Esteganografía: doble uso

Enviado por infosniper el 22. Agosto 2007 - 14:12.

Lo bueno de no ser un experto, ni tener que ganarse la vida con la informática, es que se puede prescindir de ella cuando a uno le da la gana. Lo malo, es que cuando en el fondo hay una afición latente, se está aburrido y sin otra cosa más importante que hacer, a uno puede girársele la olla y ponerse a investigar sobre algo, algo que no hará sino complicarle la vida y plantearse, en vista de los resultados agridulces, si no hubiera sido mejor dedicar sus esfuerzos al bricolaje...

Este artículo versará sobre esteganografía en Windows y sobre esteganálisis (o estegoanálisis, o esteganoanálisis) también en Windows, palabras todas ellas que no se encuentran introducidas en el diccionario de la Real Academia, pero que sin embargo todos conocemos. Y no se hablará sobre su uso legítimo en la protección de la información, sino sobre su mal uso y sobre cómo contrarrestarlo...

Antes de continuar creo que es imprescindible leer-recordar un par de artículos escritos hace tiempo, porque los comentarios o las dudas que irán surgiendo encontrarán, de una forma o de otra, una posible respuesta en ellos. El primero es "Microprocesadores de última generación: ¿quién dijo miedo?". En cuanto al segundo, Arturo Quirantes Sierra publicaba en 2002 "Ecos del 11-S: Los mensajes ocultos", que más tarde recopilaría en su libro "Futuro Imperfecto y otras historias del mundo digital" (pdf). En él se hace referencia a una de las empresas (WetStone) más influyentes en el campo del esteganálisis, probablemente debido a sus íntimas relaciones con el gobierno norteamericano (¿la única?). Quedémonos con los datos manejados en este último artículo: el 0,6 % de todas las imágenes de Internet tienen mensajes ocultos, contra el 0 % de mensajes ocultos encontrados en dos millones de imágenes. ¿Cuál de las dos posturas tendrá la razón? La respuesta al final del artículo.

Sabemos que cualquier empresa tiene como fin último la consecución de unos beneficios. Es lógico pensar también que una empresa que desarrolle software de esteganálisis ofrecerá la información que crea adecuada para que su posible comprador invierta sin dudar en su maravilloso producto. Pero el comprador debería ser lo suficientemente precavido como para saber que a lo mejor intentan venderle gato por liebre. No es que el gato no sea comestible (tiene cuatro patas, carne prieta y proteína asegurada), sino que simplemente para el consumidor no cumple las expectativas ofertadas. Y asegurarse de que lo que se ofrece las cumple solamente se consigue con un análisis previo y exhaustivo del producto. WetStone no ofrece ninguna demo-copia de evaluación de 'Stego Suite' para su estudio, solo una "demostración online" (que no sé en qué consiste pero sí me imagino su 'por qué'). Queda claro entonces que no es la mejor forma de permitir el análisis de su programa. Pero quedémonos ahora con lo que se dice en su FAQ (si no se entiende el inglés se recomienda el uso de algún traductor, incluido el de Google). De entrada, se reconoce que no detecta todos los tipos de esteganografía y añade al final:

¡Absolutamente NO! Nadie puede. El arte de la esteganografía existe desde hace más de 2500 años, y la capacidad de nuestros adversarios de encubrir la información y de comunicarse secretamente es un elemento dominante en la guerra moderna y medieval. Continuamos mejorando nuestra detección, análisis, y capacidades de cracking para contrarrestar estas amenazas.

Vale, han sido sinceros. Si quien fuera a adquirir este programa tuviera que desembolsar 20 dólares USA a lo mejor se diría que menos daba una piedra y que, por poco que hiciera, el tener una herramienta de análisis como ésta (como quien tiene un antivirus) tampoco iba a constituir su ruina. Pero si observamos su precio veremos que estamos hablando de 1.495 dólares americanos y la cosa cambia. Cambia, a menos que la compra venga determinada por un departamento gubernamental o institución académica, cuya financiación a su vez venga determinada por unos presupuestos y no por el hecho de que quien va a usar el programa tenga que rascarse directa y personalmente su cartera.

Hace poco he tenido la enorme suerte de poder analizar unos carísimos programas de esteganálisis que emplean varias técnicas de ataque, esta vez en versión Demo. Enorme suerte, porque como se podrá entender su distribución es bastante restringida. Y la conclusión a la que he llegado después de experimentar con ellos es que la esteganografía (y no digamos combinada con el cifrado) en estos momentos es un arma muy seria y de doble filo en función del uso al que se le dé. Por eso, un análisis forense ideal en el tema que nos ocupa sería aquel en el que pudiera analizarse tanto el ordenador del emisor como el del receptor.

Los programas de esteganografía pueden dividirse en instalables y no-instalables. Los primeros dejan un claro rastro en el sistema: claves en el Registro y archivos; los segundos no dejan rastro, se ejecutan y ya está (evidentemente en ambos casos existen matizaciones, por ejemplo si el sistema está congelado). ¿Cuál viene a ser entonces la capacidad de detección de estos programas por parte de los programas de esteganálisis analizados?

- Los programas esteganográficos de muestra han sido varias decenas (más de 50) y NO han sido detectados todos (no voy a decir cuántos).

- Determinados programas que inicalmente SÍ eran detectados, con un poco de magia-potagia dejaban de serlo a los pocos segundos (tampoco diré cuántos de ellos).

- En cuanto a la detección de archivos contenedores con mensajes ocultos el resultado no era para tirar cohetes (también me callo aquí).

Parece ser que los esfuerzos de la industria y de la investigación académica sobre el esteganálisis van dirigidos a conseguir la detección de una lacra muy de moda: las imágenes de pornografía infantil distribuidas a través de Internet, en este caso ocultas en archivos contenedores mediante técnicas esteganográficas. Pero lo ideal sería también que dichos esfuerzos se dirigieran y ampliaran hacia otra vertiente, más complicada pero no por ello menos peligrosa (a buen entendedor pocas palabras bastan).

Nos quedaba resolver la duda sobre cual de las dos posturas (0,6% de imágenes con mensajes ocultos en Internet contra el 0,0%) era la correcta. La respuesta, en vista de lo dicho, es: NINGUNA.

Para profundizar en el tema sugiero la lectura atenta de "Progressive Randomization for Steganalysis", de Anderson de Rezende Rocha (Instituto de Computação, Universidade Stadual de Campinas, Brasil), a quien desde aquí mando un saludo y le animo a continuar con su difícil trabajo de investigación.

infosniper
http://infosniper.googlepages.com

»

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...