Чет Хосмер: «Встроить секретные данные в трафик VoIP труднее, чем в другие файлы, но вместе с тем труднее их и обнаружить»

«Технологии, относящиеся к VoIP-стеганографии, вот уже несколько лет обсуждаются в академических кругах, однако из сообщества хакеров поступают последние новости о создании простых в использовании средств, позволяющих выполнять подобные операции», — отметил Чет Хосмер, основатель и научный директор компании WetStone Technologies, которая занимается изучением технологий, применяемых киберзлоумышленниками, и обучением специалистов по безопасности раскрытию киберпреступлений.

«Решений для массового рынка пока не существует, но они уже видны на горизонте, и нам нужно помнить об этом с учетом повсеместного распространения технологий VoIP, — добавил Хосмер. — Методы стеганографии позволяют скрывать секретные сообщения внутри трафика VoIP без серьезного ухудшения качества голосовой связи».

В общем случае стеганография предполагает маскировку передаваемых сообщений таким образом, что никто даже не догадывается об их присутствии. С приходом стеганографии в цифровой мир сообщения начали скрываться внутри вполне безобидного трафика. К примеру, секретную информацию легко можно передать внутри файлов .jpg, задействовав биты, которым отводится второстепенная роль. Таким образом, скрытые сообщения не оказывают практически никакого влияния на восприятие изображения.

«В настоящее время в мире насчитывается более тысячи стеганографических программ, которые доступны любому желающему и позволяют размещать секретные данные внутри графических, звуковых и текстовых файлов, — сообщил Хосмер. — Наличия общедоступных стеганографических программ, использующих трафик VoIP, нами пока не зарегистрировано, однако исследователям уже известны три основных способа создания подобных приложений».

Первый заключается в использовании для передачи секретных сообщений незадействованных битов протоколов UDP и RTP, и тот и другой находят применение в технологиях VoIP.

Второй предусматривает сокрытие данных внутри каждого пакета, несущего полезную нагрузку. Но делается все таким образом, чтобы это не сказывалось на качестве связи.

И наконец, третий метод предполагает вставку в поток VoIP дополнительных, намеренно искаженных пакетов. Они отбрасываются принимающим телефоном, но могут обрабатываться другими сетевыми устройствами, имеющими доступ ко всему потоку VoIP. В качестве одного из вариантов здесь можно использовать изменение порядка размещения пакетов, в результате чего принимающее устройство будет отбрасывать те из них, которые нарушают последовательность.

Данные технологии требуют установки специального оборудования на обоих концах канала или наличия промежуточных компонентов, которые будут включать в поток дополнительные пакеты.

«Встроить секретные данные в трафик VoIP труднее, чем в другие файлы, — подчеркнул Хосмер. — Но вместе с тем труднее их и обнаружить».

«Среда, используемая для переноса секретных сообщений, называется носителем, — отметил Кристиан Коллберг, доцент Аризонского университета и один из авторов книги Surreptitious Software («Тайные программы»). — В качестве носителя можно использовать практически все, что угодно. К примеру, для переноса секретных сообщений вполне можно задействовать программный код архитектуры x86. Манипулируя параметрами компилятора, вы определяете приоритеты выполняемых операций, а каждая опция может соответствовать какому-то биту в секретном сообщении. Параметров довольно много, и, выбирая ту или иную опцию из имеющегося списка, вы определяете значения конкретных битов сообщения».

Средством передачи скрытых сообщений может служить даже повсеместно используемый протокол TCP/IP. Одним из новейших методов извлечения дополнительной выгоды из механизма ретрансляции TCP является так называемая ретрансляционная стеганография (RSTEG), при которой машины-отправители повторно отсылают пакеты в том случае, если не получают от приемника подтверждения.

«В стеганографии должны быть задействованы как отправляющая, так и принимающая машины», — говорится в отчете, опубликованном группой польских исследователей под руководством Войцеха Мазурчика из Варшавского технологического университета. В некоторых ситуациях принимающая сторона после поступления очередного пакета не высылает соответствующего подтверждения, и он отправляется заново.

Пакет, передаваемый повторно, отличается от первоначального и в качестве полезной нагрузки несет в себе скрытое сообщение. Принимающая машина способна выделять такие пакеты из всех остальных, раскрывая спрятанное сообщение.

В своем блоге Crypto-Gram Newsletter авторитетный специалист в области безопасности Брюс Шнайер отверг наличие угрозы, исходящей от RSTEG.

«Не думаю, что подобные вещи получат широкое распространение, — отметил он. — Хотя сама идея, безусловно, заслуживает внимания».

Мазурчик и его коллеги потратили массу времени на поиск новых сред передачи секретных сообщений. Результаты исследований возможности использования стеганографии в трафике VoIP и беспроводных локальных сетей изложены в опубликованном ими отчете.

По словам Хосмера, анализ киберпреступлений показывает, что в 3% случаев злоумышленники использовали стеганографические программы. «Хорошее знание стеганографии криминальными элементами стало большим сюрпризом для правоохранительных органов», — подчеркнул он.

По данным аналитиков Wetstone, которые следят за развитием шести популярных стеганографических программ, интерес к стеганографии растет. В 2008 году в месяц пользователями загружалось в среднем 30 тыс. экземпляров этих программ, тогда как еще годом ранее количество загрузок варьировалось от 8 тыс. до 10 тыс. С учетом того что число компьютеров, подключенных к Интернету, в этот период тоже увеличилось, в таком росте нет ничего необычного, но тем не менее он весьма показателен.

Стеганография не всегда служит исключительно деструктивным целям. «С технической точки зрения ее методы аналогичны установке цифровых водяных знаков, но с несколько иными намерениями, — отметил Коллберг. — Водяные знаки представляют собой секретное сообщение, встраиваемое, к примеру, в изображение. Если изображение размещается в Сети, водяной знак может найти поисковый робот. Таким образом, создатель изображения имеет возможность проверить, заплатил ли сайт за его размещение, или же в данном случае речь идет о нарушении авторских прав».