e-mail:
(044) 239-21-47

Використання технології IP-телефонії для прихованої передачі інформації

Використання технології IP-телефонії для прихованої передачі інформації

19 листопада 2014

Анотація: у статті висвітлюються сучасні методи цифрової стеганографії, які використовують для вбудовування прихованої інформації потокові контейнери, а саме пакети передачі даних в реальному часі, застосовувані в IP-телефонії.

Постановка проблеми. Методи стеганографії відомі вже багато століть, але сьогодні завдяки розвитку комп’ютерної техніки та телекомунікаційних технологій став відомим новий вид прихованої передачі даних – цифрова стеганографія.

Нагадаємо, що стеганографія – наука про приховану передачу інформації шляхом збереження в таємниці самого факту передачі.

Цифрова стеганографія ґрунтується на прихованій імплантації додаткової інформації у цифрові об’єкти (як правило, мультимедійні файли – цифрові зображення, відео, аудіо). При цьому відбувається деяке спотворення цих об’єктів, але на рівні, що знаходяться нижче межі сприйняття людиною, не приводить до помітних змін цих об’єктів та ускладнює їх викриття.

Із розвитком та удосконаленням технологій передачі інформації комп’ютерними мережами з’являються нові різноманітні методи непомітної передачі інформації. Це відкриває велику перспективу для тих, хто хоче непомітно передавати повідомлення через будь-які кордони та створює небезпеку для установ, які опікуються захистом інформації від несанкціонованого витоку.

Метою статті є висвітлення сучасних досягнень іноземних фахівців із використання IP-телефонії для прихованої передачі даних на великі відстані, які підтверджені проведеними експериментами.

Аналіз останніх досліджень і публікацій з організації прихованих віртуальних каналів у телекомунікаційних мережах на базі стека протоколів TCP/IP свідчить, що на сьогодні цей напрям маловивчений.

IP-телефонія як прихований носій інформації був виявлений дослідниками досить пізно. Ці методи стеганографії були розроблені із двох різних за походженням досліджень. По-перше, від традиційних графічних і звукових стеганографічних контейнерів.

По-друге, від прихованих каналів, створених у різних мережевих протоколах (наприклад, протокол сигналізації – SIP, транспортний протокол – RTP і протоколу управління – RTCP).

Перші стеганографічні VoIP методи, які використовували голосовий потік як прихований носій інформації, були запропоновані Діттманн (Dittmann) із співавторами у 2005 році. Учені запропонували оцінку існуючої стеганографії з особливим акцентом на рішеннях, які підходять для VoIP. Ця робота була пізніше розширена й опублікована у 2006 році. У праці був описаний інструмент SteganRTP для вбудовування стеганограм, використовуючи молодший біт (LSB) із кодеку G.711. Ванг (Wang) та Ву (Wu) в роботі “Інформація, прихована у VoIP потоках” також запропонували використовувати молодші біти, але ці біти кодувалися з використанням кодеку Speex. У праці “Оцінка загрози VoIP прихованого каналу” Такахаші (Takahashi) і Лі (Lee) запропонували аналогічний підхід, створивши прихований канал шляхом вбудовування та подальшого стиснення голосових даних у звичайному голосовому трафіку, заснованому на інмульсно-кодовій модуляції. Проблеми використання потокових стеганографічних контейнерів, зокрема протоколів IP-телефонії, найбільше досліджені були спеціалістами із проблем мережевої безпеки Варшавського Технологічного Університету Войцехом Мазурчеком (Wojciech Mazurczyk ) і Кжиштофом Джипйорским (Krzysztof Szczypiorski), які провели низку експериментів із використання VoIP сервісів для передачі таємних повідомлень, про що вони доповіли на четвертій міжнародній конференції з питань глобальної електронної безпеки в Лондоні.

Деякі аспекти з цієї проблематики вивчав В.Орлов (дисертація на здобуття вченого ступеня кандидата технічних наук “Методи прихованої передачі інформації в телекомунікаційних мережах”) [1].

Виклад основного матеріалу. При застосуванні стеганографічних методів об’єкт, в якому міститься приховане повідомлення, називається “стеганографічним контейнером”. Контейнери поділяються на фіксовані та потокові.

Особливістю потокового контейнера є те, що неможливо визначити його початок або кінець. Більше того, немає можливості дізнатися заздалегідь, якими будуть наступні шумові біти, що призводить до необхідності включати біти прихованого повідомлення в потік у реальному масштабі часу, а самі, скриваючи біти, вибираються за допомогою спеціального генератора, що задає відстань між послідовними бітами у потоці.

У безперервному потоці даних найбільша складність для отримувача – визначити, коли починається приховане повідомлення.

За наявності у потоковому контейнері сигналів синхронізації або меж пакету, приховане повідомлення починається відразу після одного із них. У свою чергу, для відправника можуть бути проблеми, якщо він невпевнений у тому, що потік контейнера буде досить довгим для розміщення цілого таємного повідомлення [2].

Останнім часом набули популярності методи, коли прихована інформація передається через комп’ютерні мережі із викори станням особливостей роботи протоколів передачі даних. Такі методи отримали назву мережева стеганографія”. Цей термін уперше увів Кжиштоф Джипйорскі (Krzysztof Szczypiorski) в 2003 році.

Типові методи мережевої стеганографії включають зміну властивостей одного з мережевих протоколів. Крім того, може використовуватися взаємозв’язок між двома або більше різними протоколами з метою більш надійного приховування факту передачі таємного повідомлення [3].

Мережева стеганографія охоплює широкий спектр методів, зокрема:

  • WLAN стеганографія ґрунтується на методах, які використовуються для передачі стеганограм у бездротових локальних мережах (Wireless Local Area Networks). Практичний приклад WLAN стеганографії – система HICCUPS (Hidden Communication System for Corrupted Networks).
  • LACK стеганографія – приховування повідомлень під час розмов із використанням IP-телефонії, наприклад, використання пакетів, що затримуються або навмисно пошкоджуються та ігноруються приймачем (цей метод називають LACK – Lost Audio Packets Steganography), або приховування інформації в полях заголовку, які не використовуються.
  • VoIP (англ. voice over IP) – технологія передачі медіа-даних у реальному часі за допомогою сімейства протоколів TCP/IP. IP-телефонія – система зв’язку, при якій аналоговий звуковий сигнал від одного абонента дискретизується (кодується в цифровий вигляд), компресується і пересилається по цифрових каналах зв’язку до іншого абонента, де проводиться зворотна операція – декомпресія, декодування і відтворення. Розмова відбувається у формі аудіопотоків за допомогою протоколів RTP (Real-Time Transport Protocol) [4].
  • LACK – це метод стеганографії для IP-телефонії, який модифікує пакети із голосовим потоком. Він використовує те, що в типових мультимедійних комунікаційних протоколах, таких як RTP, надмірно затримані пакети вважаються приймачами марними і відкидаються.

Принцип функціонування LACK виглядає таким чином (рис. 1). Передавач (Аліса) вибирає один із пакетів із голосового потоку і його корисне навантаження замінює бітами таємного повідомлення – стеганограмою, яка вбудовується в пакет V3 (1). Потім обраний пакет навмисно затримується (2). Кожного разу, коли надмірно затриманий пакет досягає отримувача, незнайомого із стеганографічною процедурою, він відкидається. Однак, якщо отримувач (Боб) знає про прихований зв’язок, то замість видалення отриманих RTP пакетів, він вилучає приховану інформацію [5].

 

           Рис. 1. Принцип функціонування LACK

Пропускна спроможність цього методу дає змогу передавати до 1.3 Mb інформації за один сеанс зв’язку тривалістю майже 9 хвилин (середня тривалість викликів для IP-телефонії) в обох напрямах.

Чим більше прихованої інформації вставляється в голосовий потік, тим більша ймовірність того, що вона буде виявлена скануванням потоку даних або застосуванням інших методів стегоаналізу; чим більше аудіопакетів використовуються для вбудовування стеганограм, тим більше погіршення якості зв’язку IP-телефонії. Таким чином, процедура уведення прихованих даних повинна бути ретельно підібрана і контролюватися, з метою зведення до мінімуму ймовірності виявлення замаскованих даних та щоб уникнути надмірного погіршення якості звуку. 

Продуктивність LACK залежить від багатьох факторів, які можуть бути розділені на три групи:

  • пов’язані фактори: тип кодека голосу, що використовується (зокрема, його стійкість до втрат пакетів і якість голосу), розмір корисного навантаження RTP пакетів і розмір джиттер-буферу;
  • мережеві чинники, пов’язані із затримками пакетів та ймовірністю втрат;
  • LACK чинники, пов’язані з кількістю навмисно затриманих пакетів RTP.

Кращим вибором із LACK цілей у процесі експериментів виявився кодек G.711. Він може підтримувати втрати пакетів більше 5 % і при цьому забезпечити прийнятну якість голосу. Водночас на основі G.711 LACK забезпечує найбільші стеганографічні пропускні можливості. Наприклад, при втраті пакетів на рівні 1 % він пропонує майже 590 біт/с. Така продуктивність досяжна тому, що розмір корисного навантаження кожного пакета RTP становить 160 байт, що значно більше, ніж при використанні будь-якого іншого обраного кодека. Порівняння швидкості передачі стеганограми різними кодеками залежно від втрати пакетів наведено на рисунку 2.

Рис. 2. Порівняння швидкості LACK залежно від методів кодування

Стегоаналіз LACK важко виконати, тому що втрати пакетів в IP-мережах “природне явище”. Така ситуація може бути викликана, наприклад, переповненням буфера деякого проміжного пристрою завдяки вузькому місцю у мережі. Результати дослідження свідчать, що при виконанні інтернет-дзвінків приблизно 0,5 % пакетів RTP втрачаються і майже 2 % викликів призводить до переповнення буферу. Таким чином, втрати від застосування LACK не легко виявити, якщо вони знаходяться на прийнятному рівні [6].

Потенційні методи стегоаналізу LACK містять:

  1. Статистичний аналіз втрачених пакетів для дзвінків у підмережі. Цей тип може бути заснованим, наприклад, на інформації, що міститься у звітах RTCP про загальну кількість втрачених пакетів під час обміну між користувачами. Якщо для деяких викликів кількість втрачених пакетів вище середнього, цей критерій може бути використаний як вказівка на застосування LACK.
  2. Статистичний аналіз, заснований на тривалості VoIP викликів. Якщо тривалості викликів для певної підмережі відомі, то статистичний стегоаналіз може виявити VoIP джерела, які виходять за певні межі (тривалість LACK викликів може бути більше порівняно з не LACK викликами у результаті уведення стеганографічних даних).
  3. Активне спостереження. Аналіз усіх RTP потоків у мережі може допомогти ідентифікувати пакети, які вже були затримані.

Висновки. Це новий вид цифрової стеганографії, який ще тільки розробляється і знаходиться на стадії експериментів. Поки що не можна сказати напевно, чи задовольнить надійність та швидкість передачі прихованих даних за допомогою RTP протоколів потребу в сталому використанні цієї технології. Але сама ідея, запропонована фахівцями з Польщі, є досить цікавою і новою. В Україні немає публікацій, які б узагальнили та висвітлили цю перспективну тему. Тому автори вирішили вивчити це питання. Сьогодні з’являються у пресі припущення, що саме таким чином деякі терористичні угруповання намагаються передавати один одному матеріали, залишаючи сам факт спілкування в таємниці. Популярність голосових розмов в інтернеті приводить до безперервного зростання обсягів трафіку VoIP. Наприклад, за даними дослідницької компанії TeleGeography, на кінець 2011 року програмою для IP-телефонії Skype користуються до 140 мільйонів людей по всьому світу. Тому слід очікувати, що будуть стрімко розвиватися і стеганографічні методи, що використовують ці канали для прихованої передачі інформації.

Автори статті: Коркач І.В., Пирогова Ю.І.