Los geht's

Als Trägermedium für unseren Test haben wir ein gut ein MByte großes JPEG-Bild mit starkem Rauschen verwendet, in das wie eine exakt 745 Byte große Textdatei einbetteten (Abbildung 1). Dazu fertigten wir mit Outguess und Steghide je ein Steganogramm. Als Basisdistributionen kamen Ubuntu in den Versionen 7.04 und 7.10 sowie verschiedene darauf basierende Derivate und – für die RPM-Fraktion – Mandriva Spring 2007 und das bereits etwas ältere CentOS 4.2 zum Einsatz.

Abbildung 1: Die geheimnisvolle Malayenblume dient hier als Versteck.

Da weder Stegdetect noch die GUI Xsteg Programmstarter in den entsprechenden Menüs anlegen, müssen Sie die beiden Programme nach beendeter Installation in einem Schnellstartfenster ([Alt]+[F2]) mit dem Befehlsaufruf xsteg aktivieren. Sodann präsentiert sich ein aufgeräumtes Fenster mit lediglich einem kleinen Eingabefeld und fünf Radiobuttons (Abbildung 2).

Abbildung 2: Das Hauptfenster von Xsteg.

Die beiden großflächigen Nachrichtenfelder Filename und Message window zeigen die Scan-Ergebnisse sowie den Befehlszeilenaufruf von Stegdetect mit den entsprechenden Parametern an. Über die fünf Auswahlschalter im linken oberen Bereich des Programmfensters bestimmen Sie die beim Scan zu berücksichtigenden Einbettungsmethoden. Besondere Bedeutung kommt dem Feld Sensitivity zu: Hier lassen sich Werte zwischen 0.01 und 9.99 eintragen – je höher der Wert, desto eingehender nimmt Stegdetect das vermutete Steganogramm unter die Lupe. Um eine Bilddatei zu laden, machen Sie diese zunächst über den Menüdialog File | Open ausfindig. Sobald Sie die Datei öffnen, startet automatisch der Scan.

Wir untersuchten zunächst das von Steghide erstellte Steganogramm mit der voreingestellten Empfindlichkeit von 1.00, was nur wenige Sekunden dauerte und ein negatives Ergebnis erbrachte. Sodann erhöhten wir die Sensitivität jeweils in Einer-Schritten und ließen die Datei erneut untersuchen. Beim nur unwesentlich länger dauernden Scanvorgang bei vierfacher Empfindlichkeit wurde unser Bild erstmals als Steganogramm unter Nutzung des von Jphide verwendeten Algorithmus erkannt (Abbildung 3). Weitere Scans mit höheren Empfindlichkeitswerten führten zum gleichen Ergebnis. Die Negativprobe mit dem Originalfoto – also ohne eingebetteten Text – erbrachte erwartungsgemäß kein Ergebnis.

Abbildung 3: Treffer: Das Steganogramm ist identifiziert.

In das gleiche Originalbild betteten wir anschließend mit Outguess 0.2 den selben Text ein. Die folgende Untersuchung mit Stegdetect verlief bei allen Empfindlichkeiten negativ: Das Tool konnte das mit Outguess hergestellte Steganogramm nicht erkennen.

Nun betteten wir mit Steghide einen Text von sechs KByte Länge ins gleiche Trägermedium ein. Die resultierende Datei identifizierte Stegdetect bereits bei einer Sensitivität ab 2.00 als Steganogramm. Je größer als der eingebettete Test, desto eher kann Stegdetect offenbar das resultierende Steganogramm erkennen.

Nachdem Stegdetect seine Fähigkeit erwiesen hatte, mit Steghide angefertigte Steganogramme zu erkennen, unternahmen wir mit Stegbreak den Versuch einer Entschlüsselung.

Problemkind Stegbreak

Das Programm Stegbreak, das sich im Stegdetect-Archiv befindet, ließ sich zunächst unter Ubuntu nicht starten. Dieser Fehlstart trat sowohl bei Verwendung der Ubuntu-spezifischen Pakete aus den Repositories auf, als auch bei der manuellen Kompilation des Paketes aus den Quellen. Tests mit verschiedenen Ubuntu-Derivaten, so auch mit Linux Mint 2.1 (basierend auf Ubuntu 6.10) und Linux Mint 3.1 (Derivat von "Feisty") ergaben stets das gleiche negative Ergebnis.

Es stellte sich heraus, dass eine Datei namens rules.ini fehlt, die ursprünglich von dem Passwortcracker "John the Ripper" stammt. Aber auch das Kopieren dieser Datei von einer anderen Betriebssystemversion des Stegbreak-Pakets konnte nicht zufriedenstellen: Nun verweigerte die Software mit einem Segmentation Fault den Dienst. Dieses ärgerliche Verhalten tritt – wie unsere folgenden Recherchen im Internet ergaben – bei allen Debian- und Ubuntu-Versionen sowie deren Derivaten auf. Ein Fix ist noch nicht verfügbar [5]. Somit scheiden auf Debian basierende Distributionen derzeit noch als Basis für den angehenden Steganografie-Cracker aus.

Nach diesen zeitintensiven Experimenten installierten wir ein älteres Stegdetect-Binärpaket unter Mandriva Spring 2007. Dabei beschwerte sich Rpmdrake über veraltete Bibliotheken, sodass wir das Paket brachial mit dem Kommandozeilenbefehls rpm -ivh --nodeps stegdetect-0.5-2mdk.i586.rpm installierten. Der packte die Software anstandslos auf die Platte. Anschließend konnten wir im Terminal stegbreak aufrufen und die Brute-Force-Attacke gegen unser Steganogramm starten.

Die Befehlssyntax gestaltet sich dabei denkbar einfach: Nach dem Programmaufruf geben Sie lediglich mit dem Parameter -t der Typ des Steganogramms an, wobei Sie auch mehrere Varianten nennen dürfen. Um wirklich alle denkbaren Einbettungsmethoden für die Passphrase zu berücksichtigen, entschlossen wir uns, alle von Stegbreak unterstützten Typen zu prüfen. Für einen solchen Brute-Force-Angriff auf ein Steganogramm sollte man genügend Zeit und einen schnellen Rechner mitbringen: Bei unserem Test mit einer auf gut 2 GHz getakteten Core2-Duo-CPU benötigte das Programm für gut 40 Millionen Angriffe etwa fünfeinhalb Stunden – ohne dabei die Passphrase zu finden (Abbildung 4).

Abbildung 4: Ergebnis negativ: Die Passphrase konnte nicht gefunden werden.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gut versteckt
    Steganografie beherrschen viele Programme. Doch Outguess versteckt gleich zwei Texte in einem Bild.
  • Verstecken spielen
    Wer Botschaften nicht nur verschlüsseln, sondern komplett vor neugierigen Blicken verstecken will, greift zu Steganografie. Wir zeigen, wie die verdeckte Übermittlung unter Linux funktioniert.
  • Gut getarnt
    Verschlüsselte Dateien erwecken bei Neugierigen stets Interesse. Auf die Idee, dass die nett anzuschauenden Bilder versteckte Informationen enthalten könnten, kommt dagegen kaum jemand.
Kommentare

Infos zur Publikation

LU 02/2016: Alt-PCs flott machen

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Der Tipp der Woche

Schon gewußt?

14.11.2015

Auch unter Ubuntu 15.10 kann man wieder mit dem Startmedienersteller (alias Startup Disk Creator) ein Live-System auf einem USB-Stick einrichten. ...

Fehler des Startmedienerstellers von Ubuntu 15.10 umgehen

Aktuelle Fragen

Leap 42.1 und LibreOffice
Heinz Kolbe, 09.02.2016 21:54, 0 Antworten
Moin moin, auf meinem Notebook habe ich Leap 42.1 und Win 10 installiert. Alles läuft rund nur...
Tails Update
Val Lerie, 11.01.2016 10:51, 0 Antworten
Hallo zusammen, updaten > update Speichern unter > Persistent nicht möglich, mit der Meldung;...
Recoll
Jürgen Heck, 20.12.2015 18:13, 4 Antworten
Wie kann man mit Recoll nach bestimmten Zeichen/Satzzeichen bzw. Zeichenkombinationen suchen, z....
Wings Platinum 4 auf Linux?
Bodo Steguweit, 18.12.2015 11:37, 4 Antworten
Hallo in die Runde ich nutze für meine Diashows Wings Platinum 4 als Diareferent. Arbeite jetzt...
Bandbreite regulieren
Georg Armani, 25.11.2015 16:50, 1 Antworten
Hallo, ich bin ein Neuling in Sachen Linux und hoffe auf Hilfe. Ich habe zwei Windows Rechner...