Cilj ovog rada je dati kratak pregled mrežne steganografije, raznih vrsta mrežne steganografije i nekoliko popularnih steganografskih metoda s njihovim primjenama, prednostima i slabostima, kao i metode koje se koriste za otkrivanje steganografije.
Keywords: steganografija; mrežni sustavi; računalna forenzika
Steganografija je umijeće skrivanja poruke, slike, videa ili datoteke u drugu poruku, sliku, video ili datoteku. Za razliku od kriptografije gdje je poruka vidljiva, ali nije razumljiva, u steganografiji poruka nije niti vidljiva. Steganografija vuče korjene iz stare Grčke te se koristila u fizičkom obliku. Od nastanka računala steganografija se koristi i u digitalnom obliku, najčešće u svrhe skrivanja ilegalnih aktivnosti ili izbjegavanja cenzure i špijunaže.
Kako bi se preko mreže sakrile poruke treba se manipulirati funkcijama i protokolima koji preko mreže prenose informacije. Ukoliko se ne manipulira funkcijama, steganografija je i dalje moguća, ali onda više nije riječ o mrežnoj steganografiji. Na primjer, mrežom se mogu prenositi podaci u kojima je skrivena komunikacija u vidu slike, audio ili vizualnog zapisa u koje je poruka skrivena. Tu je onda riječ o digitalnoj steganografiji i taj slučaj nije zanimljiv u vidu mrežne steganografije jer se samim promatranjem prometa ne može ništa zaključiti.
Mrežna steganografija koristi razne metode manipulacije mrežnim protokolima i sustavima, no bitno je, kako bi tajna komunikacija ostala neprimjetna, komunikaciju sakriti na način koji izgleda kao produkt nesavršenosti mreže i protokola, to jest normalna pojava u mreži.
Manipulacija mrežnih funkcija može se podijeliti prema tome u kojim slojevima mreže se događa prenošenje tajnih informacija. Manipuliranje bazirano na intrinzičnoj nesavršenosti komunikacijskog kanala izvodi se na nižim razinama dok se manipuliranje oblika poruke ili načina komunikacije izvodi na višim.
Manipuliranje prema nesavršenosti komunikacijskog kanala se oslanja na greške i kašnjenja u prijenosu podataka kao sredstvu za kodiranje informacija. Manipuliranje oblika poruke ili načina komunikacije se oslanja na korištenju nesavršenosti mrežnih protokola.
Slika 1: Podjela prema slojevima mreže [1]
Druga podjela mrežne steganografije može se napraviti prema tome manipulira li se sa sadržajem mrežnih paketa ili sa strukturom slijeda paketa, to jest vremenskim odnosima između slanja pojedinih paketa.
Slika 2: Podjela prema tome kako se manipulira prometom [3]
Hiccups je seganografska metoda koja se može koristiti za prijenos prijenos podataka unutar mreža sa zajedničkim medijem (npr. wifi), a bazira se na okvirima s krivim kontrolnim sumama (checksums). Metoda djeluje u sloju veze.
U mreži postoji tajna grupa stanica, sa zajedničkim znanjem o korištenju steganografske metode. Poruke se medijem prenose normalnim putem sve dok jedna od tajnih stanica ne pošalje okvir s krivom kontorlnom sumom. Druge tajne stanice prelaze u korumpirani način rada, gdje poruke izmjenjuju u okvirima s krivim kontrolnim sumama, te koriste blizu 100% bandwidth-a mreže.
Ostalim promatračima takvo ponašanje izgleda kao “štucanje” mreže.
HICCUPS se može otkriti promatranjem stope neispravnih okvira. Dok je sustav u korumpiranom načinu rada, svi okviri koje tajna grupa koristi za komunikaciju izgledat će kao neispravni, što znatno povećava stopu neispravnih okvira.
Slika 3: Usporedba pogrešnih okvira kod normalnog i korumpiranog načina rada [7]
SkypeMorph je Pluggable Transport, program za maskiranje prometa Tor mreže u svrhu izbjegavanja cenzura u određenim područjima. Radi na prezentacijskom sloju mreže, a spada u skupinu steganografskih metoda koje mjenjaju sadržaj paketa.
SkypeMorph funkcionira na način da koristi enkriptirani peer-to-peer kanal za Skype video razgovore za prenošenje Tor paketa. S obzirom da je veličina i broj paketa u video streamu obično znatno veća od veličine i broja paketa u običnom prometu preko Tor mreže, SkypeMorph koristi razne statističke metode za proračunavanje veličine i kašnjenja sljedećeg paketa te manjak stvarnog prometa nadopunjava nebitnim paketima.
Iako se pokazalo da u nekim slučajevima je moguće analizom prepoznati dijelove govora u enkriptiranom streamu zvučnog zapisa, za Skype video poziv takva analiza nije moguća, stoga je veoma teško otkriti da je Skype poziv zapravo Tor promet. Jedini način za zaustaviti korištenje Tor-a preko SkypeMorphe-a je zabraniti Skype video promet u potpunosti.
Slika 4: Schema djelovanja SkypeMorphe-a [5]
RESTEG to jest steganografija ponovnog slanja bazira se na mehanizmu ponovnog slanja izgubljenih paketa prema TCP protokolu, dakle radi na transportnom sloju. Spada u skupinu hibridnih metoda s obzirom da koristi i modifikaciju paketa i manipulaciju vremenskog slijeda dolaska paketa.
RESTEG radi na principu da primatelj poruke namjerno ne vrati ACK poruku pošiljatelju, kojom potvrđuje primitak paketa, te pošiljatelj šalje paket ponovno, ali s izmjenjenim sadržajem (steganogramom).
Slika 5: Prikaz razmjene poruka kod RESTEG-a [3]
Pošiljatelj je onaj koji određuje koje će poruke biti odbačene, to jest u koje će se retransmisije stavljati steganogrami. Prema dogovorenim bitovima skrivenim kroz payload paketa primatelj prepoznaje da je paket namjenjen za retransmisiju i ne vraća ACK. Nakon toga pošiljatelj šalje naizgled ponovljeni paket, sa steganogramom.
RESTEG se može koristiti u direktnoj komunikaciji između pošiljatelja i primatelja steganograma ili u slučajevima gdje pošiljatelj steganograma, primatelj steganograma ili obojica koriste nečiji drugi komunikacijski kanal za razmjenu svojih poruka. U takvim slučajevima je teže otkriti počinitelje.
Slika 6: Načini komunikacije kod RESTEG-a [3]
Jedan od načina otkrivanja RESTEG-a je promatranje stope retransmisije paketa na svim TCP konekcijama u nekoj podmreži te usporedba s prosječnom stopom. U slučaju znatno veće stope retransmisije velika je mogućnost da je TCP veza korištena za steganografiju.
Još pouzdanija metoda otkrivanja RESTEG-a je da se u mrežu postavi pasivni upravitelj, koji sprema sadržaje svih paketa toliko dugo dok se ne dobije ACK. U slučaju retransmisije upravitelj uspoređuje sadržaj ponovno poslanog paketa s prvotnim sadržajem i ukoliko se ne poklapaju sigurno je riječ o RESTEG-u. Zbog velikih memorijskih zahtjeva ta metoda je primjenjiva samo u manjim podmrežama.
HTTP entity tag tunneling je steganografska metoda u kojoj se steganogram skriva u zaglavlje HTTP protokola i prenosi aplikacijskim slojem.
Ta metoda je pogodna za nedozvoljeno izvlačenje podataka iz zatvorenih mreža, koje koriste firewall kako bi izfiltrirale izlazni promet. Jedan od načina je korištenje content-MD5 zaglavlja za prenošenje podataka. Content-MD5 zaglavlje u sebi sadrži 128 bitni MD5 hash s kojim se provjerava je li, na primjer, stranica koja se nalazi u pričuvnoj memoriji, istvojetna trenutnoj stranici. S obzirom da hash sam po sebi nema smisla provjeravati, podatci koji se žele prenjeti mogu se razdijeliti na 128 bitne komade i poslati u content-MD5 HTTP zaglavljima.
U svijetu u kojem je sve umreženo, sve je više prilika za korištenje računalnih mreža za zaštitu podataka ili ilegalne aktivnosti. Steganografija, koja postoji stoljećima, danas se gotovo isključivo primjenjuje za skrivanje podataka na internetu. Iako ima dobrih primjena mrežne steganografije, na primjer zaštita osjetljivih podataka ili izbjegavanje cenzure, mrežna steganografija se najviše koristi za prikrivanje zloćudnih programa ili krađu informacija. Metode otkrivanja mrežne steganografije su mnoge, ali njihova uspješnost je upitna s obzirom na nesavršenost mrežnih sustava i protokola iz kojih proizlaze mnoge mogućnosti za iskorištavanje istih.
Kako se metode detekcije i spriječavanja steganografije nastve razvijati, razvijati će se i nove metode.