StegFSText: Ein Tool zum Untersuchen von Datenträgern auf versteckten Inhalt

Steganographie bedeutet so viel wie "verdecktes Schreiben". Diese Disziplin befasst sich damit, geheime Informationen in harmlose und augenscheinlich unbedeutende Daten einzubetten. Während mit Hilfe von Kryptographie Daten verschlüsselt werden und die Existenz des Schlüsseltextes bereits einen Hinweis auf die Sensibilität der darin enthaltenen Daten darstellt, versucht Steganographie erst gar nicht Verdacht zu erwecken. Das Ziel ist also Unauffälligkeit. Bei StegFS handelt es sich um ein Modul, welches in den Linux Kernel integriert werden kann. Es basiert auf dem EXT2-Treiber des Linux Kernels. Mit Hilfe der von StegFS zur Verfügung gestellten Tools können Verzeichnisse innerhalb verschiedener Sicherheitsstufen erstellt werden und darin Dateien abgelegt werden. Werden die Sicherheitsstufen geschlossen, sind die Verzeichnisse und Daten im Filesystem nicht mehr sichtbar und die betreffende Partition erscheint wie eine gewöhnliche EXT2-Partition. Die versteckten Daten werden dabei in den leeren Bereichen der Festplatte redundant und verschlüsselt abgelegt. Doch halten die versteckten Daten einer genaueren Analyse stand? Sind leere Bereiche eines Datenträgers in denen eingebettet wurde von den wirklich leeren Bereichen zu unterscheiden? StegFSTest lokalisiert eingebettete Daten mit Hilfe einer Analyse der Entropie in den leeren Bereichen des Datenträgers und erzielt damit gute Ergebnisse. Dazu werden unterschiedlich große Bereiche des Datenträgers in kleine Abschnitte gleicher Länge unterteilt und die Häufigkeit unterschiedlicher Kombinationen ermittelt. Mit Hilfe von StegFSTest kann die Länge der Abschnitte konfiguriert und die Ergebnisse mit Hilfe verschiedener Darstellungen und statistischer Tests ausgewertet werden. Im Vortrag wird erläutert, welche Parameter die besten Ergebnisse hervorrufen. Im Anschluss an den Vortrag gibt es viel Stoff für Diskussionen über den Sinn und Unsinn von StegFS und den Möglichkeiten das Konzept zu verbessern.