ファイルによるステガノグラフィー: データをセクターに直接隠す

短い紹介

覚えていない人もいるかもしれませんが、ステガノグラフィーは情報をいくつかのコンテナに隠しています。 たとえば、写真（議論した ここで и ここで）。 ファイル システムのサービス テーブル内のデータを非表示にすることもできます (これは、 ここで）、さらには TCPプロトコルサービスパケット内。 残念ながら、これらすべての方法には XNUMX つの欠点があります。コンテナに情報を気づかれないように「挿入」するには、コンテナの内部構造の特殊性を考慮した狡猾なアルゴリズムが必要です。 また、コンテナの操作に対する耐性に関して問題が発生します。たとえば、画像を少し編集すると、隠された情報が失われます。

狡猾なアルゴリズムやデータの微妙な操作を使わずに、コンテナの機能と非表示データの許容レベルのセキュリティを確保することは、どうにかして可能でしょうか? 将来を見据えて、私は言います - はい、できます! ユーティリティも提供します。

メソッドの血なまぐさい詳細

基本的な考え方は、額を殴るような単純なものです。ディスク上には、オペレーティング システムが決して書き込まない (または、まれに書き込まれる) 領域が存在します。 狡猾なアルゴリズムを使用してこれらの領域を検索する必要を避けるために、冗長性を使用します。つまり、ディスクのすべてのセクターにわたって隠された情報を何度も複製します。 そして、このすべての素晴らしさに加えて、必要なパーティションを作成し、ファイル システムをフォーマットし、ファイルを書き込み、OS をインストールすることができます。すべて同様に、機密データの一部は保存され、取得でき、複製を繰り返すことで役に立ちます。断片から元の全体を組み立てます。

この方法の利点は明らかです。ファイル形式や、使用されるファイル システムの種類にさえ依存しません。

欠点も明らかだと思います。

• 機密データを変更するには、ディスク全体を完全に書き換えた後、ユーザーに表示されるコンテンツを再作成する必要があります。 ただし、イメージからディスクを再作成するソフトウェアは使用できません。以前の機密データも再作成されます。
• 機密データの量が増えると、一部の情報が失われる可能性が高くなります。
• ディスクからのデータの取得には長い時間がかかる場合があります。 数分から数日（最新のディスクは大きい）。

それでは具体的な話に移りましょう。

単に秘密データをディスク全体に塗り付けたとしても、それが肉眼から隠されるだけであることは明らかです。 たとえばディスクエディタを視線に装備すると、データがその栄光のままに表示されます。 したがって、データが表示されないように暗号化することをお勧めします。 aes256-cbc アルゴリズムを使用して、シンプルかつ上品に暗号化します。 ユーザーに暗号化キーを尋ね、適切なパスワードを考えてもらいます。

次の疑問は、「良い」データと悪いデータをどのように区別できるかということです。 ここではチェックサムが役に立ちますが、単純なものではなく、SHA1 です。 そして何？ git には十分なので、私たちにも適しています。 決定: 保存されている各情報にチェックサムを提供し、復号化後にチェックサムが一致した場合、復号化が成功したことを意味します。

フラグメント番号とシークレット データの全長も必要になります。 断片番号は、どの断片がすでに解読され、どの断片が残っているかを追跡するために使用されます。 合計の長さは、最後のフラグメントを処理するときに、不必要なデータ (つまりパディング) を書き込まないようにするのに役立ちます。 ヘッダーがまだあるので、そこにシークレット ファイルの名前を追加します。 これは、復号化後に、開く方法を推測されないようにするのに役立ちます。

実際にメソッドをテストする

確認するために、最も一般的なメディアであるフラッシュ ドライブを取り上げてみましょう。 容量が1GBの古いものを見つけましたが、これは実験に非常に適しています。 もしあなたが私と同じように、物理メディアを気にするのではなく、ファイル、つまりディスクイメージでテストするというアイデアを思いついたなら、私はすぐにこう言います、それは機能しません。 このような「ディスク」をフォーマットする場合、Linux はファイルを再度作成し、未使用のセクターはすべてゼロで埋められます。

Linux を搭載したマシンとして、残念なことに、バルコニーに横たわっている Raspberry Pi 3 でウェザー ステーションを使用する必要がありましたが、メモリがあまり多くないため、大きなファイルは非表示にします。 最大サイズは 10 メガバイトに制限されています。 また、小さすぎるファイルを非表示にしても意味がありません。ユーティリティはデータを 4 KB クラスターのディスクに書き込みます。 したがって、以下では 3 kb ファイルに制限します。これは、そのようなクラスターの XNUMX つに収まります。

フラッシュ ドライブを段階的にモックし、各段階の後に隠された情報が読み取れるかどうかを確認します。

1. クラスターサイズ 16 KB の FAT16 形式での高速フォーマット。 これは、Windows 7 がファイル システムを持たないフラッシュ ドライブで行うことを提供するものです。
2. フラッシュドライブをあらゆる種類のゴミで 50% 埋めます。
3. フラッシュドライブをあらゆる種類のゴミで 100% 埋めます。
4. FAT16 形式の「ロング」フォーマット (すべて上書き)。

最初の 10 つのテストは予想通り、完全な勝利に終わりました。ユーティリティはフラッシュ ドライブから XNUMX メガバイトの機密データを正常に抽出することができました。 しかし、フラッシュ ドライブがファイルでいっぱいになった後、障害が発生しました。

Total clusters read: 250752, decrypted: 158
ERROR: cannot write incomplete secretFile

ご覧のとおり、復号化に成功したクラスターは 158 個のみでした (生データが 632 キロバイト、ペイロードが 636424 バイトになります)。 ここで 10 メガバイトを取得する方法がないことは明らかですが、これらのクラスターの中には明らかに重複したものが存在します。 この方法では 1 メガバイトさえ回復できません。 ただし、フラッシュ ドライブがフォーマットされて容量に書き込まれた後でも、フラッシュ ドライブから 3 キロバイトの機密データを復元できることを保証できます。 ただし、実験によると、そのようなフラッシュ ドライブから 120 キロバイトの長さのファイルを抽出することは十分に可能です。

残念ながら、最後のテストでは、フラッシュ ドライブ全体が上書きされたことがわかりました。

$ sudo ./steganodisk -p password /dev/sda
Device size: 250752 clusters
250700 99%
Total clusters read: 250752, decrypted: 0
ERROR: cannot write incomplete secretFile


生き残ったクラスターは一つもありません...悲しいですが、悲劇的ではありません! フォーマットする前に、フラッシュドライブにパーティションを作成してみましょう。その中にはすでにファイルシステムが含まれています。 ちなみに、工場からはまさにこのフォーマットで出荷されているので、怪しいことは何もしていません。
フラッシュドライブ上の利用可能なスペースがわずかに減少していることが予想されます。

また、完全にいっぱいのディスクでは 10 メガバイトを隠すことができないことも十分に予想されます。 しかし現在、復号化に成功したクラスターの数は XNUMX 倍以上になっています。

Total clusters read: 250752, decrypted: 405

残念ながら、断片から XNUMX メガバイトを組み立てることは不可能ですが、XNUMX キロバイトなら簡単です。

さて、前回の 4 回目のチェックに関するニュースは、今回は嬉しいものです。フラッシュ ドライブを完全にフォーマットしても、すべての情報が破壊されることはありませんでした。 120 キロバイトの機密データが未使用のスペースにぴったり収まります。

テスト概要表:

ちょっとした理論化: 空き領域と未使用セクターについて

ハード ドライブをパーティションに分割したことがある場合は、ディスク上のすべての空き領域を常に割り当てることができるわけではないことに気づいたかもしれません。 最初のセクションは常に何らかのインデント (通常は 1 メガバイト、つまり 2048 セクター) で始まります。 最後のセクションの背後には、未使用のセクターの小さな「尾部」が残ることもあります。 また、まれではありますが、セクション間にギャップが存在する場合もあります。

言い換えれば、ディスク上の通常の作業ではアクセスできないセクタがディスク上にありますが、これらのセクタにはデータを書き込むことができます。 そしてそれはそれを読むことも意味します。 ディスクの先頭の空き領域にパーティション テーブルとブートローダー コードも存在するように調整されています。

セクションから少し休憩して、いわば鳥の視点からディスクを見てみましょう。 ここでは、ディスク上に空のパーティションがあります。 その中にファイルシステムを作成しましょう。 ディスク上の一部のセクターが消去されずに残っていると言えるでしょうか?

え、え、ドラムロール！ 答えはほとんどの場合「はい」です。 実際、ほとんどの場合、ファイル システムの作成は、サービス情報の数ブロックのみをディスクに書き込むことになります。それ以外の場合、パーティションの内容は変更されません。

また、純粋に経験的に、ファイル システムが割り当てられたすべてのスペースを最後のセクターに至るまで常に占有できるとは限らないと想定できます。 たとえば、クラスタ サイズが 16 キロバイトの FAT64 ファイル システムは、明らかに 64 キロバイトの倍数ではないサイズのパーティションを完全に占有することはできません。 このようなセクションの最後には、ユーザー データを保存するためにアクセスできないいくつかのセクターの「末尾」が必要になります。 しかし、この仮定は実験的には確認できませんでした。

したがって、ステガノグラムに使用できるスペースを最大化するには、より大きなクラスター サイズのファイル システムを使用する必要があります。 必要でない場合でも (フラッシュ ドライブなどに) パーティションを作成することもできます。 空きセクションを作成したり、未割り当ての領域を残したりする必要はありません。これにより、関心のある市民の注目を集めることができます。

実験用ユーティリティ

ユーティリティのソースコードに触れることができます ここで

ビルドするには、Qt バージョン 5.0 以降と OpenSSL が必要です。 何かが機能しない場合は、steganodisk.pro ファイルを編集する必要がある場合があります。

クラスター サイズを 4 KB から、たとえば 512 バイトに変更できます (secretfile.h 内)。 同時に、サービス情報のコストも増加します。ヘッダーとチェックサムは固定の 68 バイトを占有します。

もちろん、このユーティリティは root ユーザー権限を使用して、注意して実行する必要があります。 指定したファイルまたはデバイスを上書きする前に質問されることはありません。

お楽しみください。

出所： habr.com