Esteganálisis - Steganalysis

Steganalysis es el estudio de la detección de mensajes ocultos mediante esteganografía ; esto es análogo al criptoanálisis aplicado a la criptografía .

Visión general

El objetivo del esteganálisis es identificar los paquetes sospechosos, determinar si tienen o no una carga útil codificada y, si es posible, recuperar esa carga útil.

A diferencia del criptoanálisis, en el que los datos interceptados contienen un mensaje (aunque ese mensaje está encriptado ), el esteganálisis generalmente comienza con una pila de archivos de datos sospechosos, pero poca información sobre cuál de los archivos, si alguno, contiene una carga útil. El esteganalista suele ser algo así como un estadístico forense y debe comenzar por reducir este conjunto de archivos de datos (que a menudo es bastante grande; en muchos casos, puede ser el conjunto completo de archivos en una computadora) al subconjunto más probable de tener ha sido alterado.

Tecnicas basicas

El problema generalmente se maneja con análisis estadístico. Un conjunto de archivos no modificados del mismo tipo, e idealmente de la misma fuente (por ejemplo, el mismo modelo de cámara digital o, si es posible, la misma cámara digital; audio digital de un CD, se han "extraído" archivos MP3; etc.) como el conjunto que se está inspeccionando, se analizan para varias estadísticas. Algunos de estos son tan simples como el análisis de espectro, pero dado que la mayoría de los archivos de imagen y audio en estos días están comprimidos con algoritmos de compresión con pérdida , como JPEG y MP3 , también intentan buscar inconsistencias en la forma en que se han comprimido estos datos. Por ejemplo, un artefacto común en la compresión JPEG es el "timbre de borde", donde los componentes de alta frecuencia (como los bordes de alto contraste del texto negro sobre un fondo blanco) distorsionan los píxeles vecinos. Esta distorsión es predecible, y los algoritmos de codificación esteganográfica simples producirán artefactos que son detectablemente improbables.

Un caso en el que la detección de archivos sospechosos es sencilla es cuando el portador original no modificado está disponible para la comparación. La comparación del paquete con el archivo original producirá las diferencias causadas por la codificación de la carga útil y, por lo tanto, la carga útil se puede extraer.

Técnicas avanzadas

Análisis de consistencia del piso de ruido

En algunos casos, como cuando solo hay una imagen disponible, es posible que se requieran técnicas de análisis más complicadas. En general, la esteganografía intenta hacer que la distorsión del portador sea indistinguible del ruido de fondo del portador . En la práctica, sin embargo, esto a menudo se simplifica incorrectamente para decidir hacer que las modificaciones en la portadora se parezcan al ruido blanco lo más cerca posible, en lugar de analizar, modelar y luego emular consistentemente las características de ruido real de la portadora. En particular, muchos sistemas esteganográficos simples simplemente modifican el bit menos significativo (LSB) de una muestra; esto hace que las muestras modificadas no solo tengan perfiles de ruido diferentes a los de las muestras no modificadas, sino también que sus LSB tengan perfiles de ruido diferentes a los que se podrían esperar del análisis de sus bits de orden superior, que aún mostrarán cierta cantidad de ruido. Dicha modificación de solo LSB se puede detectar con algoritmos apropiados, en algunos casos detectando densidades de codificación tan bajas como el 1% con una confiabilidad razonable.

Más complicaciones

Cargas útiles encriptadas

La detección de una carga útil esteganográfica probable es a menudo solo una parte del problema, ya que es posible que la carga útil se haya cifrado primero. El cifrado de la carga útil no siempre se realiza únicamente para dificultar la recuperación de la carga útil. La mayoría de los cifrados fuertes tienen la propiedad deseable de hacer que la carga útil parezca indistinguible del ruido distribuido uniformemente, lo que puede dificultar los esfuerzos de detección y ahorrarle a la técnica de codificación esteganográfica el problema de tener que distribuir la energía de la señal de manera uniforme (pero consulte más arriba sobre los errores de emulación el ruido nativo de la portadora).

Ruido de bombardeo

Si la inspección de un dispositivo de almacenamiento se considera muy probable, el esteganógrafo puede intentar bombardear a un analista potencial con, efectivamente, información errónea . Este puede ser un gran conjunto de archivos codificados con cualquier cosa, desde datos aleatorios, ruido blanco, tonterías sin sentido o información deliberadamente engañosa. La densidad de codificación de estos archivos puede ser ligeramente superior a la de los "reales"; Asimismo, se debe considerar el posible uso de múltiples algoritmos de detectabilidad variable. El esteganalista puede verse obligado a comprobar primero estos señuelos, lo que podría perder una cantidad significativa de tiempo y recursos informáticos. La desventaja de esta técnica es que hace mucho más obvio que el software esteganográfico estaba disponible y se utilizó.

Conclusiones y acciones futuras

Obtener una orden judicial o tomar otra acción basada únicamente en evidencia esteganalítica es una propuesta muy arriesgada a menos que una carga útil se haya recuperado y descifrado por completo , porque de lo contrario todo lo que tiene el analista es una estadística que indica que un archivo puede haber sido modificado, y esa modificación puede haber sido sido el resultado de la codificación esteganográfica. Debido a que es probable que este sea el caso con frecuencia, las sospechas esteganalíticas a menudo tendrán que estar respaldadas por otras técnicas de investigación.

Ver también

Referencias

Bibliografía

• Geetha, S; Siva S. Sivatha Sindhu (octubre de 2009). "Esteganálisis de imágenes ciegas basado en medidas estadísticas independientes del contenido maximizando la especificidad y sensibilidad del sistema". Informática y Seguridad . Elsevier, Science Direct. 28 (7): 683–697. doi : 10.1016 / j.cose.2009.03.006 .
• Geetha, S; Dr. N. Kamaraj (julio de 2010). "Evolución del sistema basado en reglas de árbol de decisión para la detección de anomalías de audio stego basado en estadísticas de distancia de Hausdorff". Ciencias de la información . Elsevier, Science Direct. 180 (13): 2540-2559. doi : 10.1016 / j.ins.2010.02.024 .

enlaces externos

• Investigación de Steganalysis y artículos de Neil F. Johnson que abordan los ataques contra la esteganografía y la marca de agua , y las contramedidas a estos ataques.
• Grupo de investigación . Investigación en curso en Steganalysis.
• Esteganografía: implementación y detección Breve introducción a la esteganografía, discutiendo varias fuentes de información en las que se puede almacenar información.