La creciente amenaza de la esteganografía basada en redes

En 2011, los investigadores del Laboratorio de Criptografía y Seguridad del Sistema en Budapest, Hungría, descubrieron una forma inusual de software malicioso. Este malware se incrusta en las máquinas de Microsoft Windows, recopila información, en particular sobre los sistemas de control industrial, y luego la envía a través de Internet a su centro de comando y control. Después de 36 días, el malware se elimina automáticamente, por lo que es particularmente difícil de encontrar.





Llamaron a este malware Duqu porque crea archivos con el prefijo ~ DQ.

El software era inusual en varios sentidos. En primer lugar, los investigadores de seguridad notaron que Duqu tiene un parecido notable con el malware Stuxnet supuestamente desarrollado por equipos de guerra cibernética estadounidenses e israelíes para atacar las capacidades nucleares de Irán. Un equipo de seguridad dijo que era casi idéntico a Stuxnet pero con el propósito completamente diferente de recopilar información en lugar de atacar.

Sin embargo, lo más intrigante es la forma en que Duqu transmite información a su centro de control. Primero cifra esta información y luego la incrusta en un archivo JPEG para que parezca una imagen inocente, una práctica conocida como esteganografía. Mientras que el cifrado protege la información, la esteganografía oculta la existencia de un mensaje en primer lugar.

Los investigadores todavía están estudiando Duqu para determinar exactamente su propósito y comprender quién lo creó. Pero el hecho de que este malware utilice esteganografía para enviar información a través de Internet es parte de una tendencia preocupante. En 2008, el Departamento de Justicia de EE. UU. Fue víctima de la esteganografía cuando supuestamente se filtraron detalles financieros confidenciales ocultos dentro de imágenes JPEG. En 2002, se descubrió que una red de pornografía infantil intercambiaba información mediante esteganografía. Y se sabe que una red de espías rusa descubierta en Nueva York utilizó esteganografía para enviar información a sus amos.

Eso plantea una serie de cuestiones importantes. ¿Qué tan extendida está la esteganografía basada en Internet, qué tipo de técnicas explota y cómo se puede combatir?

Hoy, obtenemos una respuesta parcial gracias al trabajo de Steffen Wendzel en el grupo de investigación de ciberdefensa del Instituto Fraunhofer de Comunicación, Procesamiento de la Información y Ergonomía en Bonn, Alemania, y algunos amigos. Estos chicos ofrecen una descripción general de la forma en que el malware oculta información secreta dentro de las transmisiones de red ordinarias y muestran que el número de métodos diferentes ha aumentado drásticamente en los últimos años.

Su enfoque particular está en la esteganografía de red: el ocultamiento de información dentro de las transmisiones de red ordinarias en lugar de en memorias USB o en imágenes físicas, etc. Señalan que esa esteganografía en red es particularmente atractiva porque no hay límite en principio a la cantidad de información que se puede enviar, a diferencia de una memoria USB, por ejemplo.

Es más, las oportunidades para ocultar información en las transmisiones de la red han aumentado a un ritmo rápido. En particular, una serie de enfoques se han dirigido a programas de telefonía IP como Skype, que se han vuelto cada vez más populares en los últimos años.

En el pasado, los esteganógrafos de redes han explotado los protocolos TCP / IP que tienen encabezados que contienen información para enrutar datos por Internet. Estos encabezados también tienen campos sin usar que se pueden usar para transportar información oculta con relativa facilidad.

Wendzel y compañía dicen que en los últimos años, el enfoque del ataque ha cambiado hacia aplicaciones y servicios de capa superior como Skype, Bit Torrent y búsqueda de Google y hacia nuevos entornos de red como la computación en la nube. Recientemente, hemos experimentado un cambio en la selección de portadores de datos ocultos, dicen.

Por ejemplo, un enfoque llamado esteganografía de transcodificación o TranSteg, es comprimir los datos de voz para que ocupen menos espacio y utilizar el espacio que esto libera para transportar datos encubiertos.

Otro ataque a los datos de voz es identificar los paquetes de datos asociados con el silencio entre palabras. Estos pueden luego ser empaquetados con datos encubiertos.

Un enfoque alternativo es atacar las búsquedas de Google, que muestran una lista de las 10 frases de búsqueda relacionadas más populares a medida que el usuario escribe. Un ataque intercepta las sugerencias de los servidores de Google y agrega una palabra única al final de cada una de las 10 frases sugeridas. El receptor simplemente extrae estas palabras agregadas y las convierte en un mensaje usando una tabla de búsqueda previamente compartida.

Quizás la tendencia más preocupante es la creciente capacidad de los teléfonos inteligentes, que hoy en día tienen capacidades que estaban disponibles solo en computadoras de escritorio y portátiles en el pasado reciente. Los teléfonos inteligentes ofrecen una panoplia de posibilidades esteganográficas debido a su capacidad para grabar y enviar audio, video, imágenes fijas, así como archivos de texto de varios tipos diferentes. Es más, obviamente son móviles y pueden conectarse automáticamente a una variedad de redes diferentes.

Lo más aterrador de todo es que estos dispositivos son especialmente vulnerables. Las capas de seguridad utilizadas en los sistemas operativos móviles resultan ser apenas adecuadas, dicen Wendzel y compañía.

Una forma de malware llamada SoundComber captura datos personales como los dígitos ingresados ​​en el teclado de un teléfono inteligente durante una llamada telefónica y luego los transmite usando uno de varios métodos diferentes, como patrones predefinidos de vibración, mediante cambios en el nivel de volumen de el tono de llamada, bloqueando y desbloqueando la pantalla y así sucesivamente.

Todo esto representa una amenaza significativa. Quedan más de cien técnicas que transfieren datos secretos utilizando metainformación, como elementos de encabezado o el tiempo de los paquetes de red, dicen Wendzel y compañía.

El problema, por supuesto, es detectar las computadoras infectadas con malware esteganográfico, ya sea buscando directamente el malware en sí o buscando los signos reveladores de esteganografía en los datos que transmiten.

Es más fácil decirlo que hacerlo. El software anti-malware generalmente busca un conjunto predefinido de archivos que se sabe que son problemáticos. También hay un software que ofrece protección contra fugas de datos que normaliza el tráfico que se transmite con la esperanza de que esto evite la esteganografía de la red. Otros sistemas utilizan el aprendizaje automático para detectar los signos reveladores de la esteganografía.

Sin embargo, ninguno de estos enfoques es perfecto ni se acerca. Las contramedidas no pueden abordar todas estas técnicas de ocultación disponibles simultáneamente debido a la complejidad y diversidad de protocolos y servicios, dicen Wendzel y compañía.

Señalan que antes de que se pueda construir una contramedida que haga esto, los investigadores deberán idear un nuevo conjunto de enfoques fundamentales para contrarrestar las nuevas formas de esteganografía en evolución.

Una cosa es segura: la detección y prevención de la esteganografía de red se convertirá en un desafío cada vez mayor a medida que se propague la amenaza de malware como Duqu. ¡Tenga cuidado!

Ref: arxiv.org/abs/1407.2029 : Oculto y descontrolado: sobre la aparición de amenazas esteganográficas en la red

esconder