Kdo je Harold Thomas Martin III?

Před dvěma měsíci byl vcelku bez velkého rozruchu zatčen Harold Thomas Martin III. Zdá se, že za přibližně 20 let vynesl z NSA přes 50TB dat a šesti krabic dokumentů. To je včetně nástrojů Equation Group, vše klasifikované jako Secret a Top Secret.

Do 27.srpna 2016 se jednalo o neznámou osobu. Toho dne byly při prohlídce jeho domu v Marylandu nalezeny tištěné a elektronické dokumentů, včetně utajovaných (tajné a přísně tajné). Tištěné dokumenty byly v šesti boxech, dále bylo nalezeno přes 50 TB dat, a to včetně nástrojů Equation Group, které byly nedávno nabídnuty za zhruba 500 miliónu dolarů skupinou Shadow Brokers. Tyto dokumenty hromadil přibližně deset let. Co bylo jeho motivací není známo.

Obžaloba je ke stažení např. na https://www.scribd.com/document/326544741/Martin-Criminal-Complaint.

Jedná se o 51letého nezávislého konzultanta pracující pro společnost Booz Allen Hamilton (stejně jako dříve Edward Snowden), která je jedním ze subdodavatelů NSA. V letech 1987 až 2000 sloužil u námořnictva. Účastnil se například operace Pouštní bouře, kde působil na lodi USS Seattle a dosáhl hodnosti poručíka. Studoval ekonomii na univerzitě ve Wisconsinu a informatiku na George Mason University. Měl prověrku na stupeň přísně tajné a zajímal se o bezpečnost.

Stejně, jako se na začátku kauzy se Shadow Brokers diskutovalo o možnosti, že se jedná o Edwarda Snowdena, v tuto chvíli se diskutuje i o možnosti, že touto osobou je právě Harold Thomas Martin III. Ale uvedenému spojení dle FBI zatím nic nenaznačuje, naopak, je možné že uvedené informace někdo zcizil právě z jeho počítačů.

Autor: Jan Dušátko

Steganografie jako úkryt pro důležitá data

Pokud se v bezpečnostním oboru zeptáte na steganografii a obranu proti ní, dočkáte se v lepším případě znalostí o historii steganografie a její aplikaci, jako je například tetování zpráv pod vlasy otroků, využití neviditelného inkoustu, nebo použití žargonu, ke kódování zpráv o stavu amerického loďstva kotvícího v přístavu za druhé světové války. Obecné povědomí o možnostech moderní steganografie a obraně proti ní v době internetu a počítačů je však malé.

Steganografie je vědou zabývající se stejně jako kryptografie utajováním přenášené informace. Na rozdíl od kryptografie, u které je přenos pozorovateli viditelný ale nečitelný, je cílem steganografie ukrytí informace do nosiče (coveru), který se pozorováním ve výsledku jeví jako zcela běžný a tím i zcela nevinný. Steganoanalýza je věda zabývající se detekcí aplikované steganografie, pro účely tohoto článku budeme zvažovat zvláště takzvanou slepou analýzu, kde není dostupný původní soubor a my se snažíme odhalit, zdali bylo manipulováno se souborem, který máme k dispozici.  

Rozvoj počítačů a internetu vytvořil rozsáhlý prostor pro využití steganografie k únikům dat z korporátního segmentu, nebo skrytému přenosu informací pro zločinné účely. Dostupný software je uživatelsky přívětivý, má jednoduché uživatelské rozhraní, a přitom využívá velmi komplikované algoritmy, mnohdy navázané na strukturální vlastnosti datových formátů jako je JPEG nebo MPEG.

Uvažujme situaci, kdy pachatel A zašle do firemní sítě neškodný email s JPEG obrázkem. Spolupachatel B do tohoto obrázku vloží pomocí steganografického systému nějakou tajnou zprávu a odešle jej zpět se slovy, že se jedná o omyl. Pachatel A po obdržení emailu obrázek dekóduje a získá tajnou zprávu. Podobných scénářů je mnoho.

Pojďme se podívat na jednu z jednodušších metod vkládání dat do nosiče. Zvažme jednoduchou bitmapu, kde je každý pixel reprezentován třemi osmibitovými čísly, které reprezentují jednotlivé barvy – červenou, zelenou, modrou. Pomocí tohoto prostoru jsme schopni vyjádřit více než 16 milionů barev. Je známo, že lidské oko není příliš citlivé na změnu barevnosti, ale je citlivé na změny jasu. Pokud pozměníme barvu v jednom pixelu o hodnotu „jedna“ a lidské oko nebude schopno tuto změnu rozpoznat. Tuto metodu nazýváme jako manipulaci s nejméně významnými bity obrazu (LSB). Příklad naleznete na následujícím obrázku. Příklad byl vyhotoven pomocí utility stegtool, který je distribuován v podobě zdrojových kódů.

Obr1

a) Původní fotka

Obr2

b) Fotografie s 30 KB dat

Obr3

c) Rozdíl snímků se zvýrazněním rozdílu

Detekce takového stegogramu bývá založena na statistických metodách, protože dochází k narušení rovnoměrné distribuce jedniček a nul v posledních bitech. Samozřejmostí je, že většina vkládacích softwarů se brání této detekci pomocí použití kryptrografických metod na původní zprávu.

Formát BMP ale není v internetu příliš rozšířen a pro formáty jako je JPEG nebo PNG není metoda manipulace s jednotlivými pixely použitelná, protože používají ztrátovou kompresi a přenášená data by byla ztracena.

Nicméně existuje i metoda, která právě využívá kompresního algoritmu a samotné technologie formátu JPEG pro vkládání tajných zpráv. U JPEG formátu je využíváno toho, že jsou při kompresi konvertovány do tzv. DCT domény (Discrete Cosine Transform). Ta prezentuje data jako vysoké a nízké frekvence. Vysoké frekvence se týkají oblastí obrázku s vysokými detaily, a naopak ty nízké frekvence souvisejí s nízkými detaily. Aby se při kompresi snížila velikost JPEG obrázku, jsou odstraněny některé vysoké detaily. Opět se zde využívá nedokonalosti lidského oka, které není schopno rozlišit změny v těchto oblastech. Nic tedy nebrání tomu, aby byly hodnoty DCT domény modifikovány pro ukrytí tajné zprávy.

V případě, že je nám znám originální nosič, můžeme porovnat histogramy obou obrázků. Bohužel, je zde velice malá pravděpodobnost, že bude originální nosič k dispozici. Proto se využívají komplexnější metody detekce, které se snaží nalézt metriky, které reagují na přítomnost tajné zprávy.

Použití steganografie u statického obrazu nekončí. Nosičem mohou být i různé video streamy. Uvažujme například formát MPEG, který si můžeme představit jako rychlý tok snímků vytvářející plynulý obraz. Data vložená do příslušných snímků videa mohou značně ztížit samotnou detekci. A odhalení pouhým pozorováním je takřka nemožné. Díky vysokému datovému toku může být stejné náročná i detekce v reálném čase pomocí automatizovaných metod.

V neposlední řadě se také musíme zmínit o nosiči, kterým mohou být i zvukové soubory. I když je tento typ nosiče v podvědomí steganografie málo využíván (v porovnání se statickým obrazem), může být jeho potencionál obrovský.

V dnešní době je dostupnost steganografických algoritmů díky internetu velmi příznivá. Na tomto místě uvádíme krátký seznam nejpoužívanějších algoritmů – StegHide, OutGuess 2.0, Hide & Seek, F5, JSteg. Tento software je volně dostupný, použitelný a nevyžaduje žádné další znalosti, a současně jsou díky pokročilým algoritmům rezistentní vůči běžným statistickým metodám. Pro tyto algoritmy jsou sice známy detekční metody s úspěšností větší než 99 %, ale v obrovském internetovém provozu i jedno procento falešně pozitivních nebo negativních výsledků může vytvořit značný datovým objem. Mnohdy tyto metody nejsou univerzální a jsou určeny pro daný algoritmus nebo případně pro kombinaci datový typ / stegoalgoritmus. Pro účinnou obranu proti aplikované steganografii musí být tyto detekční metody dále rozvíjeny, ale vylepšovány.  

Na Vysoké škole báňské – Technické univerzitě Ostrava, Fakulta elektrotechniky a informatiky, Katedra informatiky se pod vedením doc. Ličeva snažíme implementovat systém, který by odhaloval přítomnost tajné zprávy ve statickém obraze. Vytvořili jsme několik metodik a funkčních prototypů, které jsou na základě slepé analýzy schopny detekovat stegogramy s úspěšností až 99,7 %.

V samotné technologii využíváme aplikace neuronových sítí pro vylepšení detekční schopnosti a pro správnou identifikaci podezřelých snímků. Součástí je i použití metriky shlukování, analýza Huffmanových tabulek, ale i procesu kalibrace pro vytvoření původního nosiče z podezřelého snímku.

V našem snažení se nyní věnujeme funkci, která bude odhalovat typ použitého steganografického algoritmu. Náš projekt se blíží ke svému úspěšnému konci, zbývá dodatečné testování a vytvoření webové služby. V budoucnu chceme do našeho analyzátoru zakomponovat i výpočet přibližné délky zprávy, což může být velmi užitečné pro dodatečnou analýzu, která může vést až k odhalení obsahu samotné zprávy.

Závěrem musíme dodat, že samotná myšlenka steganografie nemusí nutně znamenat ekvivalent nějaké ilegální činnosti. Může také sloužit, podobně jako je to u digitálního watermarkingu, k zabezpečení vlastních dat. Dále také k přidání další vrstvy dat (alternativa metadat), aniž by se razantně změnil obsah nosiče atd. Nicméně je zde vždy šance, že bude steganografie zneužita, a proto musíme být připraveni.

doc. Ing. Lačezar Ličev, CSc.

VŠB – TU Ostrava

Fakulta elektrotechniky a informatiky

Katedra informatiky

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Ing. Jakub Hendrych

VŠB – TU Ostrava

Fakulta elektrotechniky a informatiky

Katedra informatiky

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Ing. Radim Kunčický

VŠB – TU Ostrava

Fakulta elektrotechniky a informatiky

Katedra informatiky

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Komerční banka využívá při budování SOC zkušenosti Corpus Solutions

Corpus Solutions jako provozovatel jednoho z významných Security Operations Centra v České republice má bohaté zkušenosti se zaváděním principů a provozováním služby SOC. Komerční banka si vybrala společnost Corpus Solutions, aby ji pomohla s vybudováním vlastního Security Operations Centra v prostředí banky. Služba SOC je kontinuální služba zaměřená na bezpečnostní monitoring síťové infrastruktury a bezpečnostních prvků zákazníka, shromažďování zachycených událostí, detekci a vizualizaci podezřelých aktivit, analýzu incidentů a návrh protiopatření v nepřetržitém provozu.

Postupy, které experti společnosti Corpus Solutions uplatňují při realizaci zavádění SOC, jsou založeny na praktických zkušenostech s provozováním SOC, ale také na základě specifických dovedností získaných z výcviku v Izraeli.

Autor: Petr Smolník, šéfredaktor