Asegúr@IT IV - Online

Alfonso Muñoz - Esteganografía en la web

Asegúr@IT IV - Esteganografía en la web

View SlideShare presentation or Upload your own. (tags: informática hacking)

David Barroso - Botnets 2.0

Asegúr@IT IV - Botnets 2.0

View SlideShare presentation or Upload your own. (tags: botnets malware)

Chema Alonso - Remote File Downloading

Asegúr@IT IV - Remote File Downloading

View SlideShare presentation or Upload your own. (tags: hacking server)

Luciano Bello - Debian OpenSSL Bug

Asegúr@IT IV - Debian OpenSSL bug

View SlideShare presentation or Upload your own. (tags: hacking bug)

Héctor Sánchez Montenegro - Microsoft y la Seguridad

Asegúr@IT IV - Microsoft y Seguridad

View SlideShare presentation or Upload your own. (tags: informática seguridad)

Saludos Malignos!

No Lusers 57: Steganografía 2.0

Si no lo pillas, vente al Asegúr@IT IV.... es ¡gratuito!

Saludos Malignos!

Asegúr@IT IV

Fue hace apenas 10 días que tuvo lugar el Asegúr@IT III en Bilbao y aun mantengo partes de la presentación en mi memoria reciente. Los videos y las presentaciones están siendo editados por la gente de multimedia de la Universidad de Deusto y aun no he podido ni colgarlos cuando ya tenemos lista la próxima edición del Asegúr@IT en Madrid.

En las jornadas de Asegúr@IT han pasado para dar ponencias “personajes” de lo más diverso dentro de esto de la seguridad informática como RoMaNSoFt, Mandingo, Dani Kachakil, Pedro Laguna, José “el abuelo” Parada, Andrés Tarascó “Atar”, Juan Luís Rambla, Mikel Gastesi, Pablo Catalina, Juan Garrido “silverhack”, Pablo Garaitzar “Txipi”, David Carmona, Palako o Iñaki Etxeberría haciendo que cada charla por separado y todas en conjunto sean de lo más interesantes.

Ahora, aprovechando que Luciano Bello salta el charco para ir a hablar a la DeepSec se ha confeccionado una agenda de actividades digna del mismísimo diablo. Yo, para recibirle como se merece y, currando con Spectra Technet, S21Sec, mis compis de Informática64 y Little Budda de Criptored hemos montado un fiestorro para el próximo día 27 de Octubre: El Asegúr@IT IV.

Allí vamos a participar algunos “buenos” elementos de tipo persona para la diversión de todos.

- Alfonso “steganopaulos” Muñoz: Este es el friki aficionado a la teoría de la conspiración que tuve el gusto de conocer en el CIBSI 2007 en Argentina, que se encargó de putearos con la prueba de steganografía del nivel 5, que escribió este pequeño tutorial de lo mismo, que liberó la herramienta stegosecret para stegoanálisis y que va a hablarnos de… ¿lo adivinas?

- David “ojosdeniño” Barroso: Sí, el cheriff del e-crime en S21sec, el browner dispatcher de curro en S21Sec, el que dice: “Encárgate de esto que yo me voy a una conferencia muy, muy,muy,muy importante en…. Las Vegas”. Je, pero también es el que se come los browns con los altos gerifaltes de los clientes, esos que manejan más presupuesto en un año del que vamos a ganar muchos de nosotros en toda nuestra vida. Ojosdeniño Barroso vendrá a hablarnos de mafias y botnets 2.0. Es decir… como nos joden.

- El menda lerenda, sólo para rellenar el hueco, y para que no se diga que hago currar a todos y yo no doy ni chapa, voy a dar la charla que di en la ToorCon X pero en idioma bronxtolita. La charla es de cómo descargar ficheros del servidor usando Blind SQL Injection.

- Luego, Luciano “melenas” Bello (¿bello no es sinónimo de pelo?), el que consiguió que un logo de Debian luciera en la web de Informática 64, vendrá a contarnos como el mundo se puso del revés por un par de comentarios puestos en el momento menos apropiado y en el lugar justo. Algo así como “¿Te acuerdas que te dije que no hacía falta que te pusieras condón que tenía el DIU? Pues me han dicho que no estaba bien puesto….” El gran Luciano que vendrá a tierras españolas (para luego bajarse al moro el muy pájaro!) sin su coche Rojo color Windows Vista.

- Y por último, para poner un poco de orden, para que todo no sea alboroto y cachondeo vendrá el señor Héctor-bando Sánchez Montenegro, el que se las tiene que ver y pelear en los comités del OOXML, las certificaciones de seguridad y el que negocia en el mercado como pasarle el código bajo cuerda al estado español : “venga, te paso 3k de líneas del kernel de Windows 7 si me haces una ley que obligue a todos los niños a llevarlo implantado en un chip cerebral”. El que se encarga de comprometer a Spectra con este país que vendrá a contarnos… ¿Qué está haciendo Spectra en seguridad informática… .para gobernar el planeta?

Así que, si crees que todo esto es poco, tendrás el desayuno gratis y la entrada del evento es totalmente gratuita (hasta que se acaben las butacas).

Fecha: lunes, 27 de octubre de 2008

Lugar: Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur, Avenida Arcas del Agua s/n – Sector 3, Getafe Madrid 28905, España

Agenda

09:00-09:15 Registro

09:15-10:00 Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones

¿Al Qaeda utiliza procedimientos para ocultar comunicaciones en Internet?, ¿la celestina contiene mensajes ocultos?, ¿puede un acróstico cambiar el rumbo de una investigación?... Esta charla pretende mediante un repaso de las técnicas esteganográficas más interesantes analizar como ha evolucionado está ciencia desde las técnicas puramente artesanales a procedimientos de gran complejidad que facilitan la ocultación de comunicaciones en múltiples formatos, analógicos y digitales, con diversos propósitos. La ocultación de información puede tener implicaciones en la seguridad coorporativa de una organización, por ejemplo, en la ocultación de malware, canales encubiertos que extraen información de forma subrepticia a través de cortafuegos, gestión de la autenticación de contenidos, etc. En la charla se analizan diferentes técnicas esteganográficas de ocultación y detección con diferentes demos y se razona un posible futuro de esta ciencia relacionado con el avance de la web 2.0 y las redes sociales.

10:00-10:45 David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet (la amenaza silenciosa)

Quién tenga el control de Internet y de la información que fluye dominará el mundo; es el objetivo principal de las botnets hoy en día, controlar el mayor número de máquinas posibles para utilizarlos en la consecución de sus objetivos: infection kits, C&C, ISP a prueba de balas, criptografía, redes P2P, data mining, DDoS, ... todas estas técnicas (y muchas más) se entremezclan para formar el escenario actual con el que nos enfrentamos. ¿Somos conscientes de ello?

10:45 - 11:15: Café envenenado por Spectra Technet

11:15 - 12:00: Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection

El lenguaje SQL es un potente elemento dentro de los avanzados motores de bases de datos, con los privilegios adecuados y utilizando las herramientas precisas es posible descargar ficheros de los servidores sólo usando los sistemas de booleanización de ficheros con técnicas de Blind SQL Injection. En esta sesión se verán demos con SQL Server 2000, SQL Server 2005, Oracle 10g y MySQL 5.

12:00 - 12:45 Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias

A principios de este año el mundo se conmocionó con el fallo descubierto por este argentino que permitía, gracias a un fallo en el código del paquete OpenSSL, descifrar todas las claves criptográficas generadas en los últimos dos años por este software. El propio Luciano Bello, en España, nos contará cómo funciona, porqué pasó esto y cuales son las consecuencias.

12:45 - 13:30 Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?

Microsoft estuvo años en el punto de mira de los expertos de seguridad y hoy en día en el punto de mira de las mafias. Desde el año 2002 Microsoft tomó conciencia de esta responsabilidad que tenía y decidió atacarlo con la iniciativa a 10 años de Trustworthy Computing. Hoy 6 años después, las mejoras son sustanciales, pero.. ¿cuáles han sido los esfuerzos de Microsoft en materia de seguriad? ¿Cuáles son los planes para el futuro? ¿Y respecto al gobierno nacional?

13:30 - 13:45 Preguntas a los ponentes

Registrate para este envento en la siguiente URL: Asegúr@IT IV

Saludos Malignos!

X RECSI (I de III)

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

No hace mucho tiempo que decidí comenzar el camino para obtener el título de Doctor. Por ello, empecé a trabajar en el ámbito académico e ir a un nuevo tipo de conferencias: Los congresos académicos.

En esta corta andadura que llevo he tenido la suerte de participar en el EALT 2007 en Oporto, el CIBSI 2007 [Congreso Iberoamericano de Seguridad de la Información] en Mar del Plata, que tantos desvelos quita a nuestro querido Little Buda, el 6th Collecter que se celebró en Madrid y la X edición del RECSI [Reunión Española de Criptografía y Seguridad Informática].

Los congresos y las conferencias de seguridad informática, tanto los de la industria como los académicos, son una autentica pasión pues es una forma sencilla, cómoda y entretenida de poder aprender algo nuevo o lo que yo considero más importante: Un lugar dónde se te estimulan las ideas. Este año en el RECSI me lo he pasado estupendamente con las charlas que he tenido la suerte de escuchar.

Cómo eran dos tracks, uno de Criptografía y otro de Seguridad Informática, decidí rápidamente olvidar las matemáticas, lo que me llevó a escuchar algunas charlas que paso a resumiros, para que os quede una idea de lo que es estar allí.

Un framework genérico para el soporte de pagos por clic

Esta charla trata un tema de gran actualidad dentro de las empresas que se dedican a la venta online y, por supuesto, de los grandes servicios que ofrecen hoy en día los gigantes como Google, Yahoo!, Facebook o cualquier nueva red sociales. En este trabajo analizaban los problemas de los pagos por clic y ellos ofertaban una solución. Tal vez sea buena o no la solución que presentaban, pero desde luego es un tema chulo y de actualidad que estuvo interesante.

On the use of genetic programming to develop cryptographic hashes

Esta presentación estuvo muy interesante y muy bien presentada. En ella, se presentó como se podrían utilizar los algoritmos genéticos para desarrollar un nuevo algoritmo de generación de hashes. La sesión contó las características que deben tener las funciones hash, las analizó con MD5 y SHA1 y al final proponía una función generada por programación genética que era probada con los test del NIST.

Herramienta DCST. Automatización de estegoanálisis en redes sociales

Alfonso Muñoz y Justo Carrecedo presentaban este artículo que fue expuesto por nuestro amigo de la conspiración el señor Alfonso de la forma más chula y radical (¡Me encantó!). En la presentación mostraba datos encontrados con técnicas de estegoanálilsis en webs, foros, artículos, etc.. y proponía una herramienta que trabaja subyacentemente a tu navegación. Es decir, mientras navegas por webs, esta herramienta va analizando si, mediante técnicas de esteganografía, hay alguna info oculta en algún documento. Muy interesante para “tu-ya-sabes-quienes”.

Después de estas tres primeras charlas, tuve el placer de tomar el café y los bollos con una persona que tenía muchas ganas de conocer: Gonzalo Álvarez Marañón, programador de los famosos retos hacking de Boinas Negras, escritor de la sección de seguridad en la revista PC World junto conmigo (de vez en cuando), culpable de las conferencias FIST junto con Vicente y Christian, miembro del CSIC y…¡adicto al comic! Cómo os podéis imaginar, la chispa saltó, y pudimos pasar muchas horas juntos charlando después de ese momento… pero ya os contaré más adelante...

Terminado el café, los que éramos Chairman de algún track tuvimos la oportunidad de disfrutar de una visita privada y guiada a la Biblioteca de la Universidad de Salamanca, dónde pudimos ver, y ojear de cerca un libro del año 1050, es decir, de casi 1000 años de antigüedad, libros censurados por la inquisición, el primer tratado de ajedrez e incluso el famoso condón de los estudiantes. Terminamos la visita en el restaurante del colegio Fonseca para degustar las viandas y nos metimos en más charlas.

An Order independent consistency-based diagnosis for firewall rule sets

Curioso tema presentado por cargo Sergio Pozo de la Universidad de Sevilla. Imaginad unas reglas del firewall en las que se definen las reglas R1 y R2 de la siguiente forma:

R1: Permitir de: 143.132.23.8 a: Webserver puerto: 80
R2: Denegar de: *.*.*.* a: Webserver puerto:80

Como se puede ver, este conjunto de reglas tiene muy diferente efecto si el orden de las reglas es R1 y luego R2 o si el orden es R2 y luego R1. Parece una cosa evidente, pero cuando hay muchas reglas en un firewall esto es un problema pues las reglas son dependientes. La pregunta. ¿Por qué no diseñar un conjunto de reglas en las que todas sean independientes? Si pensamos en hacerlo manualmente esto puede ser complicado, pero… ¿para qué está la ciencia? Me gustó el trabajo por lo que presentó y por lo que me hizo pensar. Las ventajas a priori son buenas. La primera y más evidente: El administrador diseña las reglas, se pasan a reglas independientes y ya ningún “zarpas” puede joder la configuración del firewall. La segunda: Al ser independientes el firewall se puede autotunear, es decir, el tiempo de proceso de un firewall es directamente dependiente del número de reglas que tiene que probar antes de que una aplique. Con un firewall así se haría que las reglas se ordenaran automáticamente en función del número de veces que se han disparado. Así, la probabilidad de que la primera regla sea la que aplica es la mayor.

Análisis de seguridad y privacidad para sistemas EPC-RFID en el sector postal

Esta sesión estaba a cargo de la gente de la Universidad Oberta de Catalunya que ha realizado un estudio sobre las implicaciones de seguridad del uso de la tecnología EPC RFID en los sistemas de etiquetado postal. El artículo recoge la matriz de amenazas, las soluciones aplicadas y tres modelos de fortificación del entorno. Reconozco que no soy muy aficionado a la tecnología RFID así que escuchar la charla me vino bien para conocer un poco el laberinto tecnológico RFID.

La última charla del día fue a cargo de Oscar Delgado, del CSIC, al que conocí primero en las charlas FIST y con el que luego coincidí en el CIBSI 2007. He de decir que esta charla la había visto ya cuando decidimos pasarnos por las FIST mi “pajarraco” de los Santos y yo tras el Security Day dónde hablamos de algo similar. Además, el salir de copas con David Barroso, de Los Santos y comer algo con Bernardo Quintero de vez en cuando, hace que esté muy al día de estas técnicas pero no por ello dejó de ser interesante.

Analysis of new threats to online banking authentication schemes

La charla muestra cómo funcionan los troyanos bancarios hoy en día y cómo se van adaptando a cada uno de los entornos de autenticación que pone la banca hoy en día. Hay que decir que el objetivo de esta charla era demostrar que la banca, utilice el modelo de autenticación que utilice, puede ser atacado desde un troyano bancario situado dentro del equipo y que por tanto, mientras no se pueda garantizar la seguridad de la plataforma cliente, la banca online será insegura.

Con esta charla acabó mi primer día de participación en el RECSI en dónde yo hablé de mis cositas de LDAP & Blind LDAP, ya sabéis. Ya os contaré más cosas.....

Saludos Malignos!

***************************************************************************************
- X RECSI (I de III)
- X RECSI (II de III)
- X RECSI (III de III)
***************************************************************************************

Solucionario Reto Hacking VI por Dani Kachakil - Parte II

***************************************************************************************
- Solucionario Reto Hacking VI por Dani Kachakil - Parte I
- Solucionario Reto Hacking VI por Dani Kachakil - Parte II
***************************************************************************************

Parte 2: Subir nota

Como no queremos conformarnos con ese miserable cuarto de punto que obtenemos al superar la primera fase, vamos a intentar subir nota superando también la segunda y última fase del reto. Al acceder a esta parte, nos encontraremos con un ejercicio curioso para hacer en casa. Nos descargamos un fichero PNG y tenemos que responder a la pregunta de cómo se puede hacer mate en un solo movimiento si jugamos con las blancas.

Fichero PNG
Cualquiera que conozca las reglas del ajedrez sería capaz de determinar rápidamente que con esa disposición de piezas no hay forma de hacer mate en una sola jugada, sino que hacen falta dos: adelantar el peón a E8 (promocionando a dama) y moviendo la torre de F2 a F7.

Parece que la pregunta tiene truco, así que intentamos introducir diferentes movimientos (incluso aunque sean inválidos) y otras cadenas de texto buscando alguna vulnerabilidad sin éxito. La pista decía que teníamos que agudizar la vista, que la cosa va de partes otra vez y el enunciado de la propia fase nos indica que el ejercicio lo tenemos que trabajar en casa. ¿Será otra prueba de esteganografía?...

Hay un pequeño detalle que me llamó la atención y es que a pesar de que el formato PNG no tiene pérdida de calidad, la imagen del tablero no era del todo nítida, como si estuviera comprimida en JPEG. Parece que la elección del formato no ha sido casual, pero no vemos nada especial en la imagen y tampoco en la metainformación que podría contener.

Vamos a documentarnos un poco sobre el formato PNG, ya que conociendo su estructura interna tal vez encontremos algo útil. Es curioso que el formato defina una etiqueta específica para marcar el fin de la imagen (IEND) y es más extraño aún encontrar tanta información después de esa etiqueta. Este hecho podemos comprobarlo incluso con la funcionalidad de búsqueda del bloc de notas.

PNG en la herramienta más poderosa jamás creada
Si utilizamos un editor hexadecimal y eliminamos todo el contenido que aparece después de la etiqueta IEND, comprobamos que el nuevo fichero generado se visualiza exactamente como estaba, así que deducimos que esa parte realmente no pertenece a la imagen y que a su vez es ignorada por el código que está renderizando el PNG. Por otro lado, entre tanto texto ilegible también llama la atención encontrarnos con el texto "Rar!" justo después del final de la imagen. Caracteres que casualmente coinciden con los de la cabecera de cualquier fichero comprimido con RAR. En realidad esta técnica se puede considerar como aplicación de esteganografía, ya que logra el objetivo de esconder un mensaje (en forma de fichero) dentro de otro.

Ahora solamente nos queda extraer esa parte interesante (desde "Rar!" hasta el final del fichero), guardándola como nuevo fichero con la extensión ".rar", volcando el contenido con algún editor hexadecimal. También se podría haber renombrado el PNG directamente sin modificarlo, aunque no sé si esto dependerá de la implementación del descompresor que usemos (como mínimo parece funcionar bien con el WinRAR v3.50)

Sin embargo, al abrir el fichero comprimido nos encontramos con un último paso, ya que se encuentra protegido por contraseña, pero probando con "garrupito" conseguimos abrirlo (de no haber sido tan trivial, tendríamos que haberlo hecho con fuerza bruta). Dentro del RAR encontramos otro fichero PNG en el que está la solución que ya conocíamos: más o menos dice que es imposible resolverlo en un solo paso. El reto termina introduciendo la frase exacta (incluyendo algún error ortográfico que aparecía por ahí).

Agradecimientos y comentarios

En esta ocasión el reto se publicó a la hora prevista (20:00) con una puntualidad increíble, lo cual se agradece. También me ha gustado la idea de mostrar la tabla de concursantes, ya que contenía información interesante como la hora de registro de cada uno, la evolución por fases en tiempo real, el tiempo invertido en cada una de ellas, etc.

Esperemos que la próxima vez las pistas sean un poco menos rebuscadas y más útiles (tal vez la insistencia en profundizar en la pista de Alonso era innecesaria). Tampoco estaría de más que no se permita el acceso a los ensamblados de la aplicación ASP.NET ni a los ficheros de log, que siempre hay algún copión suelto por ahí, aunque reconozco que la técnica usada para ello es muy buena y no se me habría ocurrido… ;-)

Gracias a los que han hecho posible este reto (Chema, Rodol, Álex y Filemaster). Gracias a las ideas y puntualizaciones de RoMaNSoFt, Mandingo y Palako, que han enriquecido este documento. Gracias a SealTeam por hacernos pasar un rato divertido jugando un poco con alguna DLL de este reto y del anterior. En general, gracias a todos los que habéis participado en este reto y, como siempre, gracias a ti que estás leyendo esto, esperando que te haya sido de utilidad.

Saludos, Daniel Kachakil.
***************************************************************************************
- Solucionario Reto Hacking VI por Dani Kachakil - Parte I
- Solucionario Reto Hacking VI por Dani Kachakil - Parte II
***************************************************************************************

Mini-Tutorial de Esteganografía/Estegoanálisis.Técnica Sustitutiva LSB by Alfonso Muñoz

FASE 3 - Parte Esteganografía

Estimados "malignos", hace aproximadamente un mes. Chema y yo coincidimos en el CIBSI2007, donde presentaba oficialmente (más o menos) mis impresiones sobre mi herramienta estegoanalítica beta StegSecret. Chema me comentó que le resultaría muy interesante publicar algún que otro tutorial sobre esteganografía/estegoanálisis, ya que a "sus chicos..." les gustan las sensaciones nuevas ;)

Aprovechando el Reto Hacking V se introdujo una pequeña imagen con información oculta de forma secuencial en los LSB (Least Significant Bit) de cada pixel de la imagen, para probar un poco al personal y como escusa para introducir este mini-tutorial.

Empezemos con un mini-tutorial introductorio sobre esteganografía/estegoanálisis y técnicas sustitutivas LSB aplicadas a ficheros BMP, sin base matemática, de momento, en un futuro (maligno mediante) más...

El término Esteganografía se define como la ciencia y/o arte de ocultar una información dentro de otra, que haría la función de “tapadera” (estegomedio o cubierta). En la criptografía, en cambio, no se oculta la existencia del mensaje sino que se hace ilegible para quien no esté al tanto de un determinado secreto (la clave). En actualidad, es muy interesante la combinación de ambas.

El término Estegoanálisis se define como la ciencia que estudia la detección (ataques pasivos) y/o anulación (ataques activos) de información oculta en distintas tapaderas, así como la posibilidad de localizar la información útil dentro de la misma (existencia y tamaño).

Dependiendo del proceso empleado para ocultar la información, su recuperación puede ser inviable, correspondiendo su inversión a la ciencia del criptoanálisis. Piensese, por ejemplo, en el cifrado de una información utilizando un algoritmo criptográfico “seguro” (¿?) y la utilización de un PRNG (Pseudo-Random Number Generator) para seleccionar las posiciones donde se ocultara la información dentro de un estegomedio dado al aplicar una técnica sustitutiva, por ejemplo, LSB.

El estegoanálisis en casos muy concretos se convierte en una tarea trivial, pero en general, es un tema complejo y de difícil aplicación, principalmente por el número enorme de medios de información que existen (cantidad) y por la variedad de técnicas esteganográficas en estos medios.

En este mini-tutorial introductorio voy a centrar la atención en el estegomedio más utilizado: las imágenes digitales, y especialmente, los ficheros BMP por su sencillez.

Una de las técnicas más antiguas y difundidas es la técnica de sustitución LSB (Least Significant Bit). Esta técnica se basa en dos principios simples:

a) La modificación de los bits menos significativos de la codificación de los pixeles de una imagen no introduce un "ruido visual", en general, suficiente para levantar sospechas a una persona que vea una imagen que contiene información oculta.

b) La información almacenada "naturalmente" en los LSB es aleatoria, con lo que su modificación para introducir información oculta no proporcionaría pistas adicionales a un analista.

La primera afirmación a), en general, se cumple, pero la segunda es falsa, más adelante veremos porqué.

Existen distintas maneras de aplicar una técnica sustitutiva LSB dependiendo del estegomedio elegido, en un formato BMP, en general, en la codificación de los pixeles de la imagen, en un fichero GIF, por ejemplo, a los indices que apuntan a la paleta de colores, en un formato JPEG a los coeficientes cuantificados DCTs, etc, etc.

En el Reto V escogimos el formato BMP (cuando hablo de BMP me refiero aquí al Windows BMP) por ser, en general, un formato sin compresión con lo cual permitiría a cualquiera que intentará detectar la información oculta acceder directamente a la codificación de los pixeles. Además, la información se ocultó en el 1erLSB de cada octeto de la zona de los pixeles, con lo que más fácil imposible....

Es posible utilizar cualquier bit de la codificación de un pixel para ocultar una información, pero el ruido introducido, por ejemplo, visual, el bastante notorio para los bits de mayor peso.

[Inserción/Extracción de información]

La cabecera de los ficheros BMP: Tipo (2 byte) + Tamaño Archivo (4 bytes) + Reservado (4 bytes) + Distancia a los pixeles (4 bytes), incluye información para posicionarnos en la codificación de los pixeles de la imagen. Dependiendo de la resolución de la imagen, los pixeles pueden estar codificados de diferentes formas: 1,4,8,16,24,32 bits/pixel.

Por ejemplo, en una resolución típica, de 24 bits/pixel, cada pixel de la imagen se representa con 3 octetos, en este caso uno para el nivel de rojo, otro para el nivel de verde y otro para el nivel de azul, escala RGB.

La codificación de los pixeles es importante a la hora de decidir como ocultar un información, porque esto puede ayudar a dificultar la detección a un potencial estegoanalísta. Es más, puede engañar a algoritmos de detección muy precisos.

En general, la técnica sustitutiva LSB se puede aplicar a los pixeles de la forma que se desee y en el orden que se quiera.

De forma secuencial, pseudoaleatoria, mezcladas, etc. Por ejemplo, en una imagen de 24 bits/pixel (3 octetos), podríamos ocultar en ciertos pixeles sólo información en su octeto de Rojo, en otros en el de azul, etc.

[Consideraciones mínimas de seguridad]

Hace unos años se demostró que la aplicación de un técnica sustitutiva LSB sobre los pixeles de una imagen, independientemente de como se seleccione los pixeles, deja rastros traceables, mayores cuanto mayor sea el mensaje oculto.

A lo largo de la joven historia del estegoanálisis, algunos ataques han mostrado su validez, unos mejores otros peores.

Uno muy clásico son los ataques Visuales que mediante filtrados alertan visualmente de la presencia de información oculta, (aunque depende de la imagen) presenta resultados notorios, por ejemplo, cuando una imagen almacena información oculta aplicando LSB de forma secuencial sobre alguna zona de pixeles de la imagen. De hecho, aunque la información almacenada es muy pequeña si haceis un ataque Visual (LSB-0) con StegSecret a la imagen del RetoV, observareis a bajo a la izquierda un "pequeño patrón".

Por cierto, os lanzo una pregunta facil-facil, ¿si modificamos los LSB al principio del fichero BMP porqué al hacer el ataque Visual vemos modificaciones en la parte de abajo de la imagen y no en la de arriba como debería ser?

Aunque necesitaría un post, por cada uno, para explicarlos medianamente, en general, los algoritmos estegoanalíticos más famosos son los algoritmos estadísticos/estimadores, que se centran en la detección de información oculta con una cierta técnica de ocultación más o menos sofisticada. Existen otros tipos de algoritmos nuevos más prometedores.. pero esto en otra ocasión.

Voy a comentar brevemente 2 algortimos estadísticos/estimadores (ver StegSecret).

El ataque ChiSquare, se basa en estudiar las frecuencias de una pareja de valores y aplicarles un test estadístico chiSquare.

Dado unas condiciones de partida, analizando como se parecen los valores de la pareja se puede estimar la probabilidad de modificación de bits de la imagen, y en consecuencia detectar la presencia de información oculta, y estimar el tamaño de la información enmascarada. Es útil, por ejemplo, para una detección de LSB secuencial o LSB pseudoaleatorio cuando hay más de un 97% de ocupación(aprox) de la cubierta. Dependiendo de como se eliga los valores de la pareja y en que zona de la imagen se aplique el ataque ChiSquare puede tener éxito en su detección o no...

El ataque RS (RS viene del nombre de clasificación de grupos de pixels, R=Regular, S=Singular) es un ataque muy preciso para la detección de mensajes ocultados de forma pseudoaleatoria. Precisión, en torno, a modificaciones de 0'003 bits/pixel.

Cualquiera de estos ataques se pueden aplicar a distintos formatos gráficos y con diferentes codificaciones. Tipicamente, se puede ver su utilidad en imágenes RGB. En general, yo no recomiendo utilizar imágenes para ocultar información, en un futuro justificaré más porqué...

De todas formas, si un usuario lo desea existen unas recomendaciones mínimas de seguridad a cumplir:

a) La elección de la cubierta es muy importante, única por cada transmisión. Se recomienda imágenes de alta resolución (imágenes escaneadas o tomadas con cámaras digitales) o imágenes en escala de grises.

Por ejemplo, la imágen utilizada para el Reto V es una mala imagen. Al ser un imagen con amplias zonas de colores uniformes la sustitución LSB es apreciable en la imagen original. ¿Os habiais dado cuenta?.

b) Si aplicamos una técnica sustitutiva (existen otras, todo a su tiempo) a menor información ocultada menor es la probabilidad que las alteraciones producidas permitan a un analista detectar la presencia de información oculta. Basicamente esto se puede hacer de dos maneras:

b1) Ocultando menos información. Esto se puede hacer de multiples formas, y no necesariamente usando compresión. Existen procedimientos muy útiles de matrices de codificación, etc.... (hablaremos en un futuro).

b2) Distribuyendo una información en más de una cubierta. Por ejemplo, StegPage.

Y hasta aquí este breve tutorial.

Me gustaría, aprovechar y comentar unas cuestiones mínimas sobre StegSecret relacionadas con comentarios de gente en Internet que he estado leyendo y, que son erróneas.

En primer lugar, StegSecret es una herramienta de detección (estegoanálisis) con lo cual no se tiene que comparar con herramientas de ocultación (esteganografía)... En segundo lugar, StegSecret implementa, en general, dos tipos de procedimientos. Detección de herramientas esteganográficas concretas que dejan rastros traceables, por ejemplo, EOF y LSB. Y por otro lado, algoritmos visuales y estadísticos que se centran en técnicas de ocultación (no en herramientas concretas que la utilizan), por tanto es genérico. Se centran en LSB secuencial y pseudoaleatorio.

Leyendo por ahí, veo que la gente no ha comprendido muy bien que es una técnica EOF. Asique lo indico rapidamente. Existen multitud de formatos de ficheros que si añades una información al final del mismo, esto no altera su funcionamiento. Pobrad a añadir información a un: .exe, .doc, .ppt, .wav, .mp3, .jpg, .png, .gif, .bmp, etc, etc.

Un técnica muy tontorrona pero que es más o menos dificil de automatizar su detección, en StegSecret, por ejemplo, se analiza la estructura de ciertos formátos gráficos para detectar esta presencia de información, independientemente de la herramienta de ocultación que la haya puesto.

Bueno dicho lo dicho, espero que haya sido útil este minitutorial, no muy básico y nos veremos en un futuro.... o no.

Alfonso Muñoz
http://stegsecret.sourceforge.net/

¿Stego que? ¡Stegoanálisis! ¡StegoSecret!

En el viaje a Argentina coincidí con un compañero de esucela que me estuvo contando sus paranóis sobre la teoría de la conspiración, el mundo del espionaje y el telón de acero. Entre esas cosas me contó el señor Alfonso que estaba con una herramienta de Stegoanálisis.

"¡Coño! ¿y eso saca información a que no ves?"

Después de darme unas lecciones aprendí que lo primero y más importante es detectar que esa información "existe". Allí, pactamos realizar una colaboración en cierto trabajillo que iba a publicarse por el lado del mal.

Ayer hizo pública la versión 0.1 de la herramienta en la que ha estado trabajando StegoSecret.

StegoSecret realizanod el ataque Chi Square
Esta herramienta implementa una serie de análisis de ficheros gráficos para detectar la posible existencia de información oculta dentro de archivos gráficos:

Análisis 1: Detección de Patrones

StegoSecret detecta información incluida en un fichero gráfico por una lista de aplicaciones de esteganografía conocidas. Estas implementana los algoritmos EOF (Información al final del fichero) o LSB (Bit menos significativo). La lista de las aplicaciones detectadas: camouflage V1.2.1, inThePicture v2, JPEGXv2.1.1, PGE (Pretty Good Envelope) v1.0, appendX v<=4, steganography v1.6.5, inPlainView, DataStash v1.5 y dataStealth v1.0.

Análisis 2: Reconocimiento de estructura de fichero

La herramienta busca cualquier anomalía en la composición de la estructura de un fichero. Estas anomalías en la composición de la estructura de un BMP, un JPEG o un fichero GIF pueden significar la existencia de información oculta.

Análisis 3: Estegoforenses

Esta utilidad ayuda a los Forenses a detectar herramientas de esteganografía en un ordenador que se encunetra bajo análisis. Lleva una base de datos de 40 aplicaciones de esteganografía y las rastrea en un equipo.

Análisis 4: Análisis de Imágenes

De momento sólo para ficheros BMP, pero implementa los sigueintes análisis:

* Ataques Visuales (basados en las ideas de Andreas Westfeld)
* Ataque estadístico ChiSquare (Andreas Westfeld et al). Utilizado para detección de LSB secuencial y estimación de tamaño de información oculta.
* Attacks on Steganographic Systems, Andreas Westfeld & Andreas Pfitzmann

* Ataque RS (Jessica Fridrich et al). Utilizado para detección de LSB pseudoaleatorio y estimación de tamaño.

Puedes descargarte las herramientas, el manual y toda la documentación de la web dedicada al proyecto: http://stegsecret.sourceforge.net/

¡Buen trabajo Alfonso! Saludos Malignos!