روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ همهی ما میدانیم معنای تلویحی «خواندن بین خطوط» (که غیر تلویحیاش میشود «رمزی نوشتن یک پیام») چیست؛ اما مردم قبل از اینکه برای ارتباط با یکدیگر از فناوری مدرن استفاده کنند فکر میکردند برای مثال این تنها به نوشتن پیامهای مخفی با جوهری نامرئی بین خطوط یک نامهی ظاهراً معمولی خلاصه میشود.
این تکنیک که بموجب آن نویسندهی پیام اطلاعات محرمانهی خود را داخل چیزی -که ظاهری موجه و بیتقصیر دارد پنهان میکند- پنهاننگاری یا اصطلاحاً استگانوگرافی[1] میگویند. پنهاننگاری قدمتی به اندازهی خودِ پدیدهی «نگارش» دارد.
برخلاف رمزنگاری که ترتیب پیام را بهم میریزد تا نشود آن را بدون کلید کدگشایی خواند، هدف از پنهاننگاری مخفی نگه داشتن پیام از پیش چشمان نامحرم است. درست مانند بسیاری از روشهای مدیریت اطلاعات، استگانوگرافی اکنون در فناوریهای دیجیتال نیز به کار میرود.
نحوهی عملکرد پنهاننگاریِ دیجیتال چگونه است؟
پیام رمزی میتواند تقریباً در هر چیزِ دیجیتالی مخفی شود؛ خواه یک داکیومنت متنی باشد یا رمز لایسنس و حتی افزونهی فایل. برای مثال، ادیتورهای Genius.com[2] از دو نوع آپوستروف در متن آهنگهای آنلاین خود استفاده کردند که وقتی با هم ترکیب میشدند در کد مورس[3] گیر میافتادند و بدینترتیب از محتوای منحصر به فرد خود در برابر کپی کردن و اعمال امور غیرقانونی محافظت میشد.
یکی از راحتترین «کانتینرها» برای پنهاننگاران، فایلهای رسانهایست (تصویری، صوتی، ویدیویی و غیره). معمولاً برای شروع خیلی بزرگ هستند که البته همین اجازه میدهد محتوای اضافهشده بیشتر از کانتینرهای دیگر (مانند داکیومنت متنی) پر و پیمان باشد.
اطلاعات محرمانه را میشود در ابردادههای[4] فایل نوشت یا مستقیماً در محتوای اصلی. بیایید یک تصویر را به عنوان مثال مورد بررسی قرار دهیم. از نگه کامپیوتر این عکس مجموعهایست از صدها هزار پیکسل که هر یک برای خود «description» -اطلاعاتی در مورد رنگش- دارد.
این description (یا همان توضیح) برای فرمت RGB[5] که در بیشتر تصاویر رنگی استفاده میشود، حدود 24 بیت حافظه میگیرد. اگر تنها بین 1 تا 3 بیتِ توضیحِ برخی یا حتی همهی پیکسلها به اطلاعات محرمانه اختصاص داده شود، تغییراتی که روی تصویر داده میشود به طور کلی چندان هم قابلتشخیص نخواهد بود. و با توجه به تعداد زیاد پیکسلها در تصویر، حجم وسیعی از اطلاعات را میتوان در آنها نوشت.
در بسیاری از موارد، اطلاعات در پیکسلها مخفی شده و با استفاده از ابزارهای ویژه از آنها استخراج میشود. به منظور انجام این کار، پنهاننگاران مدرن برخیاوقات اسکریپتهای سفارشی مینویسند و یا کارایی لازم را به برنامههایی که مقصود خاصی دارند اضافه میکنند. و گهگاه از کدهای حاضر و آماده استفاده میکنند که مثل آنها در فضای اینترنت ریخته است.
از پنهاننگاری دیجیتال چطور میشود استفاده کرد؟
استگانوگرافی میتواند به روشهای مختلف در فناوریهای کامپیوتری به کار گرفته شود. میشود متنی را در تصویر، ویدیو یا ترک موزیک پنهان کرد- حالا برای سرگرمی یا برای جلوگیری از کپیشدنهای غیرقانونی. واترمارکهای پنهانشده نمونههای خوب دیگری از پنهاننگاری هستند. با این حال، صحبت از پیامهای محرمانه که به میان میآید اولین چیزی که به ذهنمان خطور میکند (هم در قالب فیزیکی و هم دیجیتالی) انواع و اقسام جاسوسی و مکاتبات مخفیانه است.
موهبتی برای جاسوسان سایبری
متخصصین ما متوجه شدند طی 18 ماه گذشته، پنهاننگاران علاقهی بیشتری به استگانوگرافی از خود نشان نشان دادهاند. تا قبل از این، بیش از سه کمپین جاسوسافزار روئت نمیشد. و برنامه به این صورت پیش میرفت که در این کمپینها اطلاعات قربانی به سرورهای C&C (تحت پوشش عکسها و ویدیوها) فرستاده میشد. از نقطهنظر سیستمهای امنیتی و کارمندانی که شغلشان نظارت بر ترافیک خروجی است، هیچچیز مشکوکی در مورد فایلهای رسانهای (که به صورت آنلاین آپلود میشدند) وجود نداشت. و مجرمان سایبری دقیقاً همین را میخواستند.
میمها، جولانگاه مخفیانهی مجرمان سایبری
علاوه بر این، بخش دیگری از جاسوسافزار (که بسیار کنجکاوانه عمل میکرد) فرمانهایی را از طریق تصاویر دریافت میکرد. این بدافزار توسط غیرمحتملترین منبع با مجرمان سایبریِ مسئول آن بخش در ارتباط بود: میمهایی که در توییتر پست شده بودند. بدافزار که حالا خودش را به کامپیوتر قربانی رسانده بود؛ توییت مربوطه را باز و دستوراتش را روی این تصویر بامزه تزریق کرد. از میان فرمانهای مختلف میتوان به موارد زیر اشاره نمود:
- از دسکتاپ اسکرینشات بگیر
- در مورد پروسهها و چیزهای در حال اجرا اطلاعات جمعآوری کن
- اطلاعات را از کلیپبورد کپی کن
- از فلان فولدر، اسم فایل بساز
کد تصویرمحور
فایلهای رسانهای نه تنها میتوانند متن را، بلکه حتی بخشهایی از کد آلوده را نیز مخفی کنند تا بدینطریق سایر مجرمان سایبری شروع کنند به دنبال کردن مسیر جاسوسها. استفاده از پنهاننگاری تصویر، ویدیو یا ترک موزیک را به یک بدافزار تمام عیار تبدیل نمیکند، بلکه میتوان از آن برای مخفیسازی یک پیلود از اسکنهای آنتیویروس استفاده کرد.
برای مثال، در ماه ژانویه مهاجمین از طریق شبکههای تبلیغاتی آنلاین شروع کردند به توزیعِ بَنری هیجانانگیز. این بنر در واقع هیچ تبلیغات واقعی نداشت و به نظر یک مستطیل سفید کوچک میآمد اما داخلش اسکریپتی وجود داشت که میشد در یک مرورگر اجرایش کرد. لبه درست است، اسکریپتها میتوانند در یک اسلات تبلیغاتی لود شوند تا فرضاً به شرکتها اجازه دهند آمار بازدید تبلیغ را جمعآوری کنند.
اسکریپتِ مجرمان سایبری رنگ پیکسلهای تصویر را شناسایی کرده و آن را به عنوان مجموعهای از حروف و عدد لاگ کردند. شاید به نظر کاری بیهود بیاید چون هیچچیز دیدنی نبود الّا یک مستطیل سفید. با این حال از دید این برنامه، پیکسلها سفید نبودند بلکه تقریباً سفید بودند و این «تقریباً» به کد مخرب تبدیل شد (کدی که سر موعد اجرا شده بود).
کد گرفتهشده از تصویر، کاربر را به وبسایت مجرمان سایبری هدایت کرد. آنجا قربانی با تروجانی که خود را زیر پوشش آپدیت ادوبی فلش پلیر پنهان کرده بود آشنا شد. این تروجان در ادامه قرار بود شروع کند به دانلود کردن کلی چیزهای آزاردهنده- به طور خاص آگهیافزارها.
تشخیص پنهاننگاری کار سادهای نیست
سایمون وایزمنِ متخصص در کنفرانس RSA سال 2018، به این موضوع اشاره کرد که یک پنهاننگاریِ حرفهای را خیلی سخت بتوان شناسایی کرد. خلاص شدن از دست آن نیز به این راحتیها نیست. روشهای موجود برای جاگذاری پیامها در تصاویر آنقدر حرفهایست که حتی بعد از پرینت و اسکن مجدد و تغییر سایز و سایر کارهای ویرایشی باز هم نمیتوان از بین بردشان. با این حال، همانطور که پیشتر گفتیم، اطلاعات (از جمله کد) با استفاده از ابزارهایی خاص از تصاویر و ویدیوها استخراج میشود. به بیانی دیگر، فایلهای رسانهای به خودی خود چیزی را از کامپیوتر نمیدزدند و یا دانلود نمیکنند. بنابراین، میتوانید دستگاه خود را با محافظت از آن در برابر اجزای بدافزار که کد یا متن آلوده را در فایلهای رسانهای مخفی کرده و یا از آنها خارج میکنند ایمنسازی کنید.
- برای باز کردن لینکها و پیوستها در ایمیل عجله نکنید. پیام را به دقت بخوانید و اگر آدرس فرستنده یا محتوا به نظر مشکوک میآمد، بهتر است اعتنایی به پیام نکنید.
- اگر نیاز دارید چیزی را دانلود کنید، همیشه از منابع معتبر استفاده کنید- برای مثال اپهای دانلود از فروشگاههای رسمی یا وبسایتهای مخصوص توسعهدهندگان. همینطور برای دریافت موزیک و فیلم هم سعی کنید هرگز به سراغ منابع ناشناخته نروید.
[1] Steganography
[2] یک پایگاه دانش آنلاین است. این سایت به کاربر اجازه میدهد تا ترانهها، داستانهای جدید، اشعار، اسناد و دیگر متنها را تفسیر کند.
[3] Morse code
[4] Metadata
[5]مدل رنگی آرجیبی
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
