隐写术：对网络安全构成严重威胁的图片

这些可骇的黑客图片还潜匿着其他奥秘…

隐写术 (Steganography) 的鼓起

Deep Secure 首席技能官 Dr Simon Wiseman 写道，曾经属于民族国度部队和有组织收集犯法团伙的收集进攻方法总会跟着供给链落入当代犯法分子的手中。在夺目标收集犯法分子之间风行着一种粉碎性技能——隐写术，这种技能将信息潜匿在图像的像素中 (譬喻，在颜色和透明度中) 来潜匿信息。

通过潜匿进攻代码和执行进攻代码所需的呼吁和节制信道，到提供一种器材在收集中可以奥秘地传输有代价的信息，通过隐写术可以或许以险些无法被察觉的方法入侵收集并窃取数据;肉眼无法判别出一张被改动的图片。

譬喻，我们将《计较机贸易评述》最近的一篇文章—— “高出 50% 的企业拥有 1000 多个袒露文件，鬼魂用户，逾期暗码” 嵌入到上面的图片中，你会发明这张照片看起来并没有什么异样。

这就是隐写进攻云云有用和抱负的缘故起因：行使剧本器材可以轻松地哄骗图像，在个中潜匿大量信息，而不会影响它们的外面。

留意：大型收集威胁也许被存入小型图片中

通过隐写术，进攻者可以按照图像的巨细存储更多或更少的信息。跟着图片尺寸的增进，更有也许潜匿更多的信息。你也许会惊奇地发明，我们能在上面那张图片中加密全部 272 页闻名莎士比亚戏剧《麦克白》——都在这张 733KB 的照片中，而图像没有变形。

新一轮名誉卡偷盗潮

把莎士比亚的整部作品都放到照片里好像没什么大不了的，那么假如是名誉卡信息呢?

这正是我们对上面那张照片所做的工作(现实上，这是 30 张虚拟的名誉卡信息)——可是我们之前已经展示了如安在 50 张图片中融入多达 30 万张名誉卡信息。

要做到这一点，黑客只需操作吻合的隐写器材(Web上免费提供)，可能行使剧本器材或 Office 宏编写本身的剧本就可以了。

添加一张无关紧急的图片，和他们想要潜匿的数据和传输后可以或许提取数据的暗码。然后这些数据可以通过任何方法运转出来，从包括图片的一条推特，到收集邮件动静，乃至电子邮件署名中的一个 logo，而这些都不会引起留意。

隐写术：恶意内部人士的首选器材?

然而隐写术不只被外部进攻者所行使。对付恶意内部人士来说，隐写术是一个美满的器材，由于他们可以很轻易地将信息从收集中传出，而不消担忧数据丢失防护软件。

在已往的几年里，已经产生了一些内部员工操作隐写术来窃取公司信息的变乱。客岁，一位中国工程师将通用电气 (General Electric) 涡轮技能相干的敏感信息嵌入到日落图像中，分 5 到 10 次窃取了这些信息。直到通用电气的安详官员开始猜疑他并开始监控他办公室的电脑，他才被发明。

为了让你知道这有多简朴，我们把核电站的事变道理表示图嵌入到了上面的图片中。

这些器材的行使很是普及。我们最近对 “忠诚的价钱” 的研究显现了来自内部的风险环境，8% 的英国办公室人员暗示，他们曾行使收集器材(如隐写术或加密)窃取公司信息。尽量 13% 的受访者来自 IT 和电信行业，这些行业也许必要更多的技能手艺，但人力资源和金融业的收集器材行使率也相等高(别离为 15% 和 12%)。

防御隐写术的要害是什么?是内容

企业及其安详团队应该对隐写术的来势汹汹感想忧虑——无论是进攻来自外部人士照旧内部人士。但这场战斗我们不必然会失败。

固然无法检测到，但有一种全新的要领可以防备行使隐写术潜匿在图像中的威胁进入或分开你的收集。内容威胁消除通过转化来办理题目，使你可以信赖通过你的收集的全部数字内容。全部文件，无论是 OfficeX 文档、jpeg 文件，乃至是图像缓存，城市在界线处被拦截，无法继承举办处理赏罚。这些内容会被转化，有效的信息会被提取而原始文件会被删除。然后在企业界线处会天生一个新文件，它是原始文件的可视副本。

以这种方法对图像举办转化可以消除潜匿在图像中的任何威胁，但不会粉碎图像的最终用户体验，天生的图像与人眼看到的原始图像是沟通的。假如无法检测图像是否被加密，你必要能信托它没有被加密。

上面的图片也许看起来和其他图片一样，但请信托，这是我们但愿收到的那种图片，也是本文中独逐一张纯数字图片。在信赖全部通过你的收集的图片之前，请信托本文中的话……

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!