Применение сетевой стеганографии для защиты данных, передаваемых по открытым каналам Интернет

Применение сетевой стеганографии для защиты данных,
передаваемых по открытым каналам Интернет
О.Ю. Пескова, Г. Ю. Халабурда
Технологический институт Южного федерального университета poy@tsure.ru
Аннотация
В работе представлены основные понятия сетевой стеганографии, приведена класси- фикация и рассмотрены базовые методы се- тевой стеганографии. Приведена сравни- тельная таблица характеристик рассмот- ренных методов.
Введение
Сколько существуют глобальные сети, столько существует необходимость в скрытии как содержи- мого передаваемых данных, так и самого факта пе- редачи информации.
Стеганография – наука о скрытой передаче ин- формации. В отличие от криптографии, которая скрывает содержимое передаваемого сообщения и позволяет защитить конфиденциальность данных, стеганография прячет сам факт передачи сообще- ния. Если сообщение, защищённое методом стега- нографии, не было обнаружено, то не будут обна- ружены также отправитель и получатель. Можно использовать стеганографию в комплексе с крипто- графией для дополнительной защиты данных.
Интернет открыл массу возможностей для скры- той связи. Секретные сообщения могут быть скры- ты не только в обычных открытых сообщениях, как в традиционной стеганографии, а также в элементах управления протоколов связи и в результатах изме- нения логики протокола.
В Интернет стеганография может применяться для самых разных целей – начиная от вполне безо- пасных и даже полезных, и заканчивая преступны- ми. В частности, одно из наиболее востребованных
«мирных» приложений стеганографии – защита ав- торского права, когда с помощью внедренного «во- дяного знака» можно доказать авторство материа- лов. Стеганографию можно использовать для циф- ровой маркировки материалов в электронных биб- лиотеках и хранилищах. Стеганографическое вло- жение может в некоторой степени подменить собой электронную почту, потому что позволяет доказать целостность переданного материала. А с другой стороны, с помощью стеганографии инсайдер мо- жет передать через каналы Интернет закрытые дан- ные, обходя все фильтры, установленные в сети ор- ганизации. Стеганография может использоваться для скрытия факта передачи запрещенных материа- лов и для общения преступников и террористов.
Поэтому методы стеганографии и стегоанализа тре- буют особо тщательного изучения.
Сетевая стеганография – вид стеганографии, в котором в качестве носителей секретных данных используются сетевые протоколы эталонной модели
OSI - сетевой модели взаимодействия открытых систем. В общем виде сетевая стеганография явля- ется семейством методов по модификации данных в заголовках сетевых протоколах и в полях полезной нагрузки пакетов, изменению структуры передачи пакетов и гибридных методов в том или ином сете- вом протоколе (иногда и нескольких сразу).
Передача скрытых данных в сетевой стеганогра- фии осуществляется через скрытые каналы. Термин
«скрытый канал» ввёл Simmons в 1983 году, кото- рый определил, что проблема утечки информации не ограничивается использованием программного обеспечения. Скрытый канал может существовать в любом открытом канале, в котором существует не- которая избыточность.
Скрываемые данные называются стеганограм- мой. Они располагаются в определенном носителе
(carrier). В сетевой стеганографии роль носителя выполняет передаваемый по сети пакет.
Основные параметры сетевой стеганографии – это пропускная способность скрытого канала, веро- ятность обнаружения и стеганографическая стои- мость. Пропускная способность - объём секретных данных, который может быть отправлен в единицу времени. Вероятность обнаружения определяется по возможности обнаружения стеганограммы в оп- ределенном носителе. Наиболее популярный способ обнаружить стеганограмму – это анализ статистиче- ских свойств полученных данных и сравнение их с типовыми значениями для этого носителя. Стегано- графическая стоимость характеризует степень из- менения носителя после воздействия на него стега- нографического метода.
1. Классификация методов сетевой
стеганографии
Исходными данными для рассмотрения класси- фикации методов и средств сетевой стеганографии являются материалы польских учёных W.
Mazurczyk и K. Szczypiorski, отчёты об эксперимен- тах канадских учёных K. Ahsan и D. Kundur, учёных
348
IMS–2012

Калифорнийского Университета в Ирвине E. Cauich,
R. Gomez, исследователей Theodore G. Handel и
Maxwell Sandford национальной лаборатории в
LosAmos.
Методы сетевой стеганографии можно разделить на три группы (рисунок 1) [7]:
− методы стеганографии, суть которых в измене- нии данных в полях заголовков сетевых прото- колах и в полях полезной нагрузки пакетов;
− методы стеганографии, в которых изменяется структура передачи пакетов, например, изме- няются очередности передачи пакетов или преднамеренное введение потерь пакетов при их передаче;
− смешанные (гибридные) методы стеганографии
— при их применении изменяются содержимое пакетов, сроки доставки пакетов и порядок их передачи.
Каждый из этих методов делится ещё на не- сколько групп; например, методы модификации пакетов включают в себя три разных метода:
− методы изменения данных в полях заголовков протокола: они основаны на модификации по- лей заголовков IP, TCP, SCTP и так далее;
− методы модификации полезной нагрузки паке- та; в этом случае применяются всевозможные алгоритмы водяных знаков, речевых кодеков и прочих стеганографических техник по скрытию данных;
− методы смешанных техник.
Методы модификации структуры передачи паке- тов включают в себя три направления:
− методы, в которых изменяется порядок после- довательности пакетов;
− методы, изменяющие задержку между пакета- ми;
− методы, суть которых заключается во введении преднамеренной потери пакетов путём пропус- ка порядковых номеров у отправителя.
Смешанные (гибридные) методы стеганографии используют два подхода: методы потери аудио па- кетов (LACK) [4] и ретрансляция пакетов (RSTEG)
[7].
Рис.1 Классификация методов сетевой стеганографии
2.
Методы сетевой стеганографии с
модификацией пакетов
Главная идея методов модификации полей заго- ловков заключается в использовании некоторых полей заголовков для внесения в них стеганограммы
[1, 2]. Это возможно за счёт некоторой избыточно- сти в данных полях, то есть существуют определен- ные условия, в которых значения в данных полях не будут использоваться при передаче пакетов. Чаще всего используются поля заголовков IP и TCP про- токолов.
Пример подобного метода, основанный на мо- дификации полей заголовков протокола IP, приве- ден на рисунке 2.
Стеганограмма
Рис.2 Метод модификации полей IP-заголовка
В данном методе рассматривается модификация неиспользуемых полей для создания скрытого кана- ла [2].
Раздел 6. Электронные библиотеки и развитие технологий информационного общества
Санкт-Петербург, 10—12 октября 2012 г.
349

Значение поля Идентификатор (Identification) IP- пакета генерируется на стороне отправителя. Это число содержит случайный номер, который генери- руется, когда создаётся пакет. Поле Identification используется только тогда, когда используется фрагментация. Поэтому для использования данного метода необходимо знать значение MTU в переда- ваемой сети и не превышать его, чтоб пакет не был фрагментирован во время передачи. При отсутствии необходимости фрагментации пакета, определенная избыточность возникает в поле «Флаги», во втором бите, отвечающем за установку флага
Don’tFragment (DF). Существует возможность ука- зать флаг, уведомляющий о нежелании отправителя фрагментировать пакет. Если пакет со стеганограм- мой не будет фрагментирован из-за его размера, можно скрыть информацию в поле флага
DoNotFragmentBit. Использование данного метода предоставляет пропускную способность в 1 бит
Плюсом данного метода является передача без изменений информации от отправителя к получате- лю, но это также ограничивает количество посы- лаемой информации. Стеганография на основе дан- ного метода является легко реализуемой, имеет не- плохую пропускную способность, так как можно послать множество IP-пакетов с внесенными изме- нениями и низкую стоимость за счёт применения полей, не нарушающих функционала пакета. Если выбрать маршрут так, чтобы во время пути пакет не была фрагментирована, то данный метод может иметь вполне широкое применение за счёт указан- ных преимуществ. Из недостатков следует выделить то, что передаваемые данные содержатся в откры- том виде и могут быть легко считаны наблюдателем
(хотя можно усилить защиту, используя дополни- тельно криптографию).
Еще один метод модификации сетевых пакетов, изменяющий полезную нагрузку VoIP пакета, мо- жет найти широкое применение в практике за счёт популярности программ, обеспечивающих голосо- вую связь и видеосвязь через Интернет. Передача голоса по IP (VoIP или IP-телефония), является од- ной из услуг, которая позволяет пользователям де- лать звонки, передавая данные по сети с использо- ванием IP-протокол. Метод сетевой стеганографии, предназначенный для скрытия сообщений VoIP, называется Transcoding Steganography (TranSteg)–
метод сетевой стеганографии со сжатием полезной нагрузки сетевого пакета за счёт перекодирования.
Данный метод может применяться для разнообраз- ных мультимедийных классов и приложений реаль- ного времени, но его основное предназначение в приложениях IP-телефонии. TranSteg можно приме- нять и в других приложениях или службах (напри- мер потоковое видео), там, где существует возмож- ность сжатия (с потерями или без) открытых дан- ных. Типичным подходом к стеганографии является сжатие данных, которое необходимо для ограниче- ния размера передаваемых данных, ведь при ис- пользовании скрытого канала связи мы имеем огра- ниченную пропускную способность соединения. В
TranSteg также используется сжатие данных, чтобы освободить место под стеганограмму: происходит перекодировка (сжатие с потерями) голосовых дан- ных из высокого битрейта (занимающий больше места в полезной нагрузке пакета) в более низкий битрейт по возможности, с минимальной потерей качества голоса, и после сжатия происходит внесе- ние данных в освободившееся место в области по- лезной нагрузки пакета [8]. В целом, метод позволя- ет получить более или менее хорошую стеганогра- фическую пропускную способность в 32кб/с при наименьшей разнице в задержке пакета. Экспери- менты польских учёных показали, что задержка в передаче VoIP пакета с использованием TranSteg возрастает на одну миллисекунду (1мс) в отличие от пакета без стеганограммы. Сложность обнаружения напрямую зависит от выбора сценария и условий постороннего наблюдателя (например, его располо- жения, в котором он может просматривать VoIP трафик). Из недостатков стоит упомянуть тот факт, что данный метод трудно реализовать. Нужно вы- яснить, какие кодеки использует программа для го- лосовой связи, подобрать кодеки с наименьшей раз- ницей потери качества речи, при этом дающие больше места для вложения стеганограммы. При сжатии теряется качество передаваемой речевой информации.
Интересным представляется также направление с использованием механизмов SCTP-протокола.
SCTP (Stream control transport protocol) [5] – транс- портный протокол с контролем пакетов, транспорт- ный протокол нового уровня, который заменит TCP и UDP в сетях будущего. Уже сегодня этот прото- кол реализуется в таких операционных системах как
BSD, Linux, HP-UX и SunSolaris. Он также поддер- живает сетевые устройства операционной системы
CiscoIOS и может быть использован в Windows.
SCTP-стеганография использует новые харак- терные особенности данного протокола, такие как мультипоточность и использование множественных интерфейсов (multi-homing). Определенные новые угрозы и предложенные контрмеры могут быть ис- пользованы в качестве дополнения к RFC 5062, ко- торый описывает атаки в SCTP.
Методы SCTP-стеганографии можно разделить на три группы [6]:
− методы, в которых изменяется содержимое
SCTP-пакетов;
− методы, в которых изменяется последователь- ность передачи SCTP-пакетов;
− методы, которые влияют как на содержание пакетов, так и их порядок при передаче (гиб- ридный метод).
Методы изменения содержимого SCTP-пакетов основаны на факте, что каждый STCP-пакет состоит из частей, и каждая из этих частей может содержать переменные параметры.
Вне зависимости от реализации, статистический анализ адресов сетевых карт, используемых для пе- ресланных блоков, может помочь в обнаружении скрытых связей. Устранение возможности примене-
Раздел 6. Электронные библиотеки и развитие технологий информационного общества
350
IMS–2012

ния данного метода стеганографии может быть дос- тигнуто путём изменения адреса отправителя и по- лучателя в случайно выбранном пакете, который содержится в повторно высылаемом блоке.
Суть гибридного метода на основе SCTP прото- кола заключается в использовании определенных механизмов протокола, которые позволяют органи- зовать намеренный пропуск пакетов в потоке, без его повторной посылки. Позже в этот пакет добавля- ется стеганограмма, и он повторно отправляется [6].
Модификация пакетов с использованием гиб- ридного метода может быть представлена на приме- ре системы HICCUPS (Hidden Communication system for CorrUPted networkS), которая использует несо- вершенства передачи данных в сетевом окружении, такие как помехи и шум в среде связи, а также обычную подверженность данных к искажению [3].
HICCUPS является стеганографической системой с распределением пропускной способности в общест- венной сетевой среде. Беспроводные сети более восприимчивы к искажению данных, чем провод- ные, поэтому использование помех и шума в среде связи во время работы нашей системы выглядит очень заманчиво.
«Прослушка» всех кадров с передаваемыми дан- ными в среде и возможность отправки поврежден- ных кадров с неправильно откорректированными кодовыми значениями – две важные сетевые осо- бенности, необходимые для реализации HICCUPS.
В частности, беспроводные сети используют воз- душное соединение с переменной частой ошибок в битах (BER), что создаёт возможность вводить ис- кусственно поврежденные кадры. В целом, новше- ства HICCUPS следующие:
− использование безопасных сетевых телекомму- никаций с криптографическими механизмами для обеспечения работы системы стеганогра- фии;
− предложение нового протокола с распределени- ем пропускной способности для стеганографи- ческих целей, основанных на испорченных па- кетах.
Ключевой информацией с точки зрения систем скрытой связи является возможность обмена дан- ными в скрытых каналах. Остальные каналы связи на уровне управления доступом к среде (MAC) от- крыты для криптоаналитической атаки и оставлены для проникновения в качестве наживки или при- манки; эти каналы также служат для нормального обмена данными.
Данная система предназначена для обществен- ных сетей, особенно для беспроводных локальных сетей. Этот метод обладает низкой полосой пропус- кания (зависит от сети), громоздкой реализацией, низкой стеганографической стоимостью и высокой сложностью обнаружения (если к существующей частоте ошибок кадра добавить 1%, как рассматри- валось в примере). Тем не менее, анализ кадров с неверной контрольной суммой может привести к обнаружению использования данного метода.
Рис. 3. Метод RSTEG
Раздел 6. Электронные библиотеки и развитие технологий информационного общества
Санкт-Петербург, 10—12 октября 2012 г.
351

Таблица 2 Сравнение методов сетевой стеганографии
№
Пропускная способность стеганографии
Сложность обнаружения
Стоимость стеганографии Реализация
1 TranSteg
HICCUPS
HICCUPS
Модификация полей в заго- ловках TCP и IP пакетов
2 LACK
TranSteg
LACK
Модификация блоков данных в SCTP протоколах
3 HICCUPS
LACK
RSTEG
TranSteg
4 RSTEG
RSTEG
TranSteg
Использование SCTP multi- homing
5
Модификация по- лей в заголовках
TCP и IP пакетов
Использование протокола SCTP
(гибрид)
Использование протокола
SCTP (гибрид)
Использование протокола
SCTP (гибрид)
6
Модификация бло- ков данных в SCTP протоколах
SCTP multi- homing
Модификация блоков данных в SCTP протоко- лах
LACK
7
Использование протокола SCTP
(гибрид)
Модификация полей в заголовках TCP и
IP пакетов
SCTP multi- homing
RSTEG
8
Использование
SCTP multi- homing
Модификация бло- ков данных в SCTP протоколах
Модификация полей в заголовках TCP и IP па- кетов
HICCUPS
3.
Гибридные методы
стеганографии
Метод RSTEG (рисунок 5) основан на механизме повторной посылке пакетов, суть которой заключа- ется в следующем: когда отправитель посылает па- кет, то получатель не отвечает пакетом с флагом подтверждения, и таким образом должен сработать механизм повторной высылки пакетов и повторно посылается пакет со стеганограммой внутри, на ко- торый также не приходит подтверждения. При сле- дующем срабатывании данного механизма посыла- ется оригинальный пакет без скрытых вложений, на который приходит пакет с подтверждением об удачном получении [7].
Производительность RSTEG зависит от многих факторов, таких как детали процедур связи (в час- тотности, размер полезной нагрузки пакета, частота, с которой генерируются сегменты и так далее). Ни один из реальных методов стеганографии не являет- ся совершенным. Независимо от метода, скрытая информация может быть обнаружена. В целом, чем больше скрытой информации внесено в поток дан- ных, тем больше шансов, что она будет обнаружена, например, путем сканирования потока данных или другими методами стегоанализа.
Более того, чем больше пакетов используется для посылки скрытых данных, тем сильнее возрас- тает частота ретранслированных пакетов, чем суще- ственно облегчает обнаружение скрытого канала связи. Именно поэтому процедура внесения скры- тых данных должна быть тщательно подобрана и проконтролирована, чтобы свести к минимуму сложность обнаружения внесенных данных. К тому же, потери пакетов в сети должны быть тщательно проверены. RSTEG использует законный трафик, таким образом увеличивая общие потери. Чтобы убедиться, что общая потеря пакетов в сети нор- мальна и RSTEG не слишком высока по сравнению с другими соединениями в той же сети, уровень ретрансляции в целях стеганографии должен кон- тролироваться и динамично адаптироваться.
Раздел 6. Электронные библиотеки и развитие технологий информационного общества
352
IMS–2012

Исследованный метод стеганографии с исполь- зованием ретрансляции пакетов RSTEG является гибридным. Поэтому его стеганографическая про- пускная способность примерно равна пропускной способности методов с модификацией пакета, и при этом выше, чем у методов изменения порядка пере- дачи пакетов .Сложность обнаружения и пропуск- ная способность напрямую связана с использовани- ем механизма реализации метода. RSTEG на основе
RTO характеризуется высокой сложностью обнару- жения и низкой пропускной способностью, а SACK обладает максимальной для RSTEG пропускной способностью, но и более легко обнаруживаем.
Применение RSTEG возможно с использованием
TCP протокола является хорошим выбором для IP- сетей. При разумном уровне преднамеренных ретрансляций не должен вызвать подозрений у на- блюдателя. Из недостатков следует выделить тот факт, что данный метод сложно реализовать, осо- бенно те его сценарии, которые основаны на пере- хвате и исправлении передаваемых обычными поль- зователями пакетов. Из-за резко возросшей частоты ретранслируемых пакетов или необычные возник- новения задержек при передаче стеганограммы мо- гут вызвать подозрения у стороннего наблюдателя.
LACK (Lost Audio Packets Steganography)– сте- ганография преднамеренных задержек аудио паке- тов [4]. Это ещё один метод, осуществляемый через
VoIP. Связь через IP-телефонию состоит из двух частей: сигнальной (дозвон) и разговорной. В обеих частях происходит передача трафика в обе сторо- ны. Для передачи используется сигнальный прото- кол SIP и RTP (с RTCP, который выступает в роле управляющего протокола). Это значит, что в тече- нии сигнальной фазы вызова конечные точки SIP
(называемые пользовательские SIP агенты) обме- ниваются некоторыми SIP сообщениями. Обычно
SIP сообщения проходят через SIP-сервера: прокси или перенаправленные, что позволяет пользовате- лям искать и находить друг друга. После данного этапа начинается фаза разговора, где аудио (RTP) поток идёт в обоих направлениях между вызываю- щим и вызванным. Данный метод имеет определен- ные преимущества. Пропускная способность не меньше, а иногда и выше, чем у остальных алгорит- мов, использующих аудио пакеты. Но при намерен- ном вызове потерь возникает ухудшение качества связи, что может вызвать подозрение или у обыч- ных пользователей или у прослушивающего наблю- дателя. Исходя из представленных методов стегоа- нализа LACK, можно заключить, что метод облада- ет средней сложностью обнаружения. Реализация метода слишком сложна, но может быть не возмож- на в пределах некоторых операционных систем.
Заключение
В таблице 2 приведено сравнение методов по их основным характеристикам и реализации. Позиция каждого метода в данной таблице показывает, на сколько его характеристики превосходят или усту- пают остальным. Чем выше отображен метод в таб- лице, тем больше показатели его характеристик. В поле Реализация рассматривается простота органи- зации данного метода. Чем меньше времени и уси- лий требует реализация данного метода, тем выше его позиция данным заголовком. На основе данных из таблицы можно сделать вывод о прямой зависи- мости основных характеристик друг от друга.
Проведенные исследования могут быть исполь- зованы в качестве основы для разработки новых методов стеганографии или для защиты информа- ции от утечек по скрытым каналам, созданных с помощью рассмотренных методов.
Литература
[1] Craig H. Rowland.Covert Channels in the TCP/IP
Protocol Suite.- First Monday, Volume 2, Number
5 - 5 May 1997 [Электронный ресурс] / First
Monday [сайт]. URL:http://firstmonday.org/htbin/ cgiwrap/bin/ojs/index.php/fm/article/viewArticle/5 28/449 (дата обращения 13.09.2012).
[2] Enrique Cauich, Roberto Gómez ,Ryouske
Watanabe. Data Hiding in Identification and
Offset IP fields [Электронный ресурс]/
California University at Irwing, Computer Science and Engineering 204B University of California,
Irvine, CA 92717 USA Sciweavers [сайт]. URL: http://www.sciweavers.org/read/data-hiding-in- identification-and-offset-ip-fields-124683 (дата обращения 13.09.2012).
[3] Szczypiorski K. HICCUPS: Hidden Commu- nication System for Corrupted Networks-
Międzyzdroje, Poland 2003 [Электронный ре- сурс] / Krzysztof Szczypiorski [сайт]. URL: http://krzysiek.tele.pw.edu.pl/pdf/acs2003- hiccups.pdf (дата обращения 13.09.2012).
[4] Mazurczyk W., Szczypiorski K. Steganography of
VoIP streams.: In: MeersmanR, TariZ (eds)
Springer-Verlag, 2009. [Электронный ресурс] /
Wydziału Elektroniki i Technik Informacyjnych
[сайт]. URL:http://home.elka.pw.edu.pl/