Wir alle wissen, was es bedeutet, im übertragenen Sinne „zwischen den Zeilen zu lesen“. Doch noch bevor wir über moderne Technologien miteinander kommunizierten, wurde dies in der Vergangenheit durchaus wortwörtlich genommen und geheime Nachrichten beispielsweise mithilfe unsichtbarer Tinte zwischen die Zeilen eines scheinbar normalen Briefes eingefügt.
Die Technik, mit deren Hilfe der Autor einer Nachricht geheime Informationen in einem Trägermedium, das auf den ersten Blick völlig harmlos und unbedeutend erscheint, verbirgt, wird „Steganographie“ genannt. Im Gegensatz zur Kryptografie, bei der Nachrichten so chiffriert werden, dass sie ohne den Entzifferungsschlüssel vollkommen nutzlos und unlesbar sind, liegt das Ziel der Steganographie darin, die bloße Existenz einer Nachricht zu verbergen. Wie auch bei vielen anderen Informationsverarbeitungsmethoden wird mittlerweile auch die Steganographie in digitalen Technologien verwendet.
So funktioniert digitale Steganographie
Eine geheime Nachricht kann so gut wie in jedem digitalen Objekt versteckt werden; ganz gleich, ob es sich dabei um ein Textdokument, einen Lizenschlüssel oder eine Dateierweiterung handelt. Die Editoren der Website Genius.com, die sich auf die Liedanalyse von Rapkünstlern konzentriert, verwendeten zum Beispiel zwei Arten von Apostrophen in ihren Online-Lyrics, die miteinander kombiniert die Wörter „red handed“ im Morsecode ergaben. Auf diese Weise konnten die Herausgeber individuellen Content vor dem Kopieren schützen.
Die Container, die sich für Steganographen am besten eignen, sind Mediadateien (Fotos, Audio- und Videodateien, etc.). In der Regel sind sie relativ groß, was es ihnen ermöglicht, die kleine Extrazugabe „gehaltvoller“ zu gestalten als im Falle eines Textdokuments beispielsweise.
Geheime Informationen können in den Metadaten der einzelnen Dateien oder direkt im Hauptinhalt niedergeschrieben werden. Nehmen wir ein ganz normales Foto als Beispiel. Aus Computersicht handelt es sich hierbei lediglich um eine Anreihung Hunderttausender Pixel. Jedes Pixel hat dabei seine eigene „Beschreibung“ (Informationen über die Farbe).
Für das RGB-Format, das in den meisten Farbbildern verwendet wird, nimmt diese Beschreibung bis zu 24 Bits Speicherplatz in Anspruch. Wenn lediglich 1 bis 3 Bits der Pixel der Beschreibung von geheimen Informationen beschlagnahmt werden, sind die Änderungen als Gesamtes nicht wahrnehmbar. Aufgrund der enormen Pixelanzahl in Bildern können ihnen vergleichsweise viele Daten hinzugefügt werden.
Das Bild links ohne versteckte Nachricht; das Bild rechts beinhaltet die ersten 10 Kapitel von Nabokovs Lolita
In den meisten Fällen werden Informationen in Pixeln versteckt, die dann mithilfe spezifischer Tools extrahiert werden. Dafür schreiben moderne Steganographen personalisierte Skripts oder fügen Programmen, die für andere Zwecke bestimmt sind, die notwendige Funktionalität hinzu. Gelegentlich verwenden Sie auch vorgefertigten Code, der online im Überfluss vorhanden ist.
Wie wird digitale Steganographie eingesetzt?
Die Steganographie kann auf vielfältige Weise in der Computertechnologie eingesetzt werden. Es ist möglich, Text in Bildern, Videos oder Musiktiteln zu verbergen – entweder zum Spaß oder wie oben beschrieben, um eine Datei vor illegalen Kopien zu schützen.
Auch versteckte Wasserzeichen sind ein weiteres gutes Steganographie-Beispiel.
Für Cyberspione ein Geschenk des Himmels
Vor rund 18 Monaten haben unsere Experten einen Anstieg des cyberkriminellen Interesses an steganographischen Tätigkeiten entdeckt. Zu diesem Zeitpunkt tauchten nicht weniger als drei Spyware-Kampagnen auf, in denen die Daten der Opfer unter dem Deckmantel von Fotos und Videos an C&C-Server gesendet wurden.
Aus Sicht der Sicherheitssysteme und Mitarbeiter, deren Aufgabe darin besteht, den ausgehenden Datenverkehr zu überwachen, waren online hochgeladene Mediendateien alles andere als verdächtig.
Subtile Memes
Eine weitere Spyware erhielt währenddessen Befehle über Bilder. Die Malware kommunizierte mit den Cyberkriminellen über die vermutlich kurioseste Quelle überhaupt: Memes, die auf Twitter veröffentlicht wurden.
Nachdem sich die Malware auf den Computer des Opfers geschleust hatte, öffnete sie den entsprechenden Tweet und entnahm dem dazugehörigen lustigen Bildchen die notwendigen Anweisungen und Befehle:
- Screenshots des Desktops machen,
- Informationen über laufende Prozesse sammeln,
- Daten aus der Zwischenablage kopieren,
- Dateinamen aus dem spezifischen Ordner entnehmen.
Bildbasierter Code
Mediendateien können nicht nur Text, sondern auch Teile von Schadcode verbergen, sodass auch andere Cyberkriminelle es den Spionen schnell gleich taten. Mithilfe der Steganographie wird ein Bild-, Video- oder Musiktitel selbstverständlich nicht gleich in eine vollwertige Malware verwandelt; sie kann allerdings verwendet werden, um eine Nutzlast vor Antivirenscans zu verbergen.
Im Januar haben Angreifer beispielsweise ein amüsantes Banner über Online-Ad-Netzwerke verteilt. Es enthielt keine eigentliche Werbung und sah lediglich aus wie ein kleines weißes Rechteck. Darin befand sich jedoch ein Skript zur Ausführung im Browser. Ja, Skripte können in ein Werbefenster integriert werden, damit Unternehmen unter anderem Statistiken zur Werbeanzeige erfassen können.
Das Skript der Cyberkriminellen erkannte die Farbe der Bildpixel und loggte sie als Buchstaben- und Zahlensatz. Auf den ersten Blick scheint das eine ziemlich sinnlose Übung gewesen zu sein, da nur ein weißes Rechteck zu sehen war. Aus Sicht des Programms waren die Pixel jedoch nicht weiß, sondern fast weiß. Die „fast“-Nuance wurde dann in Schadcode umgewandelt, der ordnungsgemäß ausgeführt wurde.
Der aus dem Bild entnommene Code leitete den Nutzer dann auf die Website der Cyberkriminellen weiter. Dort wurde das Opfer von einem als Adobe-Flash-Player-Update getarnten Trojaner begrüßt, der sich dann an den Download anderer Abscheulichkeiten machte: insbesondere Adware.
Steganographie ist nur schwer zu erkennen
Wie Experte Simon Wiseman bereits auf der RSA-Konferenz 2018 feststellte, ist qualitativ hochwertige Steganographie äußerst schwer zu erkennen und auch ebenso schwer wieder loszuwerden. Es gibt Methoden, mit denen Nachrichten so tief in Bilder eingebettet werden können, dass sie auch nach dem Drucken und erneuten Scannen, Veränderungen der Bildgröße oder anderen Bearbeitungen erhalten bleiben.
Wie wir bereits erwähnt haben, werden Informationen (einschließlich Code) mithilfe eines speziellen Tools aus Bildern und Videos extrahiert. Mit anderen Worten, Mediendateien selbst stehlen oder laden nichts von oder auf Ihren Computer herunter. Daher können Sie Ihr Gerät schützen, indem Sie es vor Malware-Komponenten schützen, die Text oder schädlichen Code in Mediendateien verbergen, und aus diesen extrahieren:
- Lassen Sie sich beim Öffnen von Links und E-Mail-Anhängen Zeit! Lesen Sie sich die Nachricht zunächst aufmerksam durch. Wenn Ihnen die Adresse des Absenders oder der Inhalt verdächtig erscheinen, sollten Sie die E-Mail lieber ignorieren.
- Vertrauen Sie beim Download jeglicher Dateien ausschließlich auf vertrauenswürdige Quellen. Laden Sie App beispielsweise nur aus offiziellen Stores oder von offiziellen Entwicklerseiten herunter. Dasselbe gilt auch für Filme und Musik – unbekannte Ressourcen sind tabu!
- Verwenden Sie eine robuste Sicherheitslösung. Auch wenn sie keinen bildbasierten Code erkennt, kann sie verdächtige Aktionen anderer Malware-Module ausfindig machen.