Home / LinuxUser / 2008 / 04 / Gut versteckt?

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

Gut versteckt?

Stegdetect und Stegbreak

Los geht's

Als Trägermedium für unseren Test haben wir ein gut ein MByte großes JPEG-Bild mit starkem Rauschen verwendet, in das wie eine exakt 745 Byte große Textdatei einbetteten (Abbildung 1). Dazu fertigten wir mit Outguess und Steghide je ein Steganogramm. Als Basisdistributionen kamen Ubuntu in den Versionen 7.04 und 7.10 sowie verschiedene darauf basierende Derivate und – für die RPM-Fraktion – Mandriva Spring 2007 und das bereits etwas ältere CentOS 4.2 zum Einsatz.

Abbildung 1

Abbildung 1: Die geheimnisvolle Malayenblume dient hier als Versteck.

Da weder Stegdetect noch die GUI Xsteg Programmstarter in den entsprechenden Menüs anlegen, müssen Sie die beiden Programme nach beendeter Installation in einem Schnellstartfenster ([Alt]+[F2]) mit dem Befehlsaufruf xsteg aktivieren. Sodann präsentiert sich ein aufgeräumtes Fenster mit lediglich einem kleinen Eingabefeld und fünf Radiobuttons (Abbildung 2).

Abbildung 2

Abbildung 2: Das Hauptfenster von Xsteg.

Die beiden großflächigen Nachrichtenfelder Filename und Message window zeigen die Scan-Ergebnisse sowie den Befehlszeilenaufruf von Stegdetect mit den entsprechenden Parametern an. Über die fünf Auswahlschalter im linken oberen Bereich des Programmfensters bestimmen Sie die beim Scan zu berücksichtigenden Einbettungsmethoden. Besondere Bedeutung kommt dem Feld Sensitivity zu: Hier lassen sich Werte zwischen 0.01 und 9.99 eintragen – je höher der Wert, desto eingehender nimmt Stegdetect das vermutete Steganogramm unter die Lupe. Um eine Bilddatei zu laden, machen Sie diese zunächst über den Menüdialog File | Open ausfindig. Sobald Sie die Datei öffnen, startet automatisch der Scan.

Wir untersuchten zunächst das von Steghide erstellte Steganogramm mit der voreingestellten Empfindlichkeit von 1.00, was nur wenige Sekunden dauerte und ein negatives Ergebnis erbrachte. Sodann erhöhten wir die Sensitivität jeweils in Einer-Schritten und ließen die Datei erneut untersuchen. Beim nur unwesentlich länger dauernden Scanvorgang bei vierfacher Empfindlichkeit wurde unser Bild erstmals als Steganogramm unter Nutzung des von Jphide verwendeten Algorithmus erkannt (Abbildung 3). Weitere Scans mit höheren Empfindlichkeitswerten führten zum gleichen Ergebnis. Die Negativprobe mit dem Originalfoto – also ohne eingebetteten Text – erbrachte erwartungsgemäß kein Ergebnis.

Abbildung 3

Abbildung 3: Treffer: Das Steganogramm ist identifiziert.

In das gleiche Originalbild betteten wir anschließend mit Outguess 0.2 den selben Text ein. Die folgende Untersuchung mit Stegdetect verlief bei allen Empfindlichkeiten negativ: Das Tool konnte das mit Outguess hergestellte Steganogramm nicht erkennen.

Nun betteten wir mit Steghide einen Text von sechs KByte Länge ins gleiche Trägermedium ein. Die resultierende Datei identifizierte Stegdetect bereits bei einer Sensitivität ab 2.00 als Steganogramm. Je größer als der eingebettete Test, desto eher kann Stegdetect offenbar das resultierende Steganogramm erkennen.

Nachdem Stegdetect seine Fähigkeit erwiesen hatte, mit Steghide angefertigte Steganogramme zu erkennen, unternahmen wir mit Stegbreak den Versuch einer Entschlüsselung.

Problemkind Stegbreak

Das Programm Stegbreak, das sich im Stegdetect-Archiv befindet, ließ sich zunächst unter Ubuntu nicht starten. Dieser Fehlstart trat sowohl bei Verwendung der Ubuntu-spezifischen Pakete aus den Repositories auf, als auch bei der manuellen Kompilation des Paketes aus den Quellen. Tests mit verschiedenen Ubuntu-Derivaten, so auch mit Linux Mint 2.1 (basierend auf Ubuntu 6.10) und Linux Mint 3.1 (Derivat von "Feisty") ergaben stets das gleiche negative Ergebnis.

Es stellte sich heraus, dass eine Datei namens rules.ini fehlt, die ursprünglich von dem Passwortcracker "John the Ripper" stammt. Aber auch das Kopieren dieser Datei von einer anderen Betriebssystemversion des Stegbreak-Pakets konnte nicht zufriedenstellen: Nun verweigerte die Software mit einem Segmentation Fault den Dienst. Dieses ärgerliche Verhalten tritt – wie unsere folgenden Recherchen im Internet ergaben – bei allen Debian- und Ubuntu-Versionen sowie deren Derivaten auf. Ein Fix ist noch nicht verfügbar [5]. Somit scheiden auf Debian basierende Distributionen derzeit noch als Basis für den angehenden Steganografie-Cracker aus.

Nach diesen zeitintensiven Experimenten installierten wir ein älteres Stegdetect-Binärpaket unter Mandriva Spring 2007. Dabei beschwerte sich Rpmdrake über veraltete Bibliotheken, sodass wir das Paket brachial mit dem Kommandozeilenbefehls rpm -ivh --nodeps stegdetect-0.5-2mdk.i586.rpm installierten. Der packte die Software anstandslos auf die Platte. Anschließend konnten wir im Terminal stegbreak aufrufen und die Brute-Force-Attacke gegen unser Steganogramm starten.

Die Befehlssyntax gestaltet sich dabei denkbar einfach: Nach dem Programmaufruf geben Sie lediglich mit dem Parameter -t der Typ des Steganogramms an, wobei Sie auch mehrere Varianten nennen dürfen. Um wirklich alle denkbaren Einbettungsmethoden für die Passphrase zu berücksichtigen, entschlossen wir uns, alle von Stegbreak unterstützten Typen zu prüfen. Für einen solchen Brute-Force-Angriff auf ein Steganogramm sollte man genügend Zeit und einen schnellen Rechner mitbringen: Bei unserem Test mit einer auf gut 2 GHz getakteten Core2-Duo-CPU benötigte das Programm für gut 40 Millionen Angriffe etwa fünfeinhalb Stunden – ohne dabei die Passphrase zu finden (Abbildung 4).

Abbildung 4

Abbildung 4: Ergebnis negativ: Die Passphrase konnte nicht gefunden werden.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

Hits
Wertung: 113 Punkte (11 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...