隐写术:对网络安全构成严重威胁的图片
这些可怕的黑客图片还隐藏着其他秘密…
隐写术 (Steganography) 的兴起
Deep Secure 首席技术官 Dr Simon Wiseman 写道,曾经属于民族国家军队和有组织网络犯罪团伙的网络攻击方式总会随着供应链落入现代犯罪分子的手中。在精明的网络犯罪分子之间流行着一种破坏性技术——隐写术,这种技术将信息隐藏在图像的像素中 (例如,在颜色和透明度中) 来隐藏信息。
通过隐藏攻击代码和执行攻击代码所需的命令和控制信道,到提供一种工具在网络中可以秘密地传输有价值的信息,通过隐写术能够以几乎无法被察觉的方式入侵网络并窃取数据;肉眼无法分辨出一张被篡改的图片。
例如,我们将《计算机商业评论》最近的一篇文章—— “超过 50% 的企业拥有 1000 多个暴露文件,幽灵用户,过期密码” 嵌入到上面的图片中,你会发现这张照片看起来并没有什么异样。
这就是隐写攻击如此有效和理想的原因:使用脚本工具可以轻松地操纵图像,在其中隐藏大量信息,而不会影响它们的外观。
注意:大型网络威胁可能被存入小型图片中
通过隐写术,攻击者可以根据图像的大小存储更多或更少的信息。随着图片尺寸的增加,更有可能隐藏更多的信息。你可能会惊讶地发现,我们能在上面那张图片中加密所有 272 页著名莎士比亚戏剧《麦克白》——都在这张 733KB 的照片中,而图像没有变形。
新一轮信用卡盗窃潮
把莎士比亚的整部作品都放到照片里似乎没什么大不了的,那么如果是信用卡信息呢?
这正是我们对上面那张照片所做的事情(实际上,这是 30 张虚构的信用卡信息)——但是我们之前已经展示了如何在 50 张图片中融入多达 30 万张信用卡信息。
要做到这一点,黑客只需利用合适的隐写工具(Web上免费提供),或者使用脚本工具或 Office 宏编写自己的脚本就可以了。
添加一张无关紧要的图片,和他们想要隐藏的数据和传输后能够提取数据的密码。然后这些数据可以通过任何方式运转出来,从包含图片的一条推特,到网络邮件消息,甚至电子邮件签名中的一个 logo,而这些都不会引起注意。
隐写术:恶意内部人士的首选工具?
然而隐写术不仅被外部攻击者所使用。对于恶意内部人士来说,隐写术是一个完美的工具,因为他们可以很容易地将信息从网络中传出,而不用担心数据丢失防护软件。
在过去的几年里,已经发生了一些内部员工利用隐写术来窃取公司信息的事件。去年,一位中国工程师将通用电气 (General Electric) 涡轮技术相关的敏感信息嵌入到日落图像中,分 5 到 10 次窃取了这些信息。直到通用电气的安全官员开始怀疑他并开始监控他办公室的电脑,他才被发现。
为了让你知道这有多简单,我们把核电站的工作原理示意图嵌入到了上面的图片中。
这些工具的使用非常广泛。我们最近对 “忠诚的代价” 的研究揭示了来自内部的风险情况,8% 的英国办公室职员表示,他们曾使用网络工具(如隐写术或加密)窃取公司信息。尽管 13% 的受访者来自 IT 和电信行业,这些行业可能需要更多的技术技能,但人力资源和金融业的网络工具使用率也相当高(分别为 15% 和 12%)。
防范隐写术的关键是什么?是内容
企业及其安全团队应该对隐写术的来势汹汹感到担忧——无论是攻击来自外部人士还是内部人士。但这场战斗我们不一定会失败。
虽然无法检测到,但有一种全新的方法可以防止使用隐写术隐藏在图像中的威胁进入或离开你的网络。内容威胁消除通过转化来解决问题,使你可以信任通过你的网络的所有数字内容。所有文件,无论是 OfficeX 文档、jpeg 文件,甚至是图像缓存,都会在边界处被拦截,无法继续进行处理。这些内容会被转化,有用的信息会被提取而原始文件会被删除。然后在企业边界处会生成一个新文件,它是原始文件的可视副本。
以这种方式对图像进行转化可以消除隐藏在图像中的任何威胁,但不会破坏图像的最终用户体验,生成的图像与人眼看到的原始图像是相同的。如果无法检测图像是否被加密,你需要能相信它没有被加密。
上面的图片可能看起来和其他图片一样,但请相信,这是我们希望收到的那种图片,也是本文中唯一一张纯数字图片。在信任所有通过你的网络的图片之前,请相信本文中的话……