Вадим Гребенников - Стеганография. История тайнописи

1. Методы модификации пакетов:

‒ методы, изменяющие данные в полях заголовков сетевых протоколов;

‒ методы, изменяющие данные в полях полезной нагрузки пакетов — это всевозможные алгоритмы водяных знаков, речевых кодеков и прочих стеганографических техник по сокрытию данных;

‒ методы, объединяющие два предыдущих класса.

2. Методы стеганографии, изменяющие структуру и параметры передачи пакетов:

‒ методы, в которых изменяется порядок следования пакетов;

‒ методы, изменяющие задержку между пакетами;

‒ методы, вводящие преднамеренные потери пакетов путём пропуска порядковых номеров у отправителя;

3. Смешанные (гибридные) методы стеганографии, изменяющие и содержимое пакетов, и сроки доставки пакетов, и порядок их передачи. При этом используются два подхода: преднамеренные задержки аудио пакетов «LACK» (англ. Lost Audio Packets) и ретрансляция пакетов «RSTEG» (англ. Retransmission Steganography).

Метод модификации сетевых пакетов «TranSteg» (англ. Transcoding Steganography), изменяющий полезную нагрузку «VoIP»-пакета, пользуется успехом за счёт популярности программ, обеспечивающих голосовую и видеосвязь через Интернет.

Как следует из названия, метод заключается в сжатии полезной нагрузки сетевого пакета за счёт перекодирования, и может применяться везде, где существует возможность сжатия открытых данных. Само сжатие требуется для ограничения размера передаваемых данных, поскольку скрытый канал связи имеет ограниченную пропускную способность.

«TranSteg» также проводит пересжатие исходных данных с потерями, чтобы освободить место под стеганограмму. Голосовые данные высокого битрейта (занимающие больше места в полезной нагрузке пакета) перекодируются в низкий битрейт, по возможности, с минимальными потерями качества, а на освободившееся место вносятся данные стеганограммы.

Метод позволяет получить неплохую стеганографическую пропускную способность в 32 кб/с при наименьшей разнице в битрейте голосового потока. Учёные Варшавского технологического университета и института телекоммуникаций провели ряд экспериментов, которые показали, что задержка в передаче «VoIP» пакета с использованием «TranSteg» возрастает на 1 миллисекунду в отличие от пакета без стеганограммы.

Сложность обнаружения напрямую зависит, например, от места расположения наблюдателя, в котором он может просматривать «VoIP»-трафик. К недостаткам данного метода стоит отнести сложность его реализации: нужно выяснить, какие кодеки используются для формирования голосового потока, и подобрать кодеки с наименьшей разницей потери качества речи, которое неизбежно будет снижаться.

В качестве примера второго класса методов рассмотрим использование механизмов «SCTP» (англ. Stream control transport protocol — транспортный протокол с контролем пакетов). Этот протокол реализуется в таких операционных системах как «BSD», «Linux», «HP-UX» и «SunSolaris», а также поддерживает сетевые устройства операционной системы «CiscoIOS» и может быть использован в «Windows». «SCTP»-стеганография использует характерные особенности данного протокола, такие как мультипоточность и использование множественных интерфейсов (англ. multi-homing).

Методы изменения содержимого «SCTP»-пакетов основаны на том, что каждая часть «STCP»-пакета может иметь переменные параметры. Обнаружение данного метода строится на основе статистический анализ адресов сетевых карт, используемых для пересылки пакетов, с целью выявления скрытых связей. Бороться же с организацией скрытого канала передачи, основанном на этом принципе, можно изменяя адреса отправителя и получателя в случайно выбранном пакете, который содержится в повторно высылаемом блоке.

Метод «RSTEG» основан на механизме повторной посылки пакетов. Отправитель посылает пакет, но получатель не отвечает пакетом с флагом подтверждения. Срабатывает механизм повторной посылки пакетов, и теперь посылается пакет со стеганограммой внутри, на который также не приходит подтверждения. При следующем срабатывании данного механизма посылается оригинальный пакет без скрытых вложений, на который приходит пакет с подтверждением об удачном получении.

Ни один из реальных методов стеганографии не является совершенным. Независимо от метода, скрытая информация может быть обнаружена: чем больше скрытой информации внесено в поток данных, тем больше шансов, что она будет обнаружена методами стегоанализа. Более того, чем больше пакетов используется для посылки скрытых данных, тем сильнее возрастает частота ретранслированных пакетов, что существенно облегчает обнаружение скрытого канала связи.

К тому же, потери пакетов в сети тщательно контролируются, а «RSTEG» использует легальный трафик, таким образом увеличивая общие потери. Чтобы убедиться, что общая потеря пакетов в сети нормальна и доля «RSTEG» не слишком высока по сравнению с другими соединениями в той же сети, уровень ретрансляции в целях стеганографии должен контролироваться и динамично адаптироваться.

Метод стеганографии с использованием ретрансляции пакетов «RSTEG» является гибридным. Поэтому его стеганографическая пропускная способность примерно равна пропускной способности методов с модификацией пакета, и при этом выше, чем у методов изменения порядка передачи пакетов. Сложность обнаружения и пропускная способность напрямую связана с используемым механизмом реализации метода.

Метод «RSTEG» на основе «RTO» (англ. Recovery Time Objective — директивное время восстановления) характеризуется высокой сложностью обнаружения и низкой пропускной способностью, а тот же метод на основе «SACK» (англ. Selective acknowledgment — выборочное подтверждение) обладает максимальной для «RSTEG» пропускной способностью, но более легко обнаруживается.

Метод «RSTEG» хорошо подходит для «TCP/IP» и при разумном уровне преднамеренных ретрансляций не должен вызвать подозрений у наблюдателя. Но данный метод весьма сложно реализовать, особенно те его алгоритмы, которые основаны на перехвате и исправлении пакетов обычных пользователей. Из-за резко возросшей частоты ретранслируемых пакетов или возникновения необычных задержек при передаче, стеганограммы могут вызвать подозрения у стороннего наблюдателя.

Метод «LACK» работает с протоколом «VoIP». Связь через «IP»-телефонию состоит из двух частей: сигнальной (служебной) и разговорной. В обеих частях происходит передача информации в обе стороны. Для передачи используется сигнальный протокол «SIP» (англ. Session Initiation Protocol — протокол установления сеанса) и «RTP» (англ. Real-time Transport Protocol — протокол трафика реального времени, собственно — разговора).

Это значит, что в течение сигнальной фазы вызова конечные точки «SIP» (так называемые «пользовательские SIP-агенты») обмениваются некоторыми «SIP»-сообщениями. Обычно «SIP»-сообщения проходят через «SIP»-серверы, что позволяет пользователям искать и находить друг друга. После установления соединения начинается фаза разговора, где аудио-поток «RTP» идёт в обоих направлениях между вызывающим и вызываемым.