Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Esteganografia - Parte 4

Esteganálise

As técnicas de esteganografia estão longe de serem perfeitas. Nenhuma delas garante que as informações escondidas não serão detectadas e interceptadas por terceiros. Assim, abre-se um novo campo, chamado de esteganálise, o qual se baseia no estudo de métodos que visam detectar a esteganografia.

Normalmente, a esteganálise está concentrada em somente verificar a existência de informações escondidas, sem estar preocupada em saber o conteúdo da mensagem. Recuperar os dados adiciona um nível maior de complexidade ao processo de esteganálise, pois é necessário conhecer previamente o algoritmo de esteganografia utilizado. Além disso, a mensagem pode estar criptografada, o que aumenta consideravelmente o trabalho.

Muitas vezes, para o esteganalista, saber somente a existência da mensagem é suficiente. Ele não necessariamente necessita saber o seu conteúdo, e sim descobrir se há algo escondido para que a mensagem seja destruída. Ou seja, quem interceptou o meio não lerá o conteúdo, mas o receptor também não [WAYNER 2002]. Pode-se classificar esse tipo de esteganálise como esteganálise passiva [CHANDRAMOULI 2002]. Entretanto, somente detectar a mensagem escondida pode não ser suficiente para alguns esteganalistas, que podem querer também, por exemplo, ler as informações e/ou alterá-las de maneira que o receptor obtenha dados inconsistentes [KESSLER 2004]. Nesse caso, temos uma esteganálise ativa [CHANDRAMOULI 2002].

A esteganálise baseia-se em identificar alguma característica de uma imagem ou um arquivo de áudio que pode ter sido alterada por uma mensagem escondida; ou seja, baseia-se em verificar onde a esteganografia falhou em camuflar suficientemente essa mensagem. Porém, as técnicas de esteganálise possuem algumas limitações. Muitas delas, por exemplo, foram feitas especialmente para determinados algoritmos e softwares de esteganografia que já são previamente conhecidos; ou seja, quando essas mesmas técnicas são aplicadas aos resultados de outro algoritmo ou software, elas têm grande probabilidade de falhar [WAYNER 2002].


O que fazer com o arquivo?

Uma vez que o esteganalista sabe da existência de uma mensagem, independente se ele conhece ou não o seu conteúdo, ele pode ter diferentes objetivos em relação ao arquivo que a contém. Os principais objetivos são listados abaixo [WAYNER 2002].

Destruindo tudo: muitas pessoas argumentam que a esteganografia não é tão útil, uma vez que a informação pode ser totalmente destruída em um ataque; entretanto, outras técnicas, como a criptografia, também estão sujeitas a isso;

Adicionando novas informações: é um ataque simples que consiste em usar o mesmo programa para codificar novas informações, o que pode sobrescrever a mensagem original;

Alterando o formato do arquivo: esse tipo de ataque pode funcionar, pois diferentes formatos de arquivos armazenam informações de diversas maneiras;

Comprimindo o arquivo: é um ataque simples que consiste em comprimir um arquivo, baseando-se no fato de que os algoritmos de compressão tentam remover as informações extras do arquivo, onde geralmente é escondida a informação.

Tipos de ataque

Em relação à forma como esses arquivos serão atacados, os ataques à esteganografia podem ser divididos em três categorias: ataques visuais, ataques estruturais e ataques estatísticos. Os ataques visuais se baseiam em inspecionar o arquivo visualmente, de modo a encontrar falhas nele. Por exemplo, um algoritmo de esteganografia pode fazer com que uma imagem tenha mudanças perceptíveis nas cores, o que corrobora para uma fácil inspeção visual. Além disso, muitas pessoas possuem a capacidade de perceber diferenças em arquivos de áudio que possuem marcas d'água de direitos autorais. O uso desses ataques visuais pode ser suficiente para perceber que há alguma mensagem escondida.

Os ataques estruturais dizem respeito a identificar mudanças na estrutura dos arquivos que sugerem algum tipo de manipulação. Por exemplo, esconder informações em imagens do formato GIF ou PNG usando o método do bit menos significativo pode não ser eficiente, já que as cores parecidas geralmente não estão próximas umas das outras na palheta. Assim, a mudança de um bit pode alterar a cor de azul escuro para rosa claro, o que deixa a mudança perceptível. Uma das maneiras de resolver esse problema é escolher uma palheta menor e, então, duplicar as cores que podem ser usadas para esconder uma mensagem; dessa forma, uma mudança em um bit menos significativo não altera drasticamente a cor daquele pixel. Porém, essas palhetas são mais fáceis de serem detectadas, o que leva ao esteganalista perceber que há alguma informação por trás da imagem.

Outra maneira de também resolver esse problema é simplesmente alterar a ordem das cores, para que as cores similares fiquem próximas umas das outras. Contudo, essa técnica também pode ser detectada se o método de reordenação é conhecido ou fácil de ser identificado.

Além dessas mudanças estruturais, os esteganalistas podem usar testes estatísticos para verificar a existência de informações escondidas. Atualmente, muitos estudos vêm sendo realizados nessa direção, buscando-se métodos estatísticos cada vez mais eficientes para arquivos de áudio [ÖZER et al. 2003] e imagens [FARID 2001]. As chamadas estatísticas de primeira ordem, como o teste do chi-quadrado (χ²), podem ser utilizadas para medir a quantidade de redundância e distorção de um arquivo [KESSLER 2004]. Além disso, no que diz respeito a imagens, pode-se medir o número de pares de cores próximas, as quais diferem no máximo de uma unidade em cada uma das componentes vermelho, verde e azul. Arquivos que são construídos naturalmente possuem uma quantidade muito menor desses pares do que aqueles que foram usados para esconder alguma mensagem, já que aproximar cores similares elimina possíveis mudanças drásticas no arquivo, como já foi explicado anteriormente. Assim, realizar estatísticas baseadas nessa quantidade pode se tornar um excelente indicador. Uma melhoria ao processo pode ser obtida calculando-se a ordem em que esses pares aparecem, já que eles possuem igual freqüência de ocorrência em imagens que possuem uma informação escondida, diferentemente do que acontece em imagens naturais.

É importante ressaltar que as melhores técnicas de esteganálise são aquelas direcionadas especificamente a determinados algoritmos [WAYNER 2002]. Quando se sabe qual software foi utilizado para realizar a esteganografia, o esteganalista consegue ter uma melhor análise do processo. Soluções mais gerais possuem muito menos acurácia que as específicas.