Faltam 0 dias! Inscreva-se agora! O maior encontro de profissionais web da américa latina.

Como o uso de esteganografia torna-se mais prevalente no mundo do crime, tanto nos crimes tradicionais quanto nos novos e crescentes no mundo do cybercrime, a inspeção de arquivos digitais para descobrir ou detectar esteganografia assume uma importância acrescida. A emergente disciplina de esteganografia ou esteganalise necessita de uma formação de um subconjunto de especialistas em forense digital, que deve ser praticada de mão dada com outras atividades de investigação.

Pósmortem - Estratégias de Investigação
A investigação sobre a eventual utilização de esteganografia pode ser um processo complexo e demorado. Examinar as evidências de uma disco rígido que contém 10.000 imagens, 2.500 arquivos de áudio e  500 vídeoclipes poderia facilmente levar semanas. Se vários computadores, backup ou mídia de Internet, seria necessária uma análise do processo, podendo, naturalmente, tomar muito mais tempo. No entanto, a aplicação de um processo similar, mostrado abaixo, e utilizando tecnologias sofisticadas, pode reduzir significativamente o processo.

Determinando Suspeita - Por que você suspeita do uso de esteganografia?
Algumas questões questões você pode considerar:
a. Será que o suspeito tem computador?
b. Será que o tipo de crime está correto, como um mandado incriminatórios escondendo informações (criança, pornografia infantil, tráfico de droga, terrorismo)?
c. A quantidade de evidências digitais encontradas é pequena, mas há um grande número de imagens ou arquivos de áudio sobre o suspeito do disco rígido? Existem imagens duplicadas ou compactadas que tem diferentes números de hash?

Identificar Conhecidos Programas de Stego - Uma vez que você levanta suspeitas de que o suspeito pode ter empregado esteganografia, será necessário uma pesquisa no disco rígido para programas de esteganografia. Existem várias métodos para fazer isto. Na versão mais recente do National Software Reference Library (NSRL), Versão 2.1 do Instituto Nacional de Padrões e Tecnologia (NIST), e do Instituto Nacional de Justiça (NIJ) existe um conjunto hash que foi extraído do CD StegoArchive . Realizar uma pesquisa usando o NSRL, dados com a orientação do Software EnCase ou WetStone's Gargoyle pode fornecer pistas importantes.

 
A indicação do número de hash da aplicação utilizada, auxilia no refinamento da gama de aplicações e na indicação de qual aplicação foi utilizada. Ao identificar as ferramenta de esteganografia especifica dois distintos benefícios podem ser obtidos.

Primeiro, podem ser obtidos os tipos de arquivos que são transportados no programas de esteganografia especificados. Por exemplo, se o único programa de esteganografia é encontrado, GIFITUP, então você pode concentrar sua pesquisa em arquivos GIF.

A segunda vantagem proporcionada por este método é a possibilidade de utilizar o programa para aumentar a tentativa de extrair os dados ocultos, desde que você possa obter a senha utilizada pelo suspeito.

Identificar Arquivos Suspeitos - Depois de ter sido determinado quais programas de esteganografia  foram utilizados pelo suspeito, a identificação do suspeito e os arquivos transportados (Arquivos trsnportados: texto, imagens digitais, pastas de  áudio ou vídeo que possa dar cobertura a mensagens ocultas ou informação) irá ajudar a reduzir o
pesquisa. 

 
O Gargoyle identifica os tipos de arquivo suspeitos para você.

Identificar Caminhos Suspeitos - Depois de ter estreitado a pesquisa a tipos de arquivo conhecidos é possível realizar a análise de arquivos suspeitos. Assumindo que os arquivos suspeitos são imagens, então estão disponíveis diversas ferramentas para a detecção de esteganografia. 

O método mais simples é a visualização de imagens ou arquivos de áudio para examinar características incomuns ou suspeitas. A base fundamental do conceito está em esconder informações dentro de outros arquivos, estas informações apresentam-se "normais", pois a visualização da imagem não é distorcida pela adição da carga, ou material escondido. A vsualização normal da imagem para a maioria de nós é a projeção do vermelho-verde-azul (RGB) valores em um monitor de computador. 

Portanto há a necessidade de manter a imagem em RGB para visualizar os dados constantes. No entanto, em fazê-lo, existem sutis mudanças que podem ser vistas por outras aplicações formas de visualização da imagem, como o Matiz ou Saturação. 

Usando um Stego Image Viewer, pode-se visualizar a forma normal e a de saturação mostrada à esquerda na figura seguinte.  Novamente na página seguinte, no exemplo em o direito, nós começamos com uma inserir um arquivo JPEG de 111K, e usei o programa de esteganografia JSTEG inserindo 5K um byte do arquivo. Neste exemplo, mostro o contraste da representação da imagem normal versus a da visualização da Matiz.

 
Detectando Steganografia (Esteganalise) Estas técnicas têm sido desenvolvidas por uma variedade maior de pesquisadores, incluindo nomeadamente como J. Fridrich, N. Johnson, P. Peticolas, RJ Anderson, e outros. 

Aplicando estes enfoques teóricos tem provado, na melhor das hipóteses a ser difícil. A maioria dos métodos proporciona uma razoável identificação de suspeita das imagens, porém sofre de alta taxa de falsos positivos. Isto é especialmente verdadeiro quando aplicado a uma grande variedade de imagens (o tamanho das flutuações das imagens, densidade colorida das imagens, imagens muito pequenas ou muito grandes , imagens que foram convertidas entre formatos, etc) .

A dificuldade pode ser atribuída à grande variedade de imagens, áudios e arquivos de vídeo que existem juntamente com uma ampla variedade de fontes para esses arquivos. Por exemplo, mais de 20 (viáveis) diferentes de fabricantes de câmeras digitais hoje existem cada oferecendo dezenas de modelos. Cada modelo cria ligeiramente diferentes formatos de imagem, utilizando diferentes algoritmos de compressão, inclusive algumas agora com marca dágua digital.

A capacidade de construir um modelo estatístico com uma combinação de alta precisão e baixa detecção falsos resultados positivos é complicado e problemático. Se você adicionar a isto a consideração de manipulação destas imagens com programas de processamento de imagem, aplicações de edição, programas de conversão e compressão são os atributos de dificuldade de modelagem "normalmente em imagens digitais" aumentando a um ritmo exorbitante. 

O Laboratório de Pesquisas da Força Aérea dos EUA desenvolveu juntamente com a Wetstone o  Stego Watch, que foi concebido e desenvolvido não só como uma produto comercial, que se beneficia da aplicação da agências delei, mas como um quadro utilizáveis pelos comunidade s científicas para testar os mais promissores algoritmos de Stego detecção e mover rapidamente a partir do laboratório para as linhas de frente.

Neste sentido, as aplicações de Stego está em fornecer uma plataforma para novos algoritmos e abordagens para ser rapidamente implantadas para a detecção e identificação de esteganografia, tanto no postmortem quanto investigações online. Stego Watch expõe um API para os investigadores e programadores que permite que novas pesquisas e detectores de esteganografia.

Desta forma, os pesquisadores e desenvolvedores independentes possam acrescentar novos algoritmos e comparar e correlacionar seus  resultados. Veja no site www.wetstonetech.com como você poderia auxiliar o desenvolvimento de algoritmos para a busca de esteganografia.

Fique com Deus e até o próximo artigo.