TPrzestrzenie cyfrowe, od których społeczeństwo stało się praktycznie zależne w ciągu ostatnich 10–15 lat, stają się coraz bardziej oporne. Cenzura wielkich technologii, organizacje wywiadowcze i organy ścigania nadal sprzeciwiają się prawom Amerykanów z Pierwszej Poprawki w sposób, z jakim wcześniej spotykali się tylko ci, którzy żyli w jawnie autorytarnych reżimach, takich jak Iran, Chiny czy Rosja. Podczas gdy tajna komunikacja jest często przedstawiana jako podejrzana w filmach i polityce, steganografia jest metodą utrzymywania tajemnicy prywatnej komunikacji w erze cyfrowej.
Nic więc dziwnego, że wiele osób zwróciło się w stronę bezpiecznych narzędzi komunikacyjnych (COMSEC), takich jak Signal lub Keybase, które zapewniają szyfrowanie typu end-to-end. COMSEC jest niezbędny, ponieważ chroni treść Twojej komunikacji, niezależnie od tego, czy rozmawiasz z członkami rodziny na Signal, czy uzyskujesz dostęp do usług bankowości internetowej przez HTTPS. Czasami COMSEC nie wystarczy, aby chronić Twoją prywatność lub bezpieczeństwo.
słowniczek
COMSEC: Bezpieczeństwo komunikacji
COVCOM: Tajna komunikacja
Plik okładki: Obraz lub wideo zawierające ukryty plik
Plik wiadomości: Sekretna wiadomość, którą chcemy ukryć
OPSEC: Bezpieczeństwo operacyjne
Martwa kropla: Fizyczna lub cyfrowa lokalizacja, w której pliki lub elementy mogą zostać pozostawione przez jedną stronę i odzyskane przez drugą bez bezpośredniej interakcji obu stron. Zobacz numer 37, aby zapoznać się z przykładami fizycznych martwych punktów.
Sztuka i rzemiosło: Stosowanie narzędzi, taktyk i procedur przez specjalistów wywiadu lub cyberbezpieczeństwa
Problemy kryptografii
Tradycyjne systemy kryptograficzne, takie jak PGP lub nowoczesne systemy, takie jak Signal, pracując w przestrzeni nieprzyzwalającej, mają dwie główne wady:
1. Nie robią nic, aby ukryć fakt, że komunikacja miała miejsce.
2. Sama kryptografia zapewnia niezaprzeczalność wiadomości poprzez matematyczne powiązanie jej z właścicielem klucza prywatnego osoby podpisującej.
Podsumowując, oznacza to, że przeciwnik posiadający środki będzie wiedział, kto z kim rozmawia, a jeśli klucze zostaną odzyskane lub wiadomości odszyfrowane przez kryptoanalizę, nie będziesz mógł twierdzić, że to nie Ty się komunikowałeś.
Prezentacja tajnej komunikacji
Agenci wywiadu i ich agenci borykali się z tym problemem od wieków, więc w tym okresie istniało wiele metod ukrywania faktu, że w ogóle doszło do komunikacji. Zamiast COMSEC, techniki te stanowią COVCOM, czyli tajną komunikację. W świecie analogowym techniki COVCOM obejmowały znikanie atramentu i mikrokropek. W cyfrowym świecie jedną z najczęstszych technik jest steganografia.
Steganografia cyfrowa to proces szyfrowania jednego pliku, a następnie osadzania go w innym w celu ukrycia jego istnienia. Zazwyczaj enkapsulacja jest plikiem obrazu lub wideo, ponieważ dane mogą być zakodowane w pikselach bez wpływu na wygląd obrazu dla ludzkiego oka.
Inicjacja do steganografii
Istnieje wiele opcji bezpłatnego oprogramowania do steganografii, z opcjami dostępnymi dla wszystkich głównych systemów operacyjnych. Bardzo popularną opcją jest OpenStego. Napisany w Javie, może działać w systemie Windows, Mac, Linux lub dowolnym systemie operacyjnym obsługującym Javę. To sprawia, że są doskonałym wyborem do adopcji przez MAG lub inną grupę.
OpenStego można pobrać z https://www.openstego.com, a środowisko Java Runtime Environment (JRE) można pobrać z https://www.java.com, jeśli to konieczne.
Gdy masz już Javę i pobrałeś plik zip OpenStego, rozpakuj go i znajdź odpowiedni starter. W systemie Windows potrzebny będzie plik „openstego.bat”:
Uruchomienie pliku .bat powinno uruchomić aplikację:
Tutaj widzimy, że potrzebujemy czterech rzeczy:
- Plik wiadomości to tajny tekst lub inny plik, który próbujemy ukryć.
- Plik okładki to plik, w którym chcemy umieścić naszą wiadomość i to, co zobaczy świat.
- Output Stego File to nazwa pliku, który chcemy utworzyć, która będzie kombinacją naszej wiadomości i okładki.
- Wybór algorytmu szyfrowania i hasła. Jest to coś, co powinno być znane wszystkim zamierzonym odbiorcom pliku i co służy do ochrony treści wiadomości, nawet jeśli przeciwnik wie o jego istnieniu.
Przeglądaj przykład
Powiedzmy, że Big Tech zamknął grupę, która była używana do organizowania wydarzenia lub grupy ludzi, ale grupa nadal chce się zorganizować. Możemy mieć takie zaproszenie:
(Oczywiście jest to wers z irlandzkiej piosenki rebeliantów „Rising of the Moon”). Zapisujemy ten plik, a następnie znajdujemy plik obrazu, aby go ukryć. Po uruchomieniu programu mielibyśmy dwa obrazy. Obok siebie byłyby nie do odróżnienia:
Następnie zamieścilibyśmy ten obraz gdzieś:
Później inny członek grupy przechodzi obok, widzi wiadomość i pobiera obraz:
Korzystając z OpenStego, członek wprowadza wspólne tajne hasło i może pobrać wiadomość:
Uwagi dotyczące rzemiosła
Tradecraft to suma narzędzi, technik i procedur (TTP) używanych przez specjalistów ds. wywiadu lub cyberbezpieczeństwa. Prawidłowe przyjęcie i stosowanie tych TTP ma zasadnicze znaczenie dla sukcesu w coraz bardziej nieprzyjaznej przestrzeni cyfrowej i aby korzystanie ze steganografii było opłacalne.
Po pierwsze, martwa kropla tak naprawdę nie jest martwa. (Zobacz definicję na pasku bocznym i zobacz numer 37, aby uzyskać szczegółowe informacje na temat aplikacji typu dead drop w świecie rzeczywistym.) Strony internetowe takie jak 4chan lub 7chan, na przykład, umożliwiają anonimowym użytkownikom publikowanie plików graficznych. Dość duży ruch w połączeniu z anonimowym charakterem tych witryn przyczynia się do zacierania powiązań między odwiedzającymi. Należy jednak pamiętać, że niektóre z tych witryn mają kontrowersyjne profile, które mogą sprawić, że staną się celem inwigilacji. Profile jednorazowe i witryny z bezpłatnym hostingiem obrazów, takie jak Imgur.com, to również dobre opcje.
Powyżej: Steganografię można zastosować do dowolnego zdjęcia, ale często opłaca się używać powszechnie udostępnianych memów lub ogólnych obrazów, które można ukryć. Upewnij się, że plik okładki, którego używasz, pasuje do motywu witryny, w której go publikujesz.
Po drugie, cyfrowy analog operacji wykrywania przez nadzór wykorzystałby Tora lub VPN przed uzyskaniem dostępu do strony, która byłaby wykorzystywana jako cyfrowe martwe centrum. Aby uzyskać dodatkową warstwę bezpieczeństwa operacyjnego (OPSEC), rozważ zrobienie tego z dala od domu lub miejsca pracy.
Po trzecie, wybierając pliki okładek, chcesz poszukać plików, które są na tyle duże, że gdy Twój post jest osadzony, całkowity rozmiar pliku wyjściowego nie jest powodem do oczywistych uwag. Dodatkowo wybierz pliki okładek, które dobrze pasują do witryny, na której zamierzasz je upuścić. Uruchamianie memów to zawsze dobry zakład, ale obrazy „dla dorosłych” na tematycznych forach udostępniania obrazów mogą być w porządku, w zależności od poziomu komfortu i profilu ryzyka.
Po czwarte, nie zapomnij oczyścić danych w postaci zwykłego tekstu, gdy ich nie używasz. Na przykład w systemach Linux możesz bezpiecznie usuwać pliki za pomocą strzęp zamówienie (dostępne jako mielić na Macu). Aby to osiągnąć, systemy Windows będą wymagały oprogramowania innych firm. Jeśli podczas wykonywania zadania używasz „na żywo” obrazu systemu operacyjnego, takiego jak Tails, wszystkie informacje i tak są ulotne.
Na koniec pamiętaj, że istnieją pewne obawy, że wszyscy muszą być świadomi tego samego wspólnego sekretu, aby ten system działał. Zlekceważenie OPSEC podczas rozdawania kluczy drużynie może dać szansę dobrze umiejscowionemu i posiadającemu odpowiednie zasoby przeciwnikowi uzyskać wgląd w strukturę drużyny. Ta infiltracja może całkowicie podważyć twoją zdolność do tworzenia tajnych kanałów komunikacji. Wybieranie długich haseł, które są łatwe do zapamiętania, ale trudne do odgadnięcia, zmniejszy również prawdopodobieństwo, że Ty lub osoba z otoczenia będziecie musieli je zapisać, oraz prawdopodobieństwo, że przeciwnik będzie w stanie je odgadnąć.
Powyżej: ukrycie posta w gorącym „dla dorosłych” zdjęciu może spowodować, że zwykli widzowie klikną z obrzydzeniem lub zniechęcą ich do odwiedzania witryn, które w pierwszej kolejności zawierają te treści.
Wnioski
Ruch w kierunku prywatnej i bezpiecznej komunikacji, który rozpoczął się wraz z ujawnieniem przez Edward Snowdena nielegalnego szpiegostwa wewnętrznego przez amerykański wywiad, nabrał rozpędu od ogólnego chaosu w 2020 roku. Chociaż bezpieczna komunikacja powinna być podstawą planu komunikacyjnego wszystkich, stworzyło się coraz bardziej niepermisywne środowisko przez wielkie technologie i cenzurę rządową oznacza, że tajna komunikacja stanie się coraz ważniejsza. Dzięki mnogości bezpłatnych narzędzi programowych każdy, kto ma zdrowy rozsądek i odrobinę prostego rzemiosła, może zintegrować COVCOM z kompletnym planem komunikacji cyfrowej, czy to dla swojej rodziny, grupy gotowości na wypadek sytuacji awaryjnych, czy nawet po prostu dla zabawy.
[Ilustracja autorstwa Cassandry Dale.]
Dowiedz się więcej o bezpieczeństwie cyfrowym
Przygotuj się teraz:
Ujawnienie: Te linki są linkami partnerskimi. Caribou Media Group otrzymuje prowizję od kwalifikujących się zakupów. Dziękuję Ci!
BĄDŹ BEZPIECZNY: Pobierz a kopia problemu epidemicznego OFFGRID
W numerze 12 Magazyn poza siecią dokładnie rozważ to, co musisz wiedzieć w przypadku epidemii wirusa. Oferujemy teraz bezpłatną cyfrową kopię wydania OffGrid Outbreak po zasubskrybowaniu biuletynu e-mail OffGrid. Zarejestruj się i otrzymaj bezpłatną kopię cyfrową Kliknij, aby pobrać!