Los geht's

Als Trägermedium für unseren Test haben wir ein gut ein MByte großes JPEG-Bild mit starkem Rauschen verwendet, in das wie eine exakt 745 Byte große Textdatei einbetteten (Abbildung 1). Dazu fertigten wir mit Outguess und Steghide je ein Steganogramm. Als Basisdistributionen kamen Ubuntu in den Versionen 7.04 und 7.10 sowie verschiedene darauf basierende Derivate und – für die RPM-Fraktion – Mandriva Spring 2007 und das bereits etwas ältere CentOS 4.2 zum Einsatz.

Abbildung 1: Die geheimnisvolle Malayenblume dient hier als Versteck.

Da weder Stegdetect noch die GUI Xsteg Programmstarter in den entsprechenden Menüs anlegen, müssen Sie die beiden Programme nach beendeter Installation in einem Schnellstartfenster ([Alt]+[F2]) mit dem Befehlsaufruf xsteg aktivieren. Sodann präsentiert sich ein aufgeräumtes Fenster mit lediglich einem kleinen Eingabefeld und fünf Radiobuttons (Abbildung 2).

Abbildung 2: Das Hauptfenster von Xsteg.

Die beiden großflächigen Nachrichtenfelder Filename und Message window zeigen die Scan-Ergebnisse sowie den Befehlszeilenaufruf von Stegdetect mit den entsprechenden Parametern an. Über die fünf Auswahlschalter im linken oberen Bereich des Programmfensters bestimmen Sie die beim Scan zu berücksichtigenden Einbettungsmethoden. Besondere Bedeutung kommt dem Feld Sensitivity zu: Hier lassen sich Werte zwischen 0.01 und 9.99 eintragen – je höher der Wert, desto eingehender nimmt Stegdetect das vermutete Steganogramm unter die Lupe. Um eine Bilddatei zu laden, machen Sie diese zunächst über den Menüdialog File | Open ausfindig. Sobald Sie die Datei öffnen, startet automatisch der Scan.

Wir untersuchten zunächst das von Steghide erstellte Steganogramm mit der voreingestellten Empfindlichkeit von 1.00, was nur wenige Sekunden dauerte und ein negatives Ergebnis erbrachte. Sodann erhöhten wir die Sensitivität jeweils in Einer-Schritten und ließen die Datei erneut untersuchen. Beim nur unwesentlich länger dauernden Scanvorgang bei vierfacher Empfindlichkeit wurde unser Bild erstmals als Steganogramm unter Nutzung des von Jphide verwendeten Algorithmus erkannt (Abbildung 3). Weitere Scans mit höheren Empfindlichkeitswerten führten zum gleichen Ergebnis. Die Negativprobe mit dem Originalfoto – also ohne eingebetteten Text – erbrachte erwartungsgemäß kein Ergebnis.

Abbildung 3: Treffer: Das Steganogramm ist identifiziert.

In das gleiche Originalbild betteten wir anschließend mit Outguess 0.2 den selben Text ein. Die folgende Untersuchung mit Stegdetect verlief bei allen Empfindlichkeiten negativ: Das Tool konnte das mit Outguess hergestellte Steganogramm nicht erkennen.

Nun betteten wir mit Steghide einen Text von sechs KByte Länge ins gleiche Trägermedium ein. Die resultierende Datei identifizierte Stegdetect bereits bei einer Sensitivität ab 2.00 als Steganogramm. Je größer als der eingebettete Test, desto eher kann Stegdetect offenbar das resultierende Steganogramm erkennen.

Nachdem Stegdetect seine Fähigkeit erwiesen hatte, mit Steghide angefertigte Steganogramme zu erkennen, unternahmen wir mit Stegbreak den Versuch einer Entschlüsselung.

Problemkind Stegbreak

Das Programm Stegbreak, das sich im Stegdetect-Archiv befindet, ließ sich zunächst unter Ubuntu nicht starten. Dieser Fehlstart trat sowohl bei Verwendung der Ubuntu-spezifischen Pakete aus den Repositories auf, als auch bei der manuellen Kompilation des Paketes aus den Quellen. Tests mit verschiedenen Ubuntu-Derivaten, so auch mit Linux Mint 2.1 (basierend auf Ubuntu 6.10) und Linux Mint 3.1 (Derivat von "Feisty") ergaben stets das gleiche negative Ergebnis.

Es stellte sich heraus, dass eine Datei namens rules.ini fehlt, die ursprünglich von dem Passwortcracker "John the Ripper" stammt. Aber auch das Kopieren dieser Datei von einer anderen Betriebssystemversion des Stegbreak-Pakets konnte nicht zufriedenstellen: Nun verweigerte die Software mit einem Segmentation Fault den Dienst. Dieses ärgerliche Verhalten tritt – wie unsere folgenden Recherchen im Internet ergaben – bei allen Debian- und Ubuntu-Versionen sowie deren Derivaten auf. Ein Fix ist noch nicht verfügbar [5]. Somit scheiden auf Debian basierende Distributionen derzeit noch als Basis für den angehenden Steganografie-Cracker aus.

Nach diesen zeitintensiven Experimenten installierten wir ein älteres Stegdetect-Binärpaket unter Mandriva Spring 2007. Dabei beschwerte sich Rpmdrake über veraltete Bibliotheken, sodass wir das Paket brachial mit dem Kommandozeilenbefehls rpm -ivh --nodeps stegdetect-0.5-2mdk.i586.rpm installierten. Der packte die Software anstandslos auf die Platte. Anschließend konnten wir im Terminal stegbreak aufrufen und die Brute-Force-Attacke gegen unser Steganogramm starten.

Die Befehlssyntax gestaltet sich dabei denkbar einfach: Nach dem Programmaufruf geben Sie lediglich mit dem Parameter -t der Typ des Steganogramms an, wobei Sie auch mehrere Varianten nennen dürfen. Um wirklich alle denkbaren Einbettungsmethoden für die Passphrase zu berücksichtigen, entschlossen wir uns, alle von Stegbreak unterstützten Typen zu prüfen. Für einen solchen Brute-Force-Angriff auf ein Steganogramm sollte man genügend Zeit und einen schnellen Rechner mitbringen: Bei unserem Test mit einer auf gut 2 GHz getakteten Core2-Duo-CPU benötigte das Programm für gut 40 Millionen Angriffe etwa fünfeinhalb Stunden – ohne dabei die Passphrase zu finden (Abbildung 4).

Abbildung 4: Ergebnis negativ: Die Passphrase konnte nicht gefunden werden.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gut versteckt
    Steganografie beherrschen viele Programme. Doch Outguess versteckt gleich zwei Texte in einem Bild.
  • Verstecken spielen
    Wer Botschaften nicht nur verschlüsseln, sondern komplett vor neugierigen Blicken verstecken will, greift zu Steganografie. Wir zeigen, wie die verdeckte Übermittlung unter Linux funktioniert.
  • Gut getarnt
    Verschlüsselte Dateien erwecken bei Neugierigen stets Interesse. Auf die Idee, dass die nett anzuschauenden Bilder versteckte Informationen enthalten könnten, kommt dagegen kaum jemand.
Kommentare

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...