Esteganografía: Descubriendo archivos ocultos con xsteg.

  • 0

Esteganografía: Descubriendo archivos ocultos con xsteg.

Lo complicado en la esteganografía es detectar si el archivo que hemos recibido tiene o no un archivo oculto. El método tradicional es abrir el fichero con un editor hexadecimal como Hex Editor y analizar el fichero con detenimiento, pero si queremos algo más sencillo necesitamos un software que nos automatice un poco el proceso, por ejemplo, tenemos en la distribución C.A.IN.E el programa xsteg, un interfaz gráfico simple de la aplicación stegdetect que nos permite analizar el fichero .jpg aplicándole tests y distintos grados de sensibilidad al escaneo.

Para utilizarlo simplemente lo abrimos desde el menú inicio de C.A.IN.E y nos vamos al submenú de forensic tools, en éste menú disponemos de un amplio catálogo de herramientas de informática forense.

forensic_tools_caine

En este caso he hecho la prueba con la imagen que usé en el anterior post de steghide, en la cual escondimos un pequeño documento con extensión .txt
En los dos primeros escaneos el programa me devolvió que no tenía ningún fichero oculto, ¿Cómo que no?. En el siguiente test aumentamos la sensibilidad de 1.60 a 5.60 y en este caso sí nos dio positivo en la prueba de jphide.

captura_xsteg

Cuando ya sabemos qué puede contener sólo nos queda abrirnos una consola y ejecutar steghide para sacar datos más concretos, en el caso que el fichero oculto no estuviese cifrado. Si tuviese una password, todavía podemos intentar averigurarla con stegbreak, un software que también está incluido en la distribución C.A.IN.E con el que podremos pasarle un diccionario para hallar la contraseña por fuerza bruta.
Si queremos profundizar un poco más en los escaneos a ficheros .jpeg debemos revisar el manual de stegdetect, donde podremos encontrar los distintos tipos de test que le podemos pasar a nuestra imagen.

stegdetect_manual_tests

Hay proyectos españoles de estegoanálisis como StegSecret, el cual engloba características tan interesantes como poder analizar BMP y GIF además de jpeg, la implementación de algoritmos que detectan información ocultada con técnicas LSB en píxeles elegidos de forma secuencial y/o pseudoaletoria (chi-square, rs-attack, etc), ocultación en coeficientes DCTs en JPEG, en paleta de ficheros GIF, ocultación en ADS, ocultación en fragmentación interna, ocultación en lenguajes interpretados (HTML, XML, etc). Podemos echar un vistazo a su página web .


  • 0

Esteganografía: Ocultar ficheros con steghide.

Podemos ocultar ficheros dentro de otros ficheros “portada” de mil formas distintas. Para este post usaremos una distribucion GNU/Linux llama C.A.I.N.E, contiene una suite bastante completa de aplicaciones destinadas al campo de Informática Forense. Dentro de esta distribución podremos encontrar integrado el steghide.

Imagen_caine

Steghide  es un programa de estenografía que permite ocultar datos en varios tipos de imagen y archivos de  audio. Sus características incluyen el compactado y el encriptado de los datos adjuntos, y revisión automática de integridad usando  un  checksum. Se reconocen los formatos de archivo JPEG, BMP, WAV y AU para usar como archivos de portada. No existen  restricciones en el formato de los datos ocultos.

Cuando nos referimos a usar archivos de portada, queremos decir que de por sí el archivo contenedor de nuestro archivo secreto se va a poder abrir y mostrar un contenido además de almacenar nuestro archivo dentro. En cuanto al número de archivos de portada nos permiten sólo JPEG, BMP, WAV y AU, dependiendo del tamaño del archivo que queramos esconder, elegiremos uno u otro.
Sobre esconder los archivos sin que el archivo “stego” tenga portada, steghide puede con cualquier formato de archivo.

Ejemplos de steghide:

Ejemplo de comando para extraer.
$ steghide extract -sf imagen.jpg

Este comando incluye dentro de pepito.jpg el fichero secreto.txt
$ steghide embed -cf pepito.jpg -ef secret.txt

Ahora necesitamos imagenes en jpg, o algún archivo donde ocultar algo, para ello ejecutamos el siguiente comando:
find / -name *.jpg
o también nos vamos directamente al directorio de background:
/usr/share/backgrounds/

Ocultamos un fichero.txt dentro de una imagen jpg con el siguiente comando:

steghide -cf  <nombre_archivo_cobertura> -ef <nombre_archivo_a_ocultar>

Cuando lo ejecutemos nos pedirá introducir un password (salvoconducto):

Ocultando_con_steghide

Para saber la información del archivo ejecutamos el siguiente comando:

$ steghide info archivo.jpg

Si introducimos una contraseña incorrecta no nos devolverá ninguna información del archivo oculto. Ahora vamos a ver qué información nos brinda steghide sobre el fichero que acabamos de crear, para ello usamos el siguiente comando:

steghide info <nombre_archivo.bla>

Y nos da la siguiente información:

Steghide_info_jpg

En resumidas cuentas, con este software podemos enviar información a salvo, para añadirle un grado más de seguridad se recomienda cifrar el contenido del fichero embebido, así si por alguna remota casualidad lo descubre el enemigo, todavía tendrán que desencriptarlo.

Un Saludo!


  • 0

Esteganografía: Ocultación de ficheros en documentos de Microsoft Office

La esteganografía trata del estudio y aplicación de técnicas que permitan ocultar mensajes dentro de otros mensajes llamados “portadores”, de modo que si un enemigo intercepta el mensaje portador no detectará el mensaje oculto que figura dentro de éste. La palabra esteganografía viene del griego steganos (oculto) y graphos (escritura). A lo largo de la historia se han visto distintos tipos de implementación de la esteganografía, en la antigua Grecia tatuaban en la cabeza afeitada de los mensajeros algunos mensajes cortos e importantes, y esperaban a que el pelo creciera para enviarlos.
Otro caso histórico fue el de la población de china al rebelarse contra el poder de Mongolia. En este caso la población recibió el mensaje en unos pasteles típicos, los moon cakes, y así pudieron iniciar la revuelta que daría paso a la dinastía Ming.

En los primeros tiempos de la imprenta, era común para mezclar diferentes tipos de letra en una página impresa por la impresora no tener suficientes copias de algunas cartas de otro tipo. Debido a esto, un mensaje podría estar oculto utilizando 2 tipos de letra diferentes, como normal o cursiva.

Otro caso algo más cercano fue el de Jeremías Denton el cual parpadeó varias veces en código morse durante la conferencia de prensa televisada en 1966, la cual se vio obligado a hacer por sus captores norvietnamitas, el contenido del mensaje era la palabra “tortura”. Esto confirmó por primera vez que los militares estadounidenses (prisioneros de guerra) estaban siendo torturados en Vietnam del Norte.
En cualquier caso, el tiempo avanza y el concepto de esteganografía se acopla a la tecnología.
Actualmente la esteganografía es utilizada por algunas impresoras, como las impresoras láser en color de la marca Xerox las cuales imprimen una serie de puntos amarillos minúsculos que se añaden a cada página. Los puntos son apenas visibles y contienen números de serie de la impresora codificados, así como la fecha y la hora.
En este caso veremos cómo podemos ocultar archivos dentro de un fichero de Microsoft Word (.docx) y para ello, tan sólo necesitaremos una herramienta, el famoso Winrar o cualquier otro programa del estilo.
Los documentos de Microsoft Office tienen una estructura de XML, por tanto al renombrarlos como zip podremos abrirlos como un archivo ZIP XML. Con ese fácil gesto tendremos acceso al contenido del fichero .docx , Winrar soporta los archivos de word 2007/2010 así que no tenemos problemas con las extensiones, simplemente hacemos click en “Abrir con” y seleccionamos Winrar.

cap_abrircon_winrar

Una vez abierto podemos investigar un poco y fijarnos dónde guarda las imágenes, en el caso de los archivos .docx los guarda en /word/media aunque esta regla es aplicable a cualquier documento de Microsoft Office 2007/2010. En el caso de los ODT de Open Office también pasa lo mismo, al renombrarlos a zip podremos abrirlos con el Gestor de Archivadores de GNU/Linux. En su caso podemos ver las imágenes en la carpeta “pictures”.

Captura de un fichero .odt abierto con el Gestor de Archivadores de Ubuntu:

captura_estructura_odt

En el caso de los ficheros de Microsoft Office debemos resptar la nomenclatura de los nombres, si no al abrirlo, nuestro fichero máscara fallará y Office no podrá abrir el archivo, para ello tenemos en cuenta el nombre “image<numero>.jpeg”. estructura_docx_winrar

Renombrando el archivo que queramos a esa nomenclatura, podremos meter lo que queramos dentro hasta un máximo de 512 Mb en los archivos de Microsoft Word. La capacidad se incrementa en los archivos .pps en los cuales puedes albergar más de 1,5 Gb. Lo único que falta es configurarnos un contenedor cifrado con truecrypt e incluirlo en nuestro fichero para tener un fichero esteganográfico que sea lo más difícil de desencriptar posible.

Un Saludo!