Čo to znamená, keď bezpečnostný pracovník povie „stego“

Tento druh patří patrně mezi nejznámější dinosaury díky velkým kostěným deskám na hřbetě a ostnatému ocasu (u nás zřejmě díky filmu Karla Zemana z roku 1955 Cesta do pravěku). 

myslí tím pravděpodobně steganografii. Steganografie je technika skrytého ukrytí informace do běžně vypadajících dat. V praxi byla opakovaně využita jak zločinci, tak státními aktéry v rámci špionáže. Platí všeobecné přesvědčení nebo lépe spojení, že steganografie využívá ke skrývání dat obrázku, ve skutečnosti steganografické prostředky využívají i audio, video, dokumenty, nebo třeba i síťový provoz k ukrytí dat, a zejména pak kódu. Řada kampaní škodlivého kódu používala steganografii ke skrytí příkazů nebo kradených dat v obrázcích nahraných na veřejné weby. Třeba škodlivý kód Vawtrak/Neverquest ukrýval konfigurační data do favicon (favorite icon) obrázků webů. Tím útočníci obcházeli bezpečnostní monitoring, protože přenos vypadal jako běžné stahování obrázků a bezpečnostní prostředky nezkoumaly jejich skutečný obsah.

Asi nejznámější případ použití je škodlivý kód Stegoloader, který se objevil někdy před desíti lety, používal PNG obrázky ke stažení škodlivého kódu a instrukcí. Na první pohled šlo o běžné obrázky umístěné na kompromitovaných nebo legitimně vypadajících webech. Uživatel ani bezpečnostní proxy často neviděli nic podezřelého – stáhl se standardní .png soubor. Ve skutečnosti však obrazová data obsahovala zakódovaný binární obsah, typicky další stupeň škodlivého kódu nebo instrukce. Co bylo na obrázcích? Ve většině případů nic zvláštního – krajinky, ikony, bannery, reklamní grafika, profesionální nebo poloprofesionální fotografie nabízené k licencovanému použití více zákazníkům. Smyslem bylo splynout s běžným webovým provozem.

Ano i ne. Upřímně tedy spíše ne. Obrázek samozřejmě měl „varovné znaky“, ty však nehledejme ve vlastní grafice. Např. neobvykle velká velikost souboru. Obyčejný PNG 800×600 má několik set KB, podvržený ale má i 8 MB, což může znamenat přidaná data nebo neefektivní kompresi. Upřímně: všimnete si toho? Dalším signálem je, že obrázek je vlastně zbytečně ve formátu PNG. Fotografie bývají často JPEG. Pokud někdo posílá běžnou fotku jako velký PNG, může to být podezřelé (není to však důkaz). Opět: budete tomu věnovat pozornost? Můžete také zkoumat metadata souboru, ale udělá to v reálu někdo?

Existuje, ale je důležité říct realisticky: nelze spolehlivě zastavit každé skryté vložení dat, protože běžný obrázek nebo audio může být legitimní, i škodlivý zároveň. Obrana proto stojí hlavně na vrstvené bezpečnosti – tedy zabránit spuštění škodlivého kódu, odhalit anomálie a omezit exfiltraci dat. Pro běžného uživatele to znamená aktualizovaný operační systém a kvalitní nástroj pro detekci škodlivých kódů („za starých časů“ bych napsal antivirus). Samozřejmě také bezpečné chování – nestahovat žádný kód z pochybných nebo i neověřených zdrojů.

Pokud chcete poradit s osvětou, s budováním bezpečnostního povědomí, poradit ohledně bezpečnosti, zkonzultovat nějaký problém, navrhnout vhodný „antivirus“ pro vaše prostředí nebo i vyškolit personál, klidně se obraťte na Aricomu. Rádi vám poradíme a jak se říká, za zeptání nic nedáte :-)