Gefahr durch harmlose JPEG-Bilder

Peter Rossi ist Systems Engineer beim IBM Unternehmen Internet Security Systems, Zürich.

Schon länger bekannt ist Malcode wie Trojaner, Viren und ähnliches, der in JPEG-Bildern versteckt ist. Wenn ein Anwender ein JPEG auf einer Web-seite betrachtet, als Mail-Anhang öffnet oder in ein Word-Dokument lädt, wird beim De-komprimieren ein Buffer Over-flow ausgelöst, über den ausführbarer Code eingeschleust werden kann. Gefährlich ist bereits die automatische Vorschau in Outlook oder einem Bildordner auf dem Arbeitsplatz. Waren anfänglich nur MS-Betriebssysteme betroffen, können nun verschiedene Betriebssysteme infiziert werden. Auch sind diverse Browser betroffen. Gegen diese Bedrohung kann man sich aber schützen, etwa durch Proxy, Intrusion Prevention oder Antivirus-Systeme. Wichtig ist, sein System laufend mit den Hersteller-Patches zu aktualisieren.

Weitaus unbekannter ist die Weitergabe oder der Diebstahl sensibler oder geheimer Daten via JPEG. Steganographie ist hier das Schlagwort. Damit werden Informationen in JPEG-Bildern versteckt und so unerkannt verbreitet. Grösste Sicherheitsbedenken löst die Möglichkeit aus, dass Kriminelle dieses Verfahren nutzen, um Informationen in harmlosen Bildern zu verstecken, die -on--line gestellt, per E-Mail verschickt oder auf andere Weise verbreitet werden. Die Aufdeckung von Steganographie in Bildern ist eines der aktuellen Sicherheitsthemen.

Das Erkennen von steganographischen Inhalten in Bildern ist schwierig, da es leistungsfähige Techniken zum Codieren versteckter Informationen im JPEG-Format gibt. Dieses Format ist aus einer Reihe von Gründen speziell: Zunächst ist es das mit Abstand verbreitetste Bildformat, das unter anderem auch von Digitalkameras benutzt wird. Zweitens ist es als verlustbehaftetes Komprimierungsformat konzipiert, das bei einer massiven Komprimierung des Originalbildes nach der Dekomprimierung ein immer noch recht ansprechendes Bild liefert. Im Gegensatz zu verlustfreien Formaten ermöglicht die JPEG-Kompression die Entwicklung leistungsfähiger Algorithmen, mit denen beliebige Informationen in einem Bild versteckt werden können. Bereits gibt es Freeware-Programme, die helfen, Daten in JPEG-Bildern zu verbergen. Es gibt aber auch einige Tools, mit denen man in JPEGs versteckten Inhalt erkennen kann. Diese funktionieren ausschliesslich als digitale forensische Tools für die Prüfung vor Ort. Sie sind sehr komplex, haben schwache Erkennungsraten und einen hohen Anteil von falschen Erkennungen bei einigen steganographischen Codierern.

Sicherheitslabors, welche die JPEG-Steganographie untersuchen, haben festgestellt, dass die verbreiteten statistischen Analysetechniken für die Bilderkennung verbessert werden können. Durch deren Verbesserung in Richtung einer weniger Codierer-abhängigen Filterung lässt sich die Erkennungsrate erhöhen und die Fehlerquote verringern. So ist es möglich, die jüngsten Auflagen steganographischer Codierer mit erstaunlicher Erfolgsquote zu erkennen. Eine solche Erkennung innerhalb des Unternehmens erhöht die Sicherheit, die Gefahr des Verlusts von geistigem Eigentum durch Diebstahl wird eingedämmt, indem entweder nach aussen gesendete Inhalte -blockiert werden oder die Kommunikation für weitere Untersuchungszwecke gekennzeichnet wird.

Um vor dieser Bedrohung effizient zu schützen, braucht es Sicherheitsanbieter, die selbst Forschung und Entwicklung betreiben, das Bewusstsein der Anwender und Sicherheitssysteme, die nicht nur vor Attacken, sondern auch vor Schwachstellen schützen.