Технология RSTEG передаст скрытые сообщения в пакетах протокола TCP // 23 Декабря 2012

Польские ученые разработали технологию, которая позволяет передавать скрытые сообщения, в том числе файлы, с помощью технических особенностей коррекции ошибок в сетевом протоколе TCP (Transmission Control Protocol).

Однажды мы уже писали о том, как ученые Войцех Мазурчик (Wojciech Mazurczyk) и Кржиштоф Счипиорски (Krzysztof Szczypiorski) из Варшавского университета разработали два способа скрытого обмена данными по каналам Интернет-телефонии с использованием протокола VoIP. На этот раз Мазурчик и Счипиорски предложили алгоритм, который передает скрытые данные внутри пакетов TCP, отправляемых якобы для исправления неудачно переданных данных. Этот алгоритм получил название RSTEG (Retransmission Steganography – Стеганография в повторной передаче).

В своей статье авторы технологии RSTEG так описывают работу по отправке скрытых сообщений: сначала принимающая сторона принимает начальный пакет и отправляет передающей стороне сообщение об успешном приеме. Вместо того, чтобы передать следующий пакет, передающая сторона игнорирует сообщение об успешном приеме и отправляет пакет с секретным содержимым, но этот пакет имеет такой же идентификатор, что и предыдущий, так что системы проверки пакетов уже не анализируют новый пакет. Для всех систем сетевой защиты новый пакет с секретным содержимым совершенно неотличим от первого пакета, в котором не содержалось ничего подозрительного. Когда повторно переданный пакет достигает принимающей стороны, там можно с минимальными усилиями извлечь из него всю секретную информацию.

Мазурчик и Счипиорски и еще один соавтор алгоритма RSTEG Милош Смоларчик (Miłosz Smolarczyk) также отмечают, что их открытие может оказать существенное влияние на системы безопасности. В частности, в их статье описаны четыре сценария, которые помогают скрыть утечку информации, причем для этого не требуется контролировать промежуточные узлы передачи сообщений. Само собой, тщательное сканирование всех пакетов позволяет выявить подобные утечки, однако при некоторых предосторожностях, например, используя ограничение на частоту повторных передач, атакующие могут и не привлечь внимания, поскольку прирост трафика по сравнению с обычными объемами будет совсем небольшим. На данный момент алгоритм RSTEG работает только с протоколом TCP, однако авторы показали, что такие же принципы стеганографии можно применить и в других протоколах с коррекцией ошибок на уровне пакетов, включая транспортные протоколы беспроводных сетей.

Оригинальную статью с описанием алгоритма RSTEG, возможных сценариев использования и методов противодействия атакам с помощью этого алгоритма можно загрузить в формате PDF с сайта Arxiv.org.