netzwerk, Betriebssystem- und Mediensicherheit 10.12.2002 Sebastian.

Ähnliche Präsentationen


Präsentation zum Thema: "Steganographie/Steganalyse Informationsextraktion aus beschlagnahmten Rechnern Seminar: Netzwerk, Betriebssystem- und Mediensicherheit 10.12.2002 Sebastian."—  Präsentation transkript:

1 Steganographie/Steganalyse Informationsextraktion aus beschlagnahmten Rechnern Seminar: Netzwerk, Betriebssystem- und Mediensicherheit 10.12.2002 Sebastian Stober Sebastian.Stober@web.de Otto-von-Guericke-Universität Magdeburg

2 Sebastian Stober - Steganalyse 10.12.2002 2 Übersicht Stego vs. Krypto Stego vs. Krypto Steganographie Steganographie Zerstörung versteckter Informationen Zerstörung versteckter Informationen Steganalyse Steganalyse –8-Bit- / Graustufen- / Monochrom-Bilder –JPEGs eine Beispiel-Attacke eine Beispiel-Attacke Zusammenfassung / Quellen Zusammenfassung / Quellen

3 Sebastian Stober - Steganalyse 10.12.2002 3 Krypto vs. Stego Kryptographie Kryptographie –Verschlüsseln von Informationen, so daß diese für einen Unbefugten nicht lesbar sind Steganographie Steganographie –gr. verdeckte Kommunikation –Verstecken und Übermitteln von Informationen in einem unverdächtigen Träger –Ziel: Existenz einer Kommunikation verbergen meist Kombination von beiden meist Kombination von beiden

4 Sebastian Stober - Steganalyse 10.12.2002 4 Krypto vs. Stego (2) Kyptoanalyse Kyptoanalyse –versucht codierte Informationen zu decodieren Steganalyse Steganalyse –versucht, versteckte Informationen zu »entdecken »extrahieren »zerstören (d.h. unbrauchbar zumachen)

5 Sebastian Stober - Steganalyse 10.12.2002 5 Steganographie vs. Watermarking Steganographie Steganographie –große Blöcke von Informationen Watermarking Watermarking –wenig Information –meist redundant über den ganzen Träger verteilt robuster robuster

6 Sebastian Stober - Steganalyse 10.12.2002 6 Ansatz der Steganographie C = p + t C – Träger (Cover) C – Träger (Cover) p – wahrnehmbarer (perceptible) Anteil p – wahrnehmbarer (perceptible) Anteil –sollte nach Möglichkeit nicht verändert werden t – transparenter Anteil t – transparenter Anteil –kann versteckte Informationen aufnehmen Cover Medium (Träger) Stegokey (Paßwort) zu versteckende Nachricht Stego-Objekt (Träger mit der versteckten Nachricht) Stego-Tool

7 Sebastian Stober - Steganalyse 10.12.2002 7 Beispiele für Steganographie unsichtbare Tinten unsichtbare Tinten null ciphers (open codes) null ciphers (open codes) microdots microdots –neue Entwicklung: genomic steganography Digital, z.B. Digital, z.B. –Bilder –Audio/Videodateien –ungenutzter Speicherplatz (HD / FD / Header)

8 Sebastian Stober - Steganalyse 10.12.2002 8 Techniken zur Zerstörung versteckter Informationen Stego-Objekte nicht abfangen sondern nur die versteckte Information unbrauchbar (unlesbar) machen Stego-Objekte nicht abfangen sondern nur die versteckte Information unbrauchbar (unlesbar) machen aktive Attacke im Gegensatz zum passiven Erkennen aktive Attacke im Gegensatz zum passiven Erkennen Möglichkeiten der Störung Möglichkeiten der Störung –verlustbehaftete Komprimierung wie z.B. JPEG –blur, noise, noise reduction, sharpen, rotate, resample, soften Überschreiben der versteckten Information: Überschreiben der versteckten Information: C = p + t C* = p + t* kein wahrnehmbarer Unterschied zwischen C und C* kein wahrnehmbarer Unterschied zwischen C und C*

9 Sebastian Stober - Steganalyse 10.12.2002 9 Trade-Off zwischen Kapazität, Unerkennbarkeit und Robustheit UnerkennbarkeitRobustheit Kapazität Sichere steganographische Techniken Digitale Wasserzeichen Naive Steganographie

10 Sebastian Stober - Steganalyse 10.12.2002 10 Steganalyse-Attacken stego-only attack stego-only attack –nur das Stego-Objekt ist für die Analyse bekannt known cover attack known cover attack –das ursprüngliche Cover-Objekt und das Stego-Objekt sind bekannt known message attack known message attack –die versteckte Nachricht (bzw. ein Teil davon) ist bekannt –untersuche das Stego-Objekt nach korrespondierenden Mustern (sehr schwierig und nahezu äquivalent zur stego-only attack)

11 Sebastian Stober - Steganalyse 10.12.2002 11 Steganalyse-Attacken (2) chosen stego attack chosen stego attack –das Steganographie-Tool (bzw. der Algorithmus) und das Stego- Objekt sind bekannt chosen message attack chosen message attack –es wird mit Hilfe eines Algorithmus oder eines Steganographie- Tools ein Stego-Objekt aus einer gewählten Nachricht erzeugt –versuche, übereinstimmende Muster mit dem originalen Stego- Objekt zu finden (und damit einen Hinweis auf den verwendeten Algorithmus bzw. das Steganographie-Tool) known stego attack known stego attack –der Algorithmus bzw. das Steganographie-Tool ist verfügbar und beide Objekte sind bekannt

12 Sebastian Stober - Steganalyse 10.12.2002 12 Techniken zum Entdecken von versteckter Information Durch versteckte Information: Verzerrung der ursprünglichen Eigenschaften des Bildes Durch versteckte Information: Verzerrung der ursprünglichen Eigenschaften des Bildes –Verfälschung (corruption), Rauschen (noise), starke Farbunterschiede bei benachbarten Pixeln –Pixelumgebungen untersuchen »feststellen, ob Pixel einem Muster folgt oder einem Rauschen ähnelt –Untersuchen der Farbpalette (falls vorhanden) und der Helligkeiten (Luminance) viele Tools erzeugen Stego-Bilder mit charakteristischen Eigenschaften viele Tools erzeugen Stego-Bilder mit charakteristischen Eigenschaften Signaturen Signaturen

13 Sebastian Stober - Steganalyse 10.12.2002 13 Idee: offensichtliche, sich wiederholende Muster erkennen durch Vergleich von Cover und Stego-Bild: durch Vergleich von Cover und Stego-Bild: –known-cover-attack –chosen-message-attack bei Anwendung auf eine große Menge von Bildern bei Anwendung auf eine große Menge von Bildern –Signaturen für a)die Existenz einer versteckten Nachricht b)Hinweis auf verwendetes Tool Aufbauen einer Knowledge-Base Aufbauen einer Knowledge-Base

14 Sebastian Stober - Steganalyse 10.12.2002 14 8-Bit RGB und Graustufen/Monochrom-Bilder Möglichkeiten der Kodierung Möglichkeiten der Kodierung –in der Farbpalette »Anordnung der Werte oder im LSB wenig Platz und leicht zu zerstören wenig Platz und leicht zu zerstören –in den Bildpunkten (Referenzen auf Farbpalette) »Farben nach Häufigkeit geordnet - kleine Veränderungen der Farb-ID können zu großen Veränderungen in der Farbe führen Palette muß sortiert werden oder Palette muß sortiert werden oder Verringerung der Farbanzahl (auf z.B. 32) und Erweiterung um bis zu 8 benachbarter Farben Verringerung der Farbanzahl (auf z.B. 32) und Erweiterung um bis zu 8 benachbarter Farben »kaum visuelle Veränderung, aber verräterische Palette

15 Sebastian Stober - Steganalyse 10.12.2002 15 Ein verdächtiges Bild Auswirkungen auf das Bildrauschen bei der Anwendung von Hide and Seek Auswirkungen auf das Bildrauschen bei der Anwendung von Hide and Seek (cover)(stego-objekt)

16 Sebastian Stober - Steganalyse 10.12.2002 16 Palette-Signatur: S-Tools Erkennung: Erkennung: –Sortierung der Palette nach Luminance (Helligkeit) (cover)(stego-objekt)

17 Sebastian Stober - Steganalyse 10.12.2002 17 Palette-Signatur: Hide and Seek Version 4.1 und 5.0 (GIF-Format) –alle RGB-Farbwerte sind durch 4 teilbar –bei Graustufenbildern hat Weiß den Wert (252,252,252) –Einschränkung der Bildgröße 4.1 : 320x480 –kleiner: Auffüllen mit schwarzen Rändern –größer: Cropping 5.0 : 320x200, 320x400, 320x480, 640x400, 1024x768 –kleiner/größer: Auffüllen bis zur nächstgrößten Größe Nachricht wird auch in den schwarzen Bereich eingebettet !!! 1.0 für Win95 (BMP-Format) –keine Größenbeschränkung, max. 256 Farben

18 Sebastian Stober - Steganalyse 10.12.2002 18 Versteckte Informationen im JPEG - Format JPEG nutzt eine diskrete Cosinus Transformation (DCT) um 8x8 Blocks des Bildes in jeweils 64 DCT-Koeffizienten zu transformieren JPEG nutzt eine diskrete Cosinus Transformation (DCT) um 8x8 Blocks des Bildes in jeweils 64 DCT-Koeffizienten zu transformieren versteckte Information wird in die LSB der DCT- Koeffizienten kodiert versteckte Information wird in die LSB der DCT- Koeffizienten kodiert Änderung eines DCT-Koeffizienten beeinflußt alle 64 Pixel des Blocks Änderung eines DCT-Koeffizienten beeinflußt alle 64 Pixel des Blocks die Veränderung findet hier im Frequenzbereich statt die Veränderung findet hier im Frequenzbereich statt keine visuellen Attacken keine visuellen Attacken

19 Sebastian Stober - Steganalyse 10.12.2002 19 Ansatz: Statistische Analyse Idee: Bilder mit versteckten Daten haben eine höhere Entropie Idee: Bilder mit versteckten Daten haben eine höhere Entropie –1- und 0-Bit sind gleich wahrscheinlich –beim Einbetten von versteckter Information: 10 11 kommt öfter vor als 11 10 10 11 kommt öfter vor als 11 10 Differenz der DCT-Koeffizienten-Häufigkeiten von "10" und "11" wurde reduziert Differenz der DCT-Koeffizienten-Häufigkeiten von "10" und "11" wurde reduziert Chi-Quadrat-Test Chi-Quadrat-Test Signaturen Signaturen nähere Infos in [5] nähere Infos in [5]

20 Sebastian Stober - Steganalyse 10.12.2002 20 Veränderung der Verteilung der DCT-Koeffizienten aus [3], Niels Provos & Peter Honeyman

21 Sebastian Stober - Steganalyse 10.12.2002 21 Beispiel: Outguess entwickelt von Neils Provos (Entwickler von Stegdetect) entwickelt von Neils Provos (Entwickler von Stegdetect) Kontra zur statistischen Chi-Quadrat-Attacke Kontra zur statistischen Chi-Quadrat-Attacke 1. Pass: 1. Pass: –gehe per Pseudo-Zufallszahlen (initialisiert durch Paßwort) durch die DCT-Koeffizienten und verändere die LSBs 2. Pass: 2. Pass: –Korrekturen an den Koeffizienten Anpassung des Stego-Bild-Histogramms an das des Original-Covers Anpassung des Stego-Bild-Histogramms an das des Original-Covers

22 Sebastian Stober - Steganalyse 10.12.2002 22 Angriffe gegen Outguess: ältere Version (0.13b): ältere Version (0.13b): –verallgemeinerte Chi-Quadrat-Attacke erkennt nicht Outguess 0.2 (neuste Version 2.Okt.2001) erkennt nicht Outguess 0.2 (neuste Version 2.Okt.2001) neue Idee: neue Idee: –kodiere eine neue versteckte Nachricht in das Stego- Objekt andere Auswirkungen, als auf das Original-Cover andere Auswirkungen, als auf das Original-Cover –Original-Cover wird angenähert durch Cropping von 4 Pixeln und Rekomprimieren des Stego-Bildes nähere Informationen in [4] nähere Informationen in [4]

23 Sebastian Stober - Steganalyse 10.12.2002 23 Eine Beispiel-Attacke Daten aus [3] Neils Provos, Peter Honeyman: "Detecting Steganographic Content on the Internet", Februar 2002 Suche in eBay und USENET nach JPEGs, die versteckte Informationen enthalten Suche in eBay und USENET nach JPEGs, die versteckte Informationen enthalten Angriff auf die Tools: Angriff auf die Tools: –JSteg (Shell) –JPHide –Outguess 0.13b verwendetes Tool: Stegdetect (Neils Provos) verwendetes Tool: Stegdetect (Neils Provos) verwendet die Chi-Quadrat-Attacke verwendet die Chi-Quadrat-Attacke

24 Sebastian Stober - Steganalyse 10.12.2002 24 Eine Beispiel-Attacke (2) nutzen eigenen Webcrawler "Crawl" nutzen eigenen Webcrawler "Crawl" –mehr als 2 Mio. Bilder aus eBay Auktionen –1 Mio. Bilder aus einem USENET Archiv Test (False) Positives eBayUSENET JSteg0.003%0.007% JPHide1%2.1% Outguess 0.13b 0.1%0.14% wahrscheinlich größtenteils False Positives wahrscheinlich größtenteils False Positives

25 Sebastian Stober - Steganalyse 10.12.2002 25 Eine Beispiel-Attacke (3) um versteckten Inhalt nachzuweisen muß eine dictionary attack durchgeführt werden um versteckten Inhalt nachzuweisen muß eine dictionary attack durchgeführt werden Schlüssel raten Schlüssel raten –verwendetes Tool: Stegbreak »angesetzt auf die als JPHide erkannten Bilder »für eBay: 850.000 Wörter (verschiedene Sprachen) »für USENET: 1.800.000 Wörter (zusätzlich 4er PINs, kurze Phrasen) –die Stego-Tools verwenden einen Header nutzbar zur Überprüfung des Paßwortes nutzbar zur Überprüfung des Paßwortes –verwendete Rechenkraft: »eBay: Cluster mit 60 Knoten 200.000 Wörter/s »USENET: Cluster mit 130 Knoten max. 870.000 Keys/s

26 Sebastian Stober - Steganalyse 10.12.2002 26 Eine Beispiel-Attacke (4) Resultat: Resultat: Nicht eine versteckte Nachricht wurde gefunden! Mögliche Gründe: Mögliche Gründe: –Steganographie wird im Internet kaum verwendet –Es wurden Bilder aus Quellen untersucht, die nicht zur Übermittlung steganographischen Inhaltes genutzt werden –Niemand verwendet die getesteten Tools –Alle Nutzer der Tools verwenden vorsichtig ausgewählte Paßwörter, die nicht durch eine dictionary attack angreifbar sind

27 Sebastian Stober - Steganalyse 10.12.2002 27 Zusammenfassung Das bloße Erkennen, daß eine versteckte Nachricht vorliegt, macht das Ziel der Steganographie zunichte. Das bloße Erkennen, daß eine versteckte Nachricht vorliegt, macht das Ziel der Steganographie zunichte. Auf Kosten der Robustheit und der Kapazität läßt sich die Unsichtbarkeit erhöhen. Auf Kosten der Robustheit und der Kapazität läßt sich die Unsichtbarkeit erhöhen. Vorausgesetzt ein Tool ist verfügbar, lassen sich oft Signaturen dafür finden. Vorausgesetzt ein Tool ist verfügbar, lassen sich oft Signaturen dafür finden. Die Entdeckung von Schwächen führt zur Weiterentwicklung der Verfahren. Die Entdeckung von Schwächen führt zur Weiterentwicklung der Verfahren. Neue Verfahren wie das von Outguess sind zwar angreifbar, jedoch wird der Aufwand für die Detektoren zunehmend größer, so daß breite Attacken an der benötigten Rechenkraft scheitern können. Neue Verfahren wie das von Outguess sind zwar angreifbar, jedoch wird der Aufwand für die Detektoren zunehmend größer, so daß breite Attacken an der benötigten Rechenkraft scheitern können. Wird die Existenz einer verstecken Nachricht vermutet, muß diese jedoch noch extrahiert und oft noch dekodiert werden. Wird die Existenz einer verstecken Nachricht vermutet, muß diese jedoch noch extrahiert und oft noch dekodiert werden.

28 Sebastian Stober - Steganalyse 10.12.2002 28 Quellen [1] Information Hiding: Steganography and Watermarking - Attacks and Countermeasures, Neil F. Johnson, Zoran Duric, Sushil Jajodia, Kluwer Academic Publishers, 2000. ISBN: 0-79237-204-2,, Hardcover, approx. 200 pages Homepage of Neil F. Johnson: http://www.jjtc.com http://www.jjtc.com [2] Steganalysis of Images Created Using Current Steganography Software, Neil F. Johnson and Sushil Jajodia http://www.jjtc.com/ihws98/jjgmu.html [3] Detecting Steganographic Content on the Internet, Niels Provos and Peter Honeyman, ISOC NDSS'02, San Diego, CA, February 2002. http://www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf Homepage of Niels Provos: http://www.citi.umich.edu/u/provos/ http://www.citi.umich.edu/u/provos/ Homepage of Outguess amd Stegdetect: http://www.outguess.org http://www.outguess.org

29 Sebastian Stober - Steganalyse 10.12.2002 29 Quellen (2) [4] Attacking the OutGuess, J. Fridrich, M. Goljan and D. Hogea, Proc.of the ACM Workshop on Multimedia and Security 2002, Juan- les-Pins, France, December 6, 2002 http://www.ssie.binghamton.edu/fridrich/publications.html [5] Practical Steganalysis - State of the Art, J. Fridrich, M. Goljan, Proc. SPIE Photonics West, Vol. 4675, Electronic Imaging 2002, Security and Watermarking of Multimedia Contents, San Jose, California, January, 2002, pp. 1-13. http://www.ssie.binghamton.edu/fridrich/publications.html [6] Applications of Data Hiding in Digital Images, Tutorial (PowerPoint slides) for The ISSPA'99 Conference in Brisbane, Australia, August 22-25, 1999. http://www.ssie.binghamton.edu/fridrich/publications.html

30 Sebastian Stober - Steganalyse 10.12.2002 30 Quellen (3) [7] The Information Hiding Homepage: Digital Watermarking & Steganography http://www.cl.cam.ac.uk/~fapp2/steganography/ [8] Software Sammlung diverse Steganographie- und Steganalyse-Tools http://www.StegoArchive.com [9] Übersicht zum JPEG-Algorithmus www.nt.fh-koeln.de/fachgebiete/mathe/mmpdf/JPEG_8.pdf

31 Vielen Dank für Ihre Aufmerksamkeit.


Herunterladen ppt "Steganographie/Steganalyse Informationsextraktion aus beschlagnahmten Rechnern Seminar: Netzwerk, Betriebssystem- und Mediensicherheit 10.12.2002 Sebastian."

Ähnliche Präsentationen


Google-Anzeigen