Steganografie; verborgen data in data die zelfs de CIA niet kan achterhalen is aan een opmars bezig.

Naarmate de wereldwijde digitale transformatie toeneemt, neemt ook de bezorgdheid over de beveiliging van onze gegevens toe. Hackers en kwaadwilligen zoeken nieuwe manieren om te communiceren. Daarbij komt de hulp van steganografie kijken. Maar wat is steganografie nu eigenlijk?

“Steganografie wordt in technologie gebruikt als de moderne versie van onzichtbare inkt.”

Zowel bedrijven als particulieren moeten meer dan ooit zorg dragen aan de beveiliging van gegevens en toekijken of de privacy rondom hun persoonlijkheid bewaard wordt. Cyberbeveiliging is noodzaak, en meer dan ooit, cybercriminaliteit neemt toe en wordt ook steeds agressiever. Met de technologische vooruitgang worden hackers steeds slimmer. Gewapend met geavanceerde technologieën kunnen ze steeds complexer en sneller te werk gaan. Van ransomware, malware, phishing en zelfs automatische cyberaanvallen tot het stelen van cryptomunten. Aan die laatste maakte deze maand zelfs de Noord-Koreaanse overheid zichzelf schuldig. Naar verluidt om zijn nieuwe raketten te kunnen financieren.

Bij elke nieuwe manier die hackers ontdekken, ontdekken onze vrienden van de antivirussuites nieuwe manieren om ze tegen te gaan. Echter maken hackers steeds meer gebruik van een bepaalde technologie om hun illegale activiteiten uit te voeren. Die bepaalde technologie heet ‘steganografie’, en is bijna niet te achterhalen. De eerste technieken met steganografie gaan terug naar de oudheid. Toen al werden slaven kaalgeschoren en werd er getatoeëerd op hun hoofd. De boodschap die moest overgebracht worden zat toen verborgen in de tatoeage en moest Griekenland waarschuwen voor de invasie van Perzië. Ook in de Tweede Wereldoorlog werd de technologie al gebruikt. Aan de hand van microdots konden spionnen informatie uitwisselen. Een microdot is zo klein als een getypt punt maar zit boordevol informatie. Nu wordt steganografie ook toegepast op een hedendaagse, meer digitale manier.

Moderne steganografie

Steganografie komt dus neer op het verbergen van informatie in onschuldig ogende objecten. Door de digitalisering van onze samenleving wordt de techniek meer dan ooit gebruikt. Om bepaalde eigendommen te beveiligen of geheime informatie via internet te versturen wordt steganografie ingezet bijvoorbeeld door een watermerk aan te brengen bij een afbeelding of geluidsbestand. Ook fabrikanten van printers gebruiken deze techniek, weliswaar op vraag van de overheid. Bedrijven als HP, Epson of Brother voegen onzichtbare elementen toe zoals de datum, tijd en het serienummer van de printer waarmee documenten geprint worden. Zo kan – indien nodig – achterhaald worden waar de print vandaan komt.

Informatie kan dus verwerkt worden in beeld- en geluidsbestanden. Zo is het mogelijk verschillende coderingen in een afbeelding te verstoppen. Zo weet enkel de ontvanger hoe hij deze informatie kan decoderen en achterhalen wat er eigenlijk echt in de boodschap staat. In afbeeldingen wordt steganografie toegepast door te goochelen met pixel-waardes. In geluidsbestanden zoals een mp3 wordt informatie verstopt door te spelen met variatie in muziek, echo’s en signalen.

Zelfs in tekstbestanden kan je een gelaagdheid toevoegen waardoor niemand zal doorhebben dat er onder je tekst zich eigenlijk nog een boodschap bevindt. In tekstbestanden als Word of PDF kan je door gebruik te maken van tabs, spaties, regeleindes en HTML-bestanden informatie gaan verbergen. Deze manier van werken heeft wel als nadeel dat programma’s als PDF-readers en Word meteen een vreemde codetekst geven als je het bestand opendoet. Zo weet je dus als gebruiker dat er iets niet klopt en dat de tekst verstoord is.

“Berichten die zelfs de CIA niet kunnen achterhalen.”

Bij toeval

Een Twitteraar ontdekte trackingcodes achter de afbeeldingen die gebruikers op Facebook plaatsen. Zo kan het bedrijf gebruikers gemakkelijker online volgen. Het platform kan de gebruikers niet direct actief volgen, maar kan ze wel herleiden naar de gebruiker. Dat is redelijk verontrustend aangezien de foto’s potentieel buiten het eigen platform kunnen gevolgd worden, stelt Twitteraar Edin Jusupovic. De man ontdekte bij toeval de codes die verstopt zaten in de metadata van de afbeelding, waar normaal gesproken de informatie over je camera of soms locatie staat.

Facebook zelf omschrijft de manier van werken als het gebruik van metadata. Zo kan het platform aan de code van een afbeelding herkennen wie de afbeelding eerder al heeft gezien, zonder dat je daar beeldherkenning door een persoon voor nodig hebt. Volgens Jusupovic zijn er grote vorderingen in de steganografie aan de gang: ‘met behulp van kunstmatige intelligentie kunnen digitale watermerken aan afbeeldingen worden toegevoegd. Die watermerken zijn onzichtbaar voor de mensen, maar niet voor de bedrijven die ze toevoegen of gebruiken’. Jusupovic besluit nog dat dit waarschijnlijk nog maar het topje van de ijsberg is.

Een onschuldige blogpost

Je ziet het, ook online kan steganografie steengoed ingezet worden, zonder dat ook maar iemand het doorheeft. Dagelijks worden duizenden afbeeldingen, muziek, video’s, blogposts en tekstbestanden gedeeld via alle mogelijke platformen gedeeld door miljoenen mensen. Hackers kunnen gemakkelijk gebruik maken van dit soort materiaal om steganografie in te zetten en zo wereldwijd malware en ransomware te verspreiden. Want ja, het beperkt zich niet enkel tot wat geheime boodschappen die onzichtbaar worden voor de geheime diensten. Kwaadwilligen kunnen de technologie inzetten om snel en redelijk gemakkelijk malware te verspreiden. En tegen dat iemand het doorheeft is het waarschijnlijk al te laat.

Nu klinkt het allemaal plots heel gemakkelijk om steganografie in te zetten voor illegale activiteiten. Echter moet ik dat wel even nuanceren. De technologie leent zich tot enorme mogelijkheden maar is uiteraard niet perfect. Om echt onzichtbaar te zijn moet je steganografie op een goede manier kunnen implementeren, en daar dus ook de juiste kennis voor hebben. Op internet vinden je honderden tutorials, filmpjes en boeken die je uitleggen hoe je de techniek kan inzetten. Echter gaat het dan om onschuldige technieken die heel basic zijn. Zo voegde technologiejournalist Joseph Steinberg in 2013 een Amazon cadeaubon toe in de foto die hij bij zijn artikel had gezet. In zijn artikel gaf hij aan dat het kaartnummer van zijn cadeaubon ergens verborgen zat in de foto en gaf zijn lezers een week de tijd om ze te achterhalen. Tot op heden is niemand erin geslaagd het nummer te achterhalen.