Использование технологий IP-телефонии для скрытой передачи информации
19 ноября 2014
Аннотация: в статье освещаются современные методы цифровой стеганографии, которые используют для встраивания скрытой информации потоковые контейнеры, а именно: пакеты передачи данных в реальном времени, применяемые в IP-телефонии.
Постановка проблемы. Хотя методы стеганографии известны уже много веков, в наше время, благодаря развитию компьютерной техники и телекоммуникационных технологий, получил стремительное развития новый вид скрытой передачи данных - цифровая стеганография.
Напомним, что стеганография - наука о скрытой передаче информации путем сохранения в тайне самого факта передачи.
Цифровая стеганография основывается на скрытой имплантации дополнительной информации в цифровые объекты (как правило, мультимедийные файлы - цифровые изображения, видео, аудио). При этом происходит некоторое искажение этих объектов, но на уровне, находящимся ниже границы восприятия человеком, которий не приводит к заметным изменениям этих объектов и затрудняет их разоблачение.
С развитием и совершенствованием технологий передачи информации компьютерными сетями, появляются новые разнообразные методы незаметной передачи информации. Это открывает большие перспективы для тех, кто хочет незаметно передавать сообщения через любые границы и создает опасность для учреждений, занимающихся защитой информации от несанкционированного утечки.
Целью статьи является освещение современных достижений иностранных специалистов по использованию IP-телефонии для скрытой передачи данных на большие расстояния, которые подтверждены проведенными экспериментами.
Анализ последних исследований и публикаций по организации скрытых виртуальных каналов в телекоммуникационных сетях на базе стека протоколов TCP / IP показал, что в настоящее время это направление мало изучено.
IP-телефония, как скрытый носитель информации был обнаружен исследователями довольно поздно. Эти методы стеганографии были разработаны из двух разных по происхождению исследований. Во-первых, из традиционных графических и звуковых стеганографических контейнеров. Во-вторых, - скрытых каналов, созданных в различных сетевых протоколах (например, протокол сигнализации - SIP, транспортный протокол - RTP и протокола управления - RTCP).
Первые стеганографические VoIP методы, которые использовали голосовой поток как скрытый носитель информации были предложены Диттманн (Dittmann) с соавторами в 2005 году. Авторы предложили оценку существующей стеганографии с особым акцентом на решениях, которые подходят для VoIP. Эта работа была позже расширена и опубликована в 2006 году. В работе был описан инструмент SteganRTP для встраивания стеганограм, используя младший бит (LSB) с кодека G.711. Ванг (Wang) и Ву (Wu) в работе "Информация, скрытая в VoIP потоках" также предложили использовать младшие биты, но эти биты кодировались с использованием кодека Speex. В работе "Оценка угрозы VoIP скрытого канала" Такахаши (Takahashi) и Ли (Lee) предложили аналогичный подход, создав скрытый канал путем встраивания и дальнейшего сжатия голосовых данных в обычном голосовом трафике, основанном на инпмульсно-кодовой модуляции. Проблемы использования потоковых стеганографических контейнеров, в частности протоколов IP-телефонии, наиболее исследованиы были специалистами по проблемам сетевой безопасности Варшавского Технологического Университета Войцехом Мазурчеком (Wojciech Mazurczyk) и Кжиштоф Джипйорским (Krzysztof Szczypiorski), которые провели ряд экспериментов по использованию VoIP сервисов для передачи тайных сообщений, о чем они доложили на четвертой международной конференции по вопросам глобальной электронной безопасности в Лондоне.
Некоторые аспекты по этой проблематике были также изложены в текущем году В. Орловым в диссертации на соискание ученой степени кандидата технических наук "Методы скрытой передачи информации в телекоммуникационных сетях".
Изложение основного материала. При применении стеганографических методов, объект, в котором содержится скрытое сообщение, называется "стеганографической контейнером". Контейнеры подразделяются на фиксированные и потоковые.
Особенностью потокового контейнера является то, что невозможно определить его начало или конец. Более того, нет возможности узнать заранее, какими будут следующие шумовые биты, что приводит к необходимости включать биты скрытого сообщения в поток в реальном масштабе времени, а сами скрытые биты выбираются с помощью специального генератора, задающего расстояние между последовательными битами в потоке.
В непрерывном потоке данных самая большая сложность для получателя - определить, когда начинается скрытое сообщение. При наличии в потоковом контейнере сигналов синхронизации или границ пакета, скрытое сообщение начинается сразу после одного из них. В свою очередь, для отправителя возможны проблемы, если он не уверен в том, что поток контейнера будет достаточно долгим для размещения целого тайного сообщения [ 5 ].
В последнее время приобрели популярность методы, когда скрытая информация передается через компьютерные сети с использованием особенностей работы протоколов передачи данных. Такие методы получили название "сетевая стеганография". Этот термин впервые ввел Кжиштоф Джипйорски ( Krzysztof Szczypiorski ) в 2003 году.
Типичные методы сетевой стеганографии включают изменение свойств одного из сетевых протоколов. Кроме того, может использоваться взаимосвязь между двумя или более различными протоколами с целью более надежного сокрытия передачи секретного сообщения [ 4 ].
Сетевая стеганография охватывает широкий спектр методов, в частности:
- WLAN стеганография основывается на методах, которые используются для передачи стеганограм в беспроводных сетях (Wireless Local Area Networks). Практический пример WLAN стеганографии - система HICCUPS (Hidden Communication System for Corrupted Networks).
- LACK стеганография - скрытие сообщений во время разговоров с использованием IP-телефонии. Например: использование пакетов, которые задерживаются, или намеренно повреждаются и игнорируются приемником (этот метод называют LACK - Lost Audio Packets Steganography) или сокрытие информации в полях заголовка, которые не используются.
- VoIP (англ. voice over IP) - технология передачи медиа данных в реальном времени с помощью семейства протоколов TCP/IP. IP-телефония - система связи, при которой аналоговый звуковой сигнал от одного абонента дискретизируется (кодируется в цифровой вид), копрессируется и пересылается по цифровым каналам связи другому абоненту, где производится обратная операция - декомпрессия, декодирование и воспроизведение. Разговор происходит в форме аудио-потоков, с помощью протоколов RTP ( Real - Time Transport Protocol) [2].
- LACK - это метод стеганографии для IP-телефонии, который модифицирует пакеты с голосовым потоком. Он использует то, что в типовых мультимедийных коммуникационных протоколах, таких как RTP, чрезмерно задержаные пакеты считаются приемником бесполезными и отбрасываются.
Принцип функционирования LACK выглядит следующим образом (рис.1). Передатчик (Алиса) выбирает один из пакетов голосового потока и его полезная нагрузка заменяется битами секретного сообщения - стеганограммой, которая встраивается в пакет V3 (1). Затем выбранный пакет намеренно задерживается (2). Каждый раз, когда чрезмерно задержаный пакет достигает получателя, незнакомого с стеганографической процедурой, он отбрасывается. Однако, если получатель (Боб) знает о скрытой связи, то вместо удаления полученных RTP пакетов, извлекает скрытую информацию [3].
Рис. 1 Принцип функционирования LACK
Пропускная способность этого метода позволяет передавать до 1.3Mb информации за один сеанс связи продолжительностью около 9 минут (средняя продолжительность вызовов IP - телефонии) в обоих направлениях.
Чем больше скрытой информации вставляется в голосовой поток, тем больше вероятность того, что она будет обнаружена сканированием потока данных или применением других методов стегоанализа. Во-вторых, чем больше аудио пакетов используются для встраивания стеганограм, тем больше ухудшение качества связи IP-телефонии. Таким образом, процедура введения скрытых данных должна быть тщательно подобрана и контролироваться, с целью сведения к минимуму вероятности обнаружения замаскированных данных и во избежание чрезмерного ухудшения качества звука.
Производительность LACK зависит от многих факторов, которые могут быть разделены на три следующие группы:
- Связанные факторы: тип кодека голоса, который используется (в частности, его устойчивость к потерям пакетов и качество голоса по умолчанию), размер полезной нагрузки RTP пакетов и размер джиттер-буфера.
- Сетевые факторы, связанные с задержками пакетов и вероятностью потерь.
- LACK факторы, связанные с количеством намеренно задержанных пакетов RTP.
Лучшим выбором для LACK целей, в процессе экспериментов, оказался кодек G.711. Он может поддерживать потери пакетов более 5% и при этом обеспечить приемлемое качество голоса. Одновременно, на основе G.711 LACK обеспечивает наибольшие стеганографические пропускные способности. Например, при потере пакетов на уровне 1% он обеспечивает около 590 бит/с. Такая производительность достигается тем, что размер полезной нагрузки каждого пакета RTP составляет 160 байт, что значительно больше, чем при использовании любого другого выбранного кодека. Сравнение скорости передачи стеганограмы различными кодеками, в зависимости от потери пакетов, приведены на рисунке 2.
Рис 2 Сравнение скорости LACK в зависимости от методов кодирования
Стегоанализ LACK трудно выполнить, так как потери пакетов в IP-сетях "естественное явление". Такая ситуация может быть вызвана, например, переполнением буфера некоторого промежуточного устройства, благодаря узкому месту в сети. Результаты исследования показали, что при выполнении интернет-звонков, около 0,5% пакетов RTP теряются и около 2% вызовов приводит к переполнению буфера. Таким образом, потери от применения LACK нелегко обнаружить, если они находиться на приемлемом уровне [1]. Потенциальные методы стегоанализа LACK включают в себя:
- Статистический анализ потерянных пакетов для звонков в подсети. Этот тип может быть основанным, например, для информации, содержащейся в отчетах RTCP об общем количестве потерянных пакетов при обмене между пользователями. Если для некоторых вызовов количество потерянных пакетов выше среднего, этот критерий может быть использован как указание на возможность применения LACK.
- Статистический анализ, основанный на продолжительности VoIP вызовов. Если длительности вызовов для определенной подсети известны, то статистический стегоанализа может выявить VoIP источники, которые выходят за определенные пределы (продолжительность LACK вызовов может быть больше по сравнению с не LACK вызовами в результате введения стеганографических данных).
- Активное наблюдение. Анализ всех RTP потоков в сети может помочь идентифицировать пакеты, которые уж слишком были задержаны.
Выводы. Это новый вид цифровой стеганографии, который еще только разрабатывается и находится на стадии экспериментов. Пока нельзя сказать наверняка удовлетворит ли надежность и скорость передачи скрытых данных с помощью RTP протоколов потребность в устойчивом использовании этой технологии. Но сама идея, предложенная специалистами из Польши, является достаточно интересной и новой. Несмотря на то, что ими был сделан доклад на международной конференции в Лондоне, в нашей стране нет публикаций, которые бы обобщили и осветили эту перспективную, на наш взгляд, тему. Поэтому мы решили изучить этот вопрос, и кратко довести до уважаемого читателя сам принцип, предложенного исследователями метода. Уже появляются в прессе предположения, что именно таким образом некоторые террористические группировки пытаются передавать друг другу материалы, оставляя сам факт общения в тайне. Популярность голосовых разговоров в Интернете приводит к непрерывному росту объемов трафика VoIP. Например, по данным исследовательской компании TeleGeography, на конец 2011 года программой для IP-телефонии Skype пользуются до 140 миллионов человек по всему миру. Поэтому следует ожидать, что будут стремительно развиваться и стеганографические методы, использующие эти каналы для скрытой передачи информации.
Авторы статьи: Коркач И.В., Пирогова Ю.И.