01 diciembre 2010

Herramientas de esteganografía

Aunque la esteganografía es un arte antiguo, el mundo digital le ha dado un nuevo sentido, llevando la idea a nuevos formatos y desarrollando técnicas bastante avanzadas. Aún así, si pensamos en seguridad, la esteganografía por sí sola se queda pequeña, por lo que la mayoría de los programas actuales cifran los datos antes de incrustarlos. Actualmente deberíamos pensar en la esteganografía como una técnica complementaria a la criptografía.

La cantidad de formatos en los que se pueden esconder datos es inmensa, y las técnicas para hacerlo en cada uno de ellos también son variadas. Vamos a ver una pequeña recopilación de formatos que pueden ser contenedores de información oculta, y algunos programas que hacen ésto posible.

- Steghide: Libre, portable, rápido, soporta cifrado y compresión. Es uno de los más usados, y está disponible en los repositorios de software de un montón de distribuciones. Trabaja con JPEG, BMP, WAV y AU.

- JPHide y JPSeek: Trabajan con JPEG, y prometen ser programas muy silenciosos, ya que la modificación del contenedor es mínima.

- Gifshuffle: Como su nombre indica, utiliza ficheros GIF (animados también). Una herramienta muy portable, libre, rápida, y que soporta cifrado / compresión.

- SNOW: Del mismo creador que Gifshuffle, utiliza espacios y tabulaciones al final de las líneas de un fichero de texto ASCII. También es altamente portable, libre, rápido y soporta cifrado / compresión.

- wbStego: Tiene varias versiones, y pretende tener una interfaz más amigable. Utiliza formatos BMP, texto ASCII o ANSI, HTML y PDF.

- MP3Stego: Utiliza ficheros MP3 como contenedores, admite compresión y cifrado.

- Stelin y StegoSense: Herramientas de esteganografía sintáctica en textos. StegoSense se publicó hace unos días, y el autor escribió una colaboración para SbD.

- Fuse::PDF: Ya nos explicó Yago hace tiempo como podíamos utilizar este módulo de Perl para ocultar documentos personales dentro de ficheros PDF.

Ésto es una pequeña muestra de todo lo que podemos encontrar en Internet, en la práctica a cada uno le gustarán más unas que otras y usará unos formatos sobre otros.

Por otro lado tenemos el estegoanálisis, también con sus herramientas, pero éso lo dejamos para otro día.

Y tú, ¿usas esteganografía? ¿La ves útil? ¿Qué herramientas utilizas?

8 comments :

Román Ramírez dijo...

Todo lo que se puede ocultar con steganos es importante desde el punto de vista de la democracia y los derechos ciudadanos.

En un mundo donde cada vez hay más vigilancia, control, análisis de tráfico, filtrado, censura, intereses comerciales abusivos etc. contar con la posibilidad de mover datos de forma que los Poderes no puedan controlarlos es imprescindible.

Tenemos que conseguir divulgar el uso de las herramientas de Stego de forma que cualquier con un BOTÓN GORDO pueda utilizarlas.

Un diez por la línea editorial que sigues @Alberto

Shyish dijo...

Buenas!

La verdad es que si que es un tema bastante interesante, yo personalmente tengo ganas de probar el MP3Stego a ver qué tal funciona.

Lo cierto es que le estuve echando un ojo al tema hace tiempo y me gustó bastante, de hecho me bajé una herramienta llamada Digital Invisible Ink Toolkit que está bastante bien, usa varios algoritmos (cada uno con su explicación) y tiene herramientas de análisis y simulación.

Un saludo!

Alberto Ortega dijo...

Gracias por los comentarios!

@Román
Como comentas, estaría muy bien que la gente (no necesariamente con un perfil técnico) se empiece a familiarizar con la idea, que no es algo nuevo, pero parece que siempre está en un alejado segundo plano. No podría estar más de acuerdo en que según pasa el tiempo más interesante veo su uso.

@Shyish
Muy atractiva la herramienta, otra para la colección :)
Destacaría la genial documentación (2) y la interfaz que parece bastante amigable.

Mikeollie dijo...

Uno puede hacerse su propia herramienta muy facilmente, yo tuve que hacer una en C para una práctica de la carrera, se trataban de dos ejecutables, uno esconde los caracteres de un fichero txt en un fichero mp3 y otro los obtenía luego del mp3 y los dejaba en un txt, no aumentaba de tamaño el mp3 ni era audible la pérdida de calidad, la idea es dejar la cabecera del fichero .mp3 tal y como está y luego ir metiendo pares de bits (sustituyendo) en cada byte del fichero mp3, si alguien está interesado le dejo el fuente.

hecky dijo...

Al igual que Alfonso Muñoz soy un fanatico de la esteganografia, por ello toda mi web esta dedicada a entender esta área, ya que creo primordial entender la esteganografia y estegoanalisis Manualmente, para que se entienda perfectamente que se hace, como funcionan los softwares y elegir el que mas nos convenga.

Saludos ;)

Anónimo dijo...

Siento discrepar en algunos asuntos del post (independientemente de la descripción de stelin y stegosense que no es del todo exacta)

Simplemente destacar que hoy día la mayoría de las herramientas expuestas en el artículo son detectadas a nivel académico y práctico. Y en cuanto al uso de la esteganografía yo sólo recomendaría su uso si realmente se sabe la seguridad concreta de una herramienta y el tamaño de datos máximo (recomendado) a ocultar utilizando esa herramienta.

Quizas pueda ser interesante ir sintetizando la información pública sobre estegoanálisis de cada una de ellas.

Un saludo
Alfonso Muñoz

Alberto Ortega dijo...

@Anónimo (Alfonso)
Para nada, cualquier comentario argumentado es bien recibido :)
Solamente decir que el objetivo del artículo no era analizar en profundidad cada herramienta, ni ver lo "ruidosas" o detectables que son. Seleccioné las que más me gustaron de las que conocía en base a la (poca) modificación del contenedor a simple vista, portabilidad, originalidad, compresión, cifrado, rendimiento, etc ...
También hay que decir que, por ejemplo, SNOW no tiene como prioridad que el contenido oculto no sea detectado (que no leido), pero no deja de ser una herramienta genial.
Recordemos que al principio del artículo comento que vamos a ver la esteganografía como una capa más de seguridad, con cifrado por debajo.

Un saludo!

Anónimo dijo...

No problem Alberto.
Veamos si entre todos podemos hacer que las personas usen cada vez herramientas esteganográficas más seguras. Por cierto, aunque desactualizada hoy día la página del investigador Neil. F. Johnson tiene una buena lista de herramientas por si alguien quiere empezar en este apasionante mundo.

http://www.jjtc.com/Steganography/tools.html

Un saludo