- Viernes, 07 Mayo 2010
En el presente artículo se pone de manifiesto algunos de los beneficios ocultos que aporta la esteganografía en el desafiante mundo de la protección de la sociedad de la información y del conocimiento que nos toca vivir donde el volumen de información va incrementándose por encima de 165 millones de gigabytes.
Todo el mundo necesita conectarse a la información en forma digital a través de una red para publicar contenidos, como canal para interactuar y colaborar las personas y poner o mantener actividades de negocio. La seguridad de la información es una de las carreras de más rápido crecimiento en Tecnología de la Información, salvaguardar los sistemas es un rol de misión crítica en toda organización y una forma de ayudar a la sociedad en general. La información es un activo clave tanto en toda organización como a nivel de las personas en particular.La seguridad de la información es un proceso y puede definirse como: (1) El sentido de aseguramiento bien informado del equilibrio entre los riesgos a la información y los controles aplicados. (2) La calidad o estado de estar protegido, es decir de estar libre de peligro. Toda organización moderna debería implantar múltiples niveles de seguridad: seguridad física, seguridad del personal, seguridad de las operaciones, seguridad de las comunicaciones, seguridad de red, seguridad de datos y computadores. Para ello se necesitan herramientas como políticas, concienciación, formación, educación y tecnología. Se observa una creciente utilización masiva de la esteganografía en seguridad de la información en áreas muy diversas como: la privacidad y anonimato, el control de derechos de autor, la mejora de motores de búsqueda de imágenes, los identificadores inteligentes donde los detalles de los individuos se embeben en sus fotografías, la sincronización de video-audio, la difusión de TV y paquetes IP, el embebido de ckecksum, en sistemas de imágenes médicas donde se necesita establecer una separación entre la confidencialidad entre imágenes de pacientes y sus rótulos, por ejemplo nombre del paciente, doctor, direcciones, etc., como alternativa o complemento al cifrado puesto que las organizaciones de derechos humanos necesitan utilizar la esteganografía ya que el cifrado esta prohibida en muchos países y entornos. También se esta desde hace mucho tiempo empleando en aplicaciones ilícitas, por ejemplo los creadores de virus lo utilizan para difundir troyanos y otro malware por ello actualmente es necesario comprobar amenazas embebidas en ficheros de imágenes, audio o video utilizando herramientas de esteganoanálisis. Por otro lado se observa un crecimiento inusual de coordinación de ataques basados en esteganografía de tipo delictivo e incluso terrorista. En el contexto de la simbiosis entre la esteganografía y los teléfonos móviles se puede observar en la URL: http://news.bbc.co.
uk/go/pr/fr/-/1/hi/technology/6361891.stm una utilización donde captando y enviando la foto de una imagen, código de barras JAN o código QR un servidor remoto nos puede devolver ciertos contenidos.
Esteganografía y seguridad
La esteganografía proporciona los medios para ocultar la existencia y presencia de los datos lo que permite proteger dichos datos de posible monitorización no autorizada y no deseada. Aparte de la esteganografía existen otros métodos complementarios para conseguir la confidencialidad de datos secretos: (1) Cifrado. Es el proceso de transformar los datos o texto en claro utilizando operaciones matemáticas a una forma alternativa de los datos originales denominado texto cifrado. Los datos cifrados sólo pueden ser entendidos por las partes autorizadas que dispongan de las claves para descifrar el texto cifrado o criptograma en el texto en claro original. El cifrado no oculta la existencia de los datos lo que oculta es su contenido, es decir el significado de los datos. (2) Ocultar directorios en Windows. Windows permite a los usuarios ocultar ficheros. Utilizando esta característica es fácil cambiar las propiedades de un directorio para ocultarlo, de este modo, el usuario no autorizado no podrá ver todos los tipos de ficheros con su explorador. (3) Ocultar directorios en Unix. Sobre directorios existentes que dispongan de un gran conjunto de ficheros, como en el directorio /dev en una implementación Unix, consiste en hacer que un directorio comience con tres puntos (…) en vez de utilizar normalmente un punto o dos puntos. (4) Canales encubiertos-subliminares. Algunas herramientas se pueden utilizar para transmitir datos valiosos sobre un tráfico de red aparentemente normal. Una de dichas herramientas es Loki que oculta los datos secretos sobre tráfico ICMP (como ping). La esteganografía permite colocar la información secreta en carriers (soportes aparentemente inofensivos y que pueden pasar de-sapercibidos) muy diversos tales como imágenes, ficheros de audio, ficheros de video, ficheros de texto, espacio de disco, particiones ocultas en discos, paquetes que circulan en tráfico de red (normalmente en las cabeceras de las PDUs), en software, en circuitería hardware, etc.
Tipos de técnicas esteganográficas
Existen muy diversas técnicas a través de las cuales la esteganografía permite ocultar información secreta, pueden clasificarse en:
(1) Métodos de sustitución. Consiste en sustituir bits del carrier o tapadera no sospechosa por los bits del mensaje a ocultar. Posibles técnicas: métodos bit-plane y métodos basados en la paleta de colores. Los métodos bit-plane utilizan como carrier por ejemplo imágenes, consiste en reemplazar el LSB (Least Significant Bit) de la intensidad de la imagen con los bits del mensaje, se sustituye 1, 2, 3 o 4 LSB con los bits del mensaje secreto o datos de imagen a ocultar. Los datos se ocultan como ruido de la imagen. De este modo se pueden ocultar grandes cantidades de datos. Se trata éste de un método muy frágil ante posibles manipulaciones de la imagen resultante que oculta la información secreta en el carrier. Variaciones de los métodos bit-plane consiste en utilizar una permutación de localizaciones de los píxel en las que se ocultan los bits, bien empleando generadores de números pseudoaleatorios o PRNG cuyo módulo es el tamaño de la imagen (número píxeles). Los métodos basados en paleta de colores se basan en cambiar el color o paleta de escala de grises que representa los colores de la imagen. El método basado en la inserción del bit menos significativo es el más común y popular y consiste en hacer uso del LSB de la información de píxel de la imagen. De este modo la distorsión global se mantiene al mínimo mientras el mensaje se espacia sobre los píxeles de la imagen. Esta técnica opera mejor cuando el fichero de imagen es mayor que el mensaje secreto y si la imagen es en escala de grises.
(2) Métodos basados en el procesamiento de señales. Por ejemplo métodos basados en transformaciones como Fourier, Wavelets, DCT, etc. y basados en espectro extendido. Estos métodos también denominados métodos basados en algoritmos y transformaciones ocultan los datos utilizando funciones matemáticas que se utilizan en algoritmos de compresión. La idea de este método es ocultar el mensaje secreto en los bits de datos de los coeficientes menos significativos.
(3) Métodos de codificación. Por ejemplo cuantización, códigos de corrección de errores, dithering, etc.
(4) Métodos estadísticos. Se basan en utilizar los test de hipótesis.
(5) Métodos de generación del carrier. Por ejemplo basados en fractales y caos.
(6) Métodos de enmascaramiento y filtrado. La información se oculta dentro de una imagen utilizando DWM (Digital WaterMarking) se incluye información como derechos de copia, propiedad o licencias. El propósito es diferente al de la esteganografía tradicional ya que consiste en añadir un atributo a la imagen de tapadera o carrier de este modo se extiende la cantidad de información presentada.
Consideraciones finales
Nuestro grupo de investigación lleva trabajado más de veinte años en el campo de la utilización de la esteganografía tanto en la síntesis, análisis como evaluación de esteganosistemas para aportar valor añadido en el extensísimo campo de seguridad de la información clave hoy en día en Tecnologías de la Información y las Comunicaciones.
Este artículo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).
Bibliografía
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2009.
- Areitio, J. “Análisis en torno a las tecnologías para el encubrimiento de información”. Revista Conectrónica. Nº 109. Julio-Agosto 2007.
- Areitio, J. “Análisis en torno a la seguridad forense, técnicas antiforenses, respuesta a incidentes y gestión de evidencias digitales”. Revista Conectrónica. Nº 125. Marzo 2009.
- Herramientas esteganográficas: F5 (http://wwwrn.inf.tu-dresden.de/~westfeld/f5.html), S-Tools v4 (http:/members.tripod.com/steganography/stego/s-tools4.html), MP3Stego (http://www.cl.cam.ac.uk/~fapp2/steganography/mp3stego/), EzStego (http://online.securityfocus.com/tools/586/scoreit/), Hide and Seek v4.1 (ftp://ftp.csua.berkeley.edu/pub/cypherpunks/steganography/), Hide4PGP (http://www.heinz-repp.onlinehome.de/Hide4PGP.htm), Jpeg-Jsteg (ftp://ftp.funet.fi/pub/crypt/steganography/), Hide and Seek for Win95 (ftp://ftp.hacktic.nl/pub/crypto/incoming/), Mandelsteg (ftp://idea.sec.dsi.unimi.it/pub/security/crypt/code/), Steganos (http://www.steganos.com/en/), OutGuess (http://www.outguess.org/download.php), White Ónice Store (ftp://ftp.esua.berkeley.edu/pub/cypherpunks/steganography).
Autor:
Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.">Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería. ESIDE.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto .
Cursos Técnicos y Seminarios
Fibra GPON asimétrica. Solución Plug&Play para edificios
Keynet Systems organiza esta charla técnica en la que se tratará de cómo se diseña e instala una ...
Proyecto europeo “Ingenieros del Futuro” con formaciones online gratuitas para jóvenes y docentes ...
El Clúster GAIA ha participado en el proyecto europeo "Engineers of the Future”, cofinanciado por ...
Curso básico de Radiocomunicaciones gratuito
Este curso realizado por el Dr. Francisco Ramos Pascual abordará todos aquellos aspectos ...
Libro electrónico sobre conectividad inalámbrica
Mouser Electronics, Inc presenta un nuevo libro electrónico en colaboración con STMicroelectronics ...
Centro de recursos técnicos sobre retos de la ciberseguridad
En el mundo interconectado de hoy en día, la necesidad de integrar la seguridad en el nivel ...
Suscríbase a la revista CONECtrónica
Precio suscripción anual:
PDF: 60,00.- € (IVA incluido.)
PAPEL: 180,00.- € (IVA incluido.)
Recibirá las 7 ediciones que se publican al año.