miércoles, diciembre 19, 2007

¿Stego que? ¡Stegoanálisis! ¡StegoSecret!

En el viaje a Argentina coincidí con un compañero de esucela que me estuvo contando sus paranóis sobre la teoría de la conspiración, el mundo del espionaje y el telón de acero. Entre esas cosas me contó el señor Alfonso que estaba con una herramienta de Stegoanálisis.

"¡Coño! ¿y eso saca información a que no ves?"

Después de darme unas lecciones aprendí que lo primero y más importante es detectar que esa información "existe". Allí, pactamos realizar una colaboración en cierto trabajillo que iba a publicarse por el lado del mal.

Ayer hizo pública la versión 0.1 de la herramienta en la que ha estado trabajando StegoSecret.


StegoSecret realizanod el ataque Chi Square

Esta herramienta implementa una serie de análisis de ficheros gráficos para detectar la posible existencia de información oculta dentro de archivos gráficos:

Análisis 1: Detección de Patrones

StegoSecret detecta información incluida en un fichero gráfico por una lista de aplicaciones de esteganografía conocidas. Estas implementana los algoritmos EOF (Información al final del fichero) o LSB (Bit menos significativo). La lista de las aplicaciones detectadas: camouflage V1.2.1, inThePicture v2, JPEGXv2.1.1, PGE (Pretty Good Envelope) v1.0, appendX v<=4, steganography v1.6.5, inPlainView, DataStash v1.5 y dataStealth v1.0.

Análisis 2: Reconocimiento de estructura de fichero

La herramienta busca cualquier anomalía en la composición de la estructura de un fichero. Estas anomalías en la composición de la estructura de un BMP, un JPEG o un fichero GIF pueden significar la existencia de información oculta.

Análisis 3: Estegoforenses

Esta utilidad ayuda a los Forenses a detectar herramientas de esteganografía en un ordenador que se encunetra bajo análisis. Lleva una base de datos de 40 aplicaciones de esteganografía y las rastrea en un equipo.

Análisis 4: Análisis de Imágenes

De momento sólo para ficheros BMP, pero implementa los sigueintes análisis:

* Ataques Visuales (basados en las ideas de Andreas Westfeld)
* Ataque estadístico ChiSquare (Andreas Westfeld et al). Utilizado para detección de LSB secuencial y estimación de tamaño de información oculta.
* Attacks on Steganographic Systems, Andreas Westfeld & Andreas Pfitzmann

* Ataque RS (Jessica Fridrich et al). Utilizado para detección de LSB pseudoaleatorio y estimación de tamaño.

Puedes descargarte las herramientas, el manual y toda la documentación de la web dedicada al proyecto: http://stegsecret.sourceforge.net/

¡Buen trabajo Alfonso! Saludos Malignos!

11 comentarios:

Anónimo dijo...

¿Teoría de la conspiración?. Quien dijo que fuera una teoría ;)

Haber si un dia organizamos un bonito reto de estegano y ponemos a prueba a esas mentes inquietas que te torturan ;)

Saludos a todos.

Anónimo dijo...

Oye y algo parecido no lo hace también 'Stehide' http://steghide.sourceforge.net/

Nunca he trabajado con ella, pero hace tiempo me intereso por curiosidad le tire un ojo.

kabracity dijo...

creo que steghide está orientada al lado contrario, a ocultar info.

La herramienta de alfonso se basa en el estegoanálisis...es decir detectar si la imagen tiene info oculta, y de momento estimar la cantidad.

Por cierto Alfonso al examinar los ejemplos de Garfield con el detector no los ve como nada sospechoso..qué estoy haciendo mal? (eso sí, al aplicar los ataques visual y chi se aprecia que hay info).Enhorabuena por la aplicación, ayer estuve mirando unas cuantas y la mayoría de las interesantes eran de pago :(

Chema, blanco y en botella y aún no doy con la última tecla, algo me falla (posiblemente ese algo esté encima de mis hombros xDD)

Salu2!

Anónimo dijo...

Ostias que listo soy... :-( cierto es mese trabucaron los cables... si ademas lo pone en la primera linea -
Steghide is a steganography program that is able to hide data in various kinds of image- and audio-files -

:-( me voy pa' la cama otra vez!

Chema Alonso dijo...

@Alfonso, ya haremos algo juntos, don´t worry compa!

Anónimo dijo...

Hola kabracity.

>>Por cierto Alfonso al examinar los >>ejemplos de Garfield con el >>detector no los ve como nada >>sospechoso..qué estoy haciendo mal?

No haces nada mal, me explico.
La herramienta tiene dos partes, un escaneador automático y una herramienta manual. En el escaneador automático, detecto rastros dejados por algunas herramientas, vamos un minímo/mínimo de ingenieria inversa. Basicamente, para
camouflage V1.2.1, inThePicture v2, JPEGXv2.1.1, PGE (Pretty Good Envelope) v1.0, appendX v<=4, steganography v1.6.5, inPlainView, DataStash v1.5 y dataStealth v1.0.
Además, alguna función estegoforense y alguna técnica heurística perfeccionable, por ejemplo, para técnica EOF.

En la herramienta manual, hago ataques Visuales (dificilmente automatizables porque lo tiene que ver una persona) y ataques estadisticos/estimadores (chi square y RS attack).

Estos dos ultimos se pueden automatizar, es decir, puedo decir que a partir de un resultado mínimo de detección muestre que se ha detectado info oculta de forma automática. Lo que sucede con estos algoritmos, en general, es aplicable a todos, es que tienen un pequeño margen de error (limite de detección) y pueden mostrar imágenes que no tiene info oculta como que sí (falsos positivos). Con lo que no me parecía seria ponerlo en la herramienta automática.
Prefiero la herramienta manual, en la cual un analista aplicando todos los algoritmos que hay y habrá saque sus conclusiones. De todas maneras, voy a pensar como puedo automatizarlo más.

Nada más.
Saludos a todos. Felices Fiestas.

Anónimo dijo...

Alfonso tiene una pinta muy buena, la agrego a mi lista de espera de herramientas a probar.

Gracias!

Trancek dijo...

voy a probarlo con unas cuantas imagenes que tengo que tienen distintos metodos de ocultacion de datos en ellas

Anónimo dijo...

sobre audio,

http://www.lucianobello.com.ar/steganography/

.:: darkchicles ::. dijo...

Si, Se que es malo revivir temas del 2007,pero recuerden que recordar es volber a vivir. Bueno todo esto solo para una duda...

Como saco lo que tiene oculto el gato garfield o.. mejor dicho como le saco el contenido oculto XD la duda me carcome

coconauta dijo...

chema, este proyecto esta abandonado o cambio de nombre?.
En una pericia encontre el instalador del camouflage 1.2.1 y debo analizar miles de archivos y no encuentro nada practico.
no hay nada para extraer la info oculta?
saludos

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares