Privacy Handbuch

Auch die Gegenseite ist nicht wehrlos. stegdetect erkennt bspw. Manipulationen von steghide, F5, outguess, jphide... Ein GUI steht mit xsteg zur Verfügung, die Verschlüsselung der Nutzdaten kann mit stegbreak angegriffen werden. Beide Zusatzprogramme sind im Paket enthalten.

Der Name stegdetect ist eine Kurzform von "Steganografie Erkennung". Das Programm ist nicht nur für den Nachweis der Nutzung von steghide geeignet, sondern erkennt anhand statistischer Analysen auch andere Tools.

Debian und Ubuntu bieten fertige Pakete: # aptitude install stegdetect xsteg stegbreak Auch stegdetect ist ein Tool für die Kommandozeile. Neben der zu untersuchenden Datei kann mit einem Parameter -s die Sensitivität eingestellt werden. Standardmäßig arbeitet stegdetect mit einer Empfindlichkeit von 1.0 ziemlich oberflächlich. Sinnvolle Werte liegen bei 3.0...5.0. > stegdetect -s 3.0 bild.jpg
F5(***)
Im Beispiel wird eine steganografische Manipulation erkannt und vermutet, dass diese mit dem dem Tool F5 eingebracht wurde, was nicht ganz richtig ist.

Frage: Was kann man tun, wenn auf der Festplatte eines mutmaßlichen Terroristen 40.000 Bilder rumliegen? Muss man jedes Bild einzeln prüfen?

Antwort: Ja - und das geht so:
  1. Der professionelle Forensiker erstellt zuerst eine 1:1-Kopie der untersuchten Festplatte und speichert dieses Image z.B. in der Datei "terroristen_hda.img"
  2. Mit einem kurzen Dreizeiler scannt er alle 40.000 Bilder in dem Festplatten-Image: > losetup -o $((63*512)) /dev/loop0 terroristen_hda.img
    > mount -o ro,noatime,noexec /dev/loop0 /mnt
    > find /mnt -iname "*.jpg" -print0 | xargs -0 stegdetect -s 2.0 >> ergebnis.txt
    (Für Computer-Laien und WINDOWS-Nutzer sieht es vielleicht nach Voodoo aus, für einen Forensiker sind das jedoch Standardtools, deren Bedienung er aus dem Ärmel schüttelt.)
  3. Nach einiger Zeit wirft man eine Blick in die Datei "ergebnis.txt" und weiss, ob es etwas interessantes auf der Festplatte des Terroristen gibt oder nicht.