Die Sonnenseiten (und Schattenseiten) der digitalen Steganographie

  • 20. November 2014
  • 7 min Lesezeit

Steganographie. Ein neues Wort hat jetzt das Licht der Welt erblickt.

Nun, so neu ist es eigentlich gar nicht. Der Begriff wurde 1499 zum ersten Mal von dem deutschen Kryptographen Johannes Trithemus verwendet und geht auf die altgriechischen Wörter steganos (verborgen, geschützt, versteckt) und graphein (schreiben) zurück.

Heutzutage versteht man unter Steganographie „die Kunst oder Wissenschaft der verborgenen Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container)“.

Vor dem Computerzeitalter – und in der Tat vor Schöpfung des Wortes – setzten die alten Griechen auf physische Steganographie bei der Übermittlung geheimer Botschaften. Bereits 440 v. Chr. verbargen Boten wichtige Informationen auf Holztafeln, indem sie sie mit einer Schicht Bienenwachs überzogen, auf welcher eine andere, nicht geheime Botschaft stand. Bei Übergabe wurde das Bienenwachs entfernt, und die wahre Botschaft – zum Beispiel ein Militärmanöver – wurde wieder lesbar. In anderen Fällen wurde den Boten die geheime Botschaft auf ihre Kopfhaut tätowiert. Sie ließen dann wieder ihr Haar darüber wachsen, damit die Botschaft nicht mehr zu lesen war, und konnten so diese ungesehen übermitteln. Bei Ankunft wurde ihnen der Kopf rasiert.

In diesen antiken Beispielen und in der Tat allen Fällen, bei denen Steganographie zum Einsatz kommt, liegt die Täuschung darin begründet, ein Geheimnis mit etwas zu verschleiern, das keines ist. Insofern unterscheidet sich die Steganographie von der Kryptographie – einem anderen Begriff, von dem Sie sicherlich mehrfach in der Malware-Szene (und ebenso bei den alten Griechen) schon gehört haben. Bei bei der Kryptographie werden geheime Informationen in offensichtlicher Art und Weise versteckt; das heißt also, Sie wissen, was los ist, wenn Ihnen ein solcher Fall unterkommt. Bei der Steganographie dagegen wird die Tatsache verschleiert, dass etwas verborgen wurde, um keinen Verdacht zu erwecken.

Digitale Steganographie kurz und schmerzfrei erklärt

Der Ansatz der heutigen digitalen Steganographie ist in etwa der gleiche wie bei den alten Griechen: Geheimnisse werden durch nicht so Geheimes versteckt. Stellen Sie sich einmal beispielsweise die folgende Botschaft vor:

Emsisoft ist toll

Um die Nachricht verschlüsselt zu übermitteln, könnten wir stattdessen schreiben:

Dlrhrnes hrs snkk

Dabei kommt ein einfacher Algorithmus zum Einsatz: jeder Buchstabe wird durch den im deutschen Alphabet vorausgehenden ersetzt; so könnten wir nun die Botschaft anderen übermitteln, und nur wer weiß, wie er sie zu entschlüsseln hat, kann sie lesen.

Eine Verschiebung um einen Buchstaben ist allerdings recht einfach. Um unsere Botschaft besser zu verschleiern, könnten wir einen komplexeren Algorithmus anwenden und diesen um einen weiteren Schritt ergänzen. So könnten wir nach der Verschiebung um einen Buchstaben nach vorn jeden Buchstaben in sein numerisches Pendant umwandeln, sodass A=01, B=02, C=03 usw. Durch diesen neuen Algorithmus würde Emsisoft ist toll zu drei Zahlen:

0412180818140519 081819 19141111

Jetzt ist die Botschaft verschlüsselt. In dieser numerischen Form, die in zwei Schritten entstanden ist, ist kein Mensch mehr in der Lage, unsere geheime Botschaft auf einen Blick zu entschlüsseln. Das ist toll, jedoch gibt es noch ein großes Problem: unsere geheime Botschaft ist allzu offensichtlich verschlüsselt! Jeder, der uns bereits im Verdacht hat und unsere Botschaft abfängt, weiß sofort, dass sie kodiert abgefasst ist und ein Geheimnis in sich trägt. Dies allein könnte denjenigen, der sie abfängt, dazu verleiten, die Nachricht unter die Lupe zu nehmen und den Code zu knacken; wenn wir wirklich diskret sein möchten, ist das weniger gut.

Was nun?

Wie wäre es damit, wenn wir unsere Botschaft so verpacken, dass sie gar keine Botschaft zu sein scheint? Schreiben wir Emsisoft ist toll doch so:

mountain-before-648

Verwirrt? Perfekt. Denn darum geht es ja.

So wird mittels digitaler Steganographie Malware versteckt

Erinnern Sie sich an den griechischen Boten, der die geheime Botschaft auf seiner Kopfhaut verbarg? Die Botschaft befindet sich direkt unter seinem Haar, und niemand würde den Verdacht schöpfen, dass er sie bei sich trägt. Nun zurück zum Berg. Auf den ersten Blick handelt es sich einfach um einen Berg, und nichts erweckt auch nur den leisesten Verdacht. Erst wenn wir an der Oberfläche kratzen, unter der sich das Geheimnis verbirgt.

Moderne digitale Mediendateien wie der Berg oben sind eigentlich extrem komplexe Datensammlungen. Sie mögen zwar einen Berg erkennen, aber Ihr Computer sieht etwas ganz Anderes.

hex-pixel-before-boxed

mountain-before-w-arrow

Oben sehen Sie den hexadezimalen Maschinencode hinter den Kulissen eines einzigen Pixels des Bergbildes. Wer sich mit Grafikdesign auskennt, erkennt wohl, dass es sich um R-111 G-140 B-172 oder in hexadezimaler Schreibweise # 6f8cac handelt.

Nun ändern wir dieses Pixel nur ein klein wenig, nämlich zu R-112 G-141 B-173 oder in hexadezimaler Schreibweise # 708dad.

mountain-after-648

Erkennen Sie einen Unterschied?

Sie wahrscheinlich nicht – Ihr Computer dagegen schon.

hex-pixel-after-boxed

Darin liegt die Essenz der digitalen Steganographie.

Im obigen Beispiel führt die gutartige Veränderungen nur eines Bildpixels zu einem anscheinend identischen Bild; jedoch unterscheidet sich der Maschinencode, mit Hilfe dessen das Bild dargestellt wird.

Malware-Schöpfer können sich diese Technik zu Nutze machen, um bösartigen Code in ansonsten harmlos aussehende Mediendateien wie Bildern verstecken, ohne auch nur den leisesten Verdacht zu erwecken.

Statt eines Pixels könnte ein Malware-Schöpfer unser Bergbild nehmen und 100 Pixel leicht verändern. Er könnte an seine Opfer einen Dropper schicken – oder irgendeinen E-Mail-Anhang, der sich als harmlose Datei präsentiert. Der Dropper könnte ein Programm umfassen, das Malware von einer bestimmten Adresse im Netz installiert. Der Dropper könnte ebenso das anscheinend harmlose Bergbild enthalten. Wenn Dropper Malware von einer bestimmten Adresse im Netz installieren, so ist diese Adresse üblicherweise fest im Design verankert; jedoch sind Dropper so leichter von Anti-Malware-Software zu erkennen.

Um nun der Enttarnung zu entgehen, verweist der Dropper in diesem Beispiel stattdessen auf das Bergbild und seine 100 modifizierten Pixel. Dieser Verweis wird mittels eines Algorithmus realisiert – der den Dropper anweist, die modifizierten Pixel ausfindig zu machen, ihren Maschinencode auszulesen und dann diesen mit Hilfe eines anderen Algorithmus in eine URL umzuwandeln. Sobald die URL dekodiert wurde, wird eine Verbindung hergestellt, Dateien werden heruntergeladen, und – da haben wir den Malware-Salat!

Was bedeutet digitale Steganographie für Sie?

So verworren sie auch erscheinen mag, digitale Steganographie zum Einsatz im Zusammenhang mit Malware ist nicht vollkommen aus der Luft gegriffen. In der Tat erfolgte genau die oben beschriebene URL-Verschleierung im Falle von Lurk. Lurk wurde zuerst bei Malware Don’t Need Coffee, dann von Dell SecureWorks untersucht, verwendet digitale Steganographie zur Verschleierung seiner URL und „entführt“ letzten Endes infizierte Computer, um Klickbetrug zu begehen.

In viel einfacheren Szenarios (und eigentlich auch teilweise bei Lurk) kann bösartiger Code einfach an das Ende der Mediendatei angehängt werden, was zu kaum mehr als statischem oder „Bildrauschen“ führt.

noise

Bei derartigem Rauschen kann es sich wirklich um eben den Code handeln, der Malware funktionsfähig macht, nur in visuell dargestellter Form! Wiederum ist hier der Maschinencode hinter den Kulissen für dieses bösartige Treiben verantwortlich, wohingegen Sie vermutlich nur eine kleine „Störung“ am Ende eines Videos oder am Bildrand feststellen würden.

Was heißt das nun für Sie als Nutzer?

Neben der Tatsache, dass sie etwas Faszinierendes darstellt (zumindest ist das unsere Meinung ;), bedeutet digitale Steganographie für Sie, dass selbst Bilder, die Sie tagtäglich im Netz finden, alles andere als über jeden Verdacht erhaben sind. Im Grunde geht es in der Kunst der Steganographie – und in vielerlei Hinsicht bei der Schaffung von Malware – darum, etwas dort zu verstecken, wo niemand auch nur auf den Gedanken käme zu suchen.

Für Nutzer heißt das: Augen auf! Einfach unbekannte oder unerwartete Dateien auf Ihren PC zu lassen, wäre in etwa so, als ließen Sie einen Fremden in Ihr Heim. Digitale Steganographie führt uns vor Augen, dass diese Fremden, die harmlos – oder gar freundlich daherkommen mögen – das genaue Gegenteil davon sein können. Das heißt nun aber nicht, dass Sie sich nicht weiter Katzenfotos anschauen könnten. Vielmehr sollten Sie in der Lage sein, hinter die Fassade zu blicken. Wer unsere Software nutzt, weiß wohl auch, dass sie genau dafür entworfen wurde.

Sobald ein Programm versucht, eine Verbindung mit einer bösartigen Website herzustellen, unterbinden wir dies mit seinem Internetschutz – selbst wenn die Website mit Hilfe von Techniken der Steganographie vor neugierigen Blicken versteckt ist. Wenn eine Datei bösartigen Code enthält, wird die Ausführung dieser Datei mittels unseres Dateiwächters verhindert – selbst wenn dieser Code in Bildrauschen verpackt ist. Falls Malware versucht, Schwachstellen in digitaler Technologie auszunutzen, zum Beispiel eine Sicherheitslücke in Medienplayern wie Adobe Flash, dann schlägt unsere Verhaltensanalyse Alarm – selbst wenn diese Sicherheitslücke bisher in der Anti-Malware-Community noch weitgehend unbekannt war. Und Nutzern, die gerne etwas über die verrückten, unerhörten Mittel und Wege erfahren möchten, auf denen Malware-Schöpfer auf Kosten anderer finanziell zu profitieren trachten – anstatt ihre Fähigkeiten für sinnvolle Zwecke einzusetzen – gibt es Hilfestellung durch unser Forum und im Emsisoft Blog – selbst wenn das Thema augenscheinlich nichts weiter als Humbug ist.

Wir wünschen eine schöne (steganographisch gesicherte, Malware-freie) Zeit!

 

 

 

 

 

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel

Leserkommentare