Выявление скрытых каналов передачи данных сотрудниками: стеганография, нестандартные форматы, принтеры
Изображение: recraft
Утечка конфиденциальной информации остаётся актуальной угрозой для крупных корпораций и государственных учреждений. Если организация тщательно мониторит традиционные каналы передачи данных — электронную почту, облачные сервисы, USB-носители — недобросовестные сотрудники всё чаще прибегают к более изощрённым способам.
Они используют скрытые методы кодирования, незаметные форматы файлов и даже стандартное офисное оборудование, которое никто не рассматривает как потенциальную брешь в безопасности. Такие каналы представляют наибольшую опасность, поскольку остаются незамеченными для систем контроля.
Стеганография: искусство скрытого письма в цифровой эпохе
Стеганография — это древняя практика, адаптированная под современные реалии. В отличие от криптографии, которая делает информацию нечитаемой (но при этом явно показывает, что что-то скрыто), стеганография полностью маскирует сам факт передачи секретного сообщения. Для обывателя файл выглядит совершенно обычным, однако внутри скрыта информация.
Самый распространенный метод стеганографии — встраивание данных в изображения. Сотрудник может открыть обычную фотографию высокого разрешения, например пейзаж или портрет, и встроить в неё компактный архив с технической документацией, финансовыми отчётами или списками клиентов. Для невооружённого глаза картинка остаётся идентичной оригиналу. Инструменты для такого встраивания просты и широко доступны. Сотрудник может отправить такое изображение через социальную сеть, мессенджер или даже разместить на публичном сервере под видом фотографии из отпуска. Получатель просто скачает файл и извлечёт скрытые данные.
Аудиофайлы работают по тому же принципу. Громкость звука, цифровые артефакты, едва слышные высокочастотные сигналы — всё это можно использовать для кодирования информации. Сотрудник выкладывает музыку в облако, а затем сообщает, что просто делился любимой композицией. Никто не проверяет спектральные характеристики песни на наличие встроенных данных.
Видеоролики предоставляют ещё больше пространства для действий и скрытия информации. Фильм длительностью в несколько часов может содержать гигабайты скрытых данных.
Опасность стеганографии заключается в том, что стандартные DLP-системы (Data Loss Prevention, системы предотвращения утечек данных) проверяют файлы по их содержимому, но не анализируют их на наличие скрытых слоёв информации. Когда аналитик безопасности видит, что сотрудник скачал изображение размером в 2 МБ, это кажется логичным. Но если в файле встроены технические спецификации нового продукта, система контроля не обнаружит проблему.
Нестандартные форматы файлов: маскировка через тип данных
Второй метод — использование нестандартных и редких форматов файлов, которые не попадают в стандартные правила фильтрации. Большинство DLP-систем ориентированы на контроль основных расширений: .doc, .xls, .pdf, .jpg, .zip. Однако если сотрудник сохранит документ в устаревшем формате .rtf или старой версии .doc, система может его просто не проверить. Аналогично работают редкие форматы для специальных приложений: .dwg (архитектурные чертежи), .psd (проектные файлы Photoshop), .cdr (векторная графика CorelDRAW).
Особый случай — полиморфные форматы. Например, PDF-файл одновременно является корректным ZIP-архивом. Если открыть его через просмотрщик PDF, вы увидите обычный документ. Но если загрузить его в архиватор, можно извлечь содержимое альтернативного контейнера. Или наоборот: документ Microsoft Office (.docx, .xlsx) на самом деле является ZIP-архивом с XML-файлами внутри.
Сотрудник может создать такой файл вручную и встроить туда данные, которые не будут видны при стандартном открытии документа.
Компрессионные форматы с открытым исходным кодом, такие как LZMA или Brotli, встроены в множество приложений, но как самостоятельные контейнеры встречаются редко. Если сотрудник сохранит конфиденциальный архив и назовёт его .backup или .cache, средства защиты информации могут просто не распознать опасный файл.
Контролировать такие методы сложнее. Требуется либо проверка каждого файла путём распаковки и анализа содержимого (что снижает производительность), либо внедрение интеллектуальных систем, обученных распознавать аномальные паттерны в редких форматах.
Офисное оборудование как скрытый канал утечки: принтеры и МФУ
Неожиданный, но чрезвычайно эффективный канал утечки информации — обычное офисное оборудование. Большинство людей рассматривают принтер просто как устройство для печати и полностью игнорируют связанные с ним угрозы безопасности.
Современные сетевые принтеры и многофункциональные устройства содержат встроенные компьютеры с операционной системой, накопителями и сетевыми модулями. Эти устройства хранят историю всех распечатанных и отсканированных документов в цифровом виде. Сотрудник, имеющий доступ к принтеру, может через веб-интерфейс устройства получить доступ ко всем сканам и документам, отправленным на печать за месяцы или даже годы.
Ещё один способ — модификация встроенного ПО принтера. Если злоумышленник имеет физический или удалённый доступ к устройству, он может установить специальный код, который будет перехватывать все документы, отправляемые на печать, и отправлять их копии на внешний сервер. Или встроить функцию, которая извлекает конфиденциальные данные и передаёт их скрытым каналом. Это работает в фоновом режиме, и пользователь никогда не узнает об утечке.
Сканеры и системы распознавания текста, встроенные в современные МФУ, также потенциально опасны. Сотрудник может отсканировать конфиденциальный документ не для печати, а с целью его дальнейшей передачи. Систем контроля за этим процессом обычно нет. Документ может остаться в памяти устройства в виде цифрового файла, который можно извлечь.
Многие организации не контролируют сетевой трафик принтеров. Они подключены к корпоративной сети, но работают без должного надзора. Сотрудник может запрограммировать принтер на отправку отсканированных документов на личный облачный диск или по электронной почте, и это произойдёт незаметно.
Поддерживать порядок со средствами вывода информации сложно. Требуется регулярная проверка прошивки всех устройств, логирование всех печатных операций, сегментирование сети, отключение встроенных облачных сервисов в принтерах и физическая защита устройств от несанкционированного доступа.
Комбинированные атаки и синергия методов
Особая опасность возникает, когда сотрудник комбинирует описанные выше методы. Например, он печатает конфиденциальный документ, но предварительно запрограммировал принтер на автоматическое сканирование и отправку копии на внешний сервер через встроенный модуль Wi-Fi. Затем он встраивает полученный скан в стеганографическое изображение, которое загружает в социальную сеть. На поверхности — просто фото. В действительности — утечка информации.
Такие комбинированные атаки намного сложнее обнаружить, потому что каждый отдельный элемент может выглядеть безобидным, но их сочетание создаёт мощный механизм утечки данных.
Практические методы выявления и защиты
Несмотря на всю сложность проблемы, существуют подходы к выявлению скрытых каналов утечки. Во-первых, необходим поведенческий анализ. Если сотрудник, который обычно работает только с текстовыми документами, внезапно начинает массово скачивать изображения высокого разрешения, это может быть признаком подозрительной деятельности. Если регулярно отправляются аудио- или видеофайлы в места, где это не требуется по роду работы, — это повод для дополнительной проверки.
Во-вторых, необходимо анализировать сетевой трафик.
Если файл, который якобы содержит только изображение, имеет размер, несоответствующий его визуальному качеству, это может указывать на встроенные данные. Необычные подключения устройств к внешним IP-адресам также должны вызывать тревогу.
Специализированные инструменты стеганографического анализа могут помочь выявить встроенные данные в изображениях, хотя это требует вычислительных ресурсов и квалифицированных специалистов. Периодическая проверка данных, хранящихся в памяти принтеров и МФУ, может выявить несанкционированные операции.
Комплексная политика безопасности должна строиться на нескольких столпах: строгом контроле доступа к сетевым устройствам, детальном логировании всех операций печати и сканирования, регулярном обучении сотрудников основам информационной безопасности. Однако технология — это лишь инструмент. Настоящая защита возникает, когда в организации формируется культура осознанного отношения к безопасности данных, когда сотрудники понимают, что нарушение норм недопустимо не только с точки зрения правил, но и с точки зрения моральных и социальных норм коллектива. Только при условии, что руководство демонстрирует серьёзное отношение к защите информации и создаёт среду, в которой даже самые лояльные на первый взгляд сотрудники осознают реальность угроз и личную ответственность, можно достичь результативной защиты от утечек.
Автор: Долгов Николай, эксперт по кибербезопасности Angara Security.
