Шпионские игры в JPEGs: как найти секретные данные, спрятанные в картинках с котиками

Каждый день ты скроллишь ленту и видишь сотни картинок: мемы, фотки из отпусков, гифки и, конечно, котиков. Миллионы котиков. Они выглядят невинно, глупо, мило. Но что, если я скажу, что какой-нибудь из этих пушистых засранцев на самом деле — цифровой контейнер, перевозящий украденные пароли, секретные чертежи или инструкции для спящей ячейки террористов?

Звучит как бред параноика? Добро пожаловать в мир стеганографии — искусства прятать информацию так, чтобы никто даже не заподозрил о её существовании.

Криптография для слабаков? Не совсем

Для тех, кто до сих пор путает шифрование и стеганографию, объясняю на пальцах.

• Криптография — это когда ты берёшь сообщение, превращаешь его в абракадабру с помощью ключа и отправляешь. Все видят, что ты отправил зашифрованную тарабарщину. Это как отправить врагу запертый на амбарный замок сундук. Все знают, что внутри что-то ценное, но не могут открыть.
• Стеганография — это когда ты прячешь само существование сообщения. Ты не привлекаешь внимания. Твой секрет летит через весь интернет, замаскированный под что-то абсолютно безобидное. Это как положить записку внутрь фальшивой монеты. Никто даже не подумает её проверять.

Именно поэтому стеганография — любимый инструмент шпионов, хакеров и прочих ребят, которые не хотят, чтобы их переписку вообще кто-либо заметил. Зачем вызывать подозрения зашифрованным трафиком, если можно просто постить котиков?

Как котик становится шпионом: магия пикселей

Как, черт возьми, можно засунуть текстовый файл в JPEG? Всё дело в избыточности данных. Картинка — это, по сути, гигантский набор пикселей, а цвет каждого пикселя описывается числами (например, в формате RGB).

Человеческий глаз — штука довольно примитивная. Он не заметит, если мы слегка, на самую капельку, изменим цвет одного пикселя. Например, вместо тёмно-синего с кодом (0, 0, 100) сделаем (0, 0, 101). Разницы — ноль.

А теперь представь, что мы можем использовать этот «шум» для записи информации. Самый популярный метод — LSB (Least Significant Bit), или «метод наименьшего значащего бита». Мы берём число, описывающее цвет, и меняем его последний бит на бит из нашего секретного файла. Один пиксель — несколько бит информации. Тысячи пикселей в картинке — и вот у нас уже спрятан целый текстовый документ или даже небольшой архив.

Чтобы провернуть такой трюк, не нужно быть гением. Существуют десятки программ вроде Steghide или OpenPuff, которые сделают всё за тебя. Выбираешь картинку-контейнер, выбираешь файл, который хочешь спрятать, задаёшь пароль (чтобы никто другой не смог извлечь данные) — и вуаля. Твой безобидный котик готов к отправке.

Охота на цифровых призраков: как поймать шпиона

Хорошо, прятать научились (в учебных целях, разумеется). А как находить? Это уже задача для нас, цифровых криминалистов. И это, скажу я вам, та ещё головная боль. Нет никакого магического сканера с надписью «Проверить картинку на шпионов».

Поиск стеганографии — это игра в вероятности и кропотливый анализ.

• Статистический анализ. У нормальной, «чистой» картинки распределение цветов более-менее случайное. Когда в неё внедряют данные методом LSB, эта статистика слегка нарушается. Специальные программы (инструменты стегоанализа) могут заметить эти аномалии и поднять тревогу. Это не стопроцентная гарантия, но хороший повод присмотреться к файлу повнимательнее.
• Сравнение с оригиналом. Это джекпот. Если у тебя есть оригинальная картинка котика до того, как в неё что-то спрятали, задача упрощается донельзя. Сравниваешь два файла побитово, и все изменения тут же вылезают наружу. Проблема в том, что оригинал у тебя есть чуть реже, чем никогда.
• Атака по словарю на известные инструменты. Если ты подозреваешь, что использовалась популярная утилита вроде Steghide, можно попытаться «вскрыть» контейнер, перебирая пароли. Люди ленивы и часто используют простые пароли. Иногда это срабатывает.

Поиск скрытых данных — это не столько наука, сколько искусство. Нужно анализировать контекст: кто отправил картинку, кому, при каких обстоятельствах. Иногда самый мощный инструмент — это не программа, а мозг аналитика, который задаёт правильные вопросы.

Так что в следующий раз, когда увидите очередного пиксельного котика в сети, просто помните: не все котики одинаково безобидны. А теперь перестаньте параноить и идите работать. Я серьезно.