8. Добавление шума и очистка от шумов. Многие СЦВЗ эффективно противостоят добавлению помех (аддитивный шум или некоррелированная мультипликативная помеха) в изображения. Данный вид преобразований широко рассмотрен в теории связи и теории обработки сигналов, где и разработаны алгоритмы защиты от шума. При этом важным является допустимый уровень шума относительно уровня сигнала самого маркированного изображения.

9. Повторное фотографирование, распечатывание, сканирование. Эти процессы вводят такие же геометрические искажения, как и шумоподобные.

10. Атака «Мозаика». При этой атаке картинка разбивается на фрагменты, которые являются отдельными, но состыкованными в единое целое. Такие сегментированные изображения могут использоваться при оформлении Интернет-сайтов.

Если злоумышленнику удастся разбить маркированное изображение на немаркированные фрагменты, то он сможет обмануть в Интернете автоматическую систему поиска произведений с внедренными ЦВЗ.

11. Атака усреднения и атака сговора. Имея несколько копий одной и той же картинки, но с разными знаками, можно удалить ЦВЗ путем усреднения этих изображений (атака усреднения) или путем разделения всех копий изображения на небольшие части с последующим составлением оригинальной картинки, но уже из соответствующих частей различных копий (атака сговора).

12. Многократное маркирование. При этой атаке в контейнер добавляются несколько различных ЦВЗ. Однако современные разработки (например, «PictureMarc») откажутся от выполнения добавления ЦВЗ, если другой уже внедрен.

Следовательно, для избыточного маркирования атакующему нужен специальный доступ к маркирующей программе, например дизассемблированный исходный код программного обеспечения. ЦВЗ владельца должен оставаться даже после нанесения многих фальшивых ЦВЗ.

13. Атака оракула (англ. Огасlе аttаck). Когда доступен открытый стегодетектор, атакующий может удалить метку, последовательно внося небольшие изменения в изображение до тех пор, пока стегодетектор еще определяет наличие ЦВЗ.

14. Атаки на протокол СЦВЗ. Указанные атаки направлены против функционирования самого протокола выработки и проверки ЦВЗ. Одной из таких атак является атака, основанная на инверсии последовательности действий при внедрении метки, в результате чего в случае необратимости ЦВЗ злоумышленнику удается промаркировать уже защищенное изображение. При разработке всей системы необходимо анализировать слабости не только ЦВЗ, но и стеганографические протоколы взаимодействия участников коммуникационного процесса.

15. Копирование (кража) исходного изображения. Атакующий с целью компрометации СЦВЗ может попытаться получить доступ к исходному немаркированному изображению.

Рассмотренный перечень атак является основным для оценки стойкости СЦВЗ. При этом систему ЦВЗ необходимо тестировать не только для основных видов атак, но и для их комбинаций. Одним из наиболее эффективных средств оценки стойкости СЦВЗ является программное средство «StirMark» компании «Digimarc».

В заключение отметим, что приведенные типы атак используются не только для обнаружения, разрушения или извлечения встроенных сообщений, но и для анализа стойкости стеганографических методов. Предложенная классификация атак не является окончательной и неизменной. Совершенствование стеганографических методов приведет к появлению новых методов стегоанализа.

2.7. Стеганография в кибератаках

Сегодня наблюдается новая и опасная тенденция: все больше и больше разработчиков вредоносного ПО и средств кибершпионажа прибегает к использованию стеганографии.

Первый пример такого использования был зафиксирован в случае с вредоносным ПО «Duqu» в 2011 году. Оно шифровало данные и скрывало их внутри графических файлов «JPEG», позже отправляемых на сервер управления. В 2014 году аналогичная техника использовалась в банковском трояне «Zeus».

«Duqu» версии 1.0 была обнаружена в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране. Оно активно эксплуатировало «0day» в «Windows», а дополнительное вредоносное ПО доставлялось в системы жертв под видом «MSI» (англ. Microsoft Software Installers). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что сделало его обнаружение крайне сложным.

Платформа «Duqu» версии 2.0 была сконструирована таким образом, что не нуждалась в закреплении. Она почти полностью базировалась в памяти операционной системы без применения каких-либо механизмов закрепления.

Потом было ПО «Shady RAT», «Zbot», «Stegoloader», «DNSChanger», «Sundown», «Cerber», «TeslaCrypt» и другие. Детектировать такие вещи непросто, поэтому проникновение вирусов и утечки данных через них могут долго оставаться незамеченными специалистами служб информационной безопасности.