Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 32, views: 20.366 •

Een 21-jarige student heeft een Chrome-extensie uitgebracht, waarmee op eenvoudige wijze geheime boodschappen kunnen worden verborgen in foto's op Facebook. Dat was tot nu toe lastig vanwege de compressie die Facebook toepast op plaatjes.

De student aan de universiteit van Oxford in het Verenigd Koninkrijk heeft voor de ontwikkeling van de extensie achterhaald hoe Facebook foto's comprimeert en zijn bevindingen hierover gepubliceerd. De extensie met de naam Secretbook zet de boodschap een aantal keer in de afbeelding, waardoor het algoritme altijd het geheime bericht zou moeten kunnen achterhalen.

De technologie werkt door enkele pixels volgens een vast patroon subtiel van kleur te veranderen. Secretbook werkt dan ook het beste op plaatjes met veel detail; de extensie waarschuwt geen plaatjes te gebruiken met grote delen blauwe lucht, omdat de methode hierbij minder goed werkt. Hoe lager de resolutie van het plaatje is, hoe korter de boodschap is die kan worden verstuurd.

De app werkt door, na installatie, op Facebook de toetscombinatie Ctrl-Shift-A te gebruiken, waarna in een venster de boodschap, een wachtwoord en een plaatje kan worden geselecteerd. Het plaatje met de boodschap wordt vervolgens gedownload en heeft een naam als DSC0165.jpg, waardoor het lijkt alsof het van een camera afkomstig is. Dat plaatje kan vervolgens geüpload worden.

De ontvanger kan de boodschap decoderen door eveneens de applicatie te installeren, vervolgens op de foto te klikken en dan eveneens Ctrl-Shift-A te drukken. Daardoor verschijnt een venster waarin om een wachtwoord wordt gevraagd. Als dat juist is, verschijnt de boodschap in een dialoogvenster.

De maker, Owen Campbell More, maakt wel enkele voorbehouden in de voorwaarden: zo biedt de extensie geen 'military grade' encryptie en mag deze niet voor terroristische doeleinden worden gebruikt. De extensie werkt niet via een Facebook-app, maar met een extensie die opgeroepen kan worden op pagina's op Facebook. Daardoor is de applicatie niet afhankelijk van goedkeuring van Facebook. Omdat de extensie alleen lokaal draait, kan netwerkanalyse niet uitwijzen of een gebruiker de extensie heeft gebruikt.

Het inbedden van boodschappen in afbeeldingen is niet nieuw: op Google+ kan het bijvoorbeeld altijd al, omdat Google geen verdere compressie toepast op uploads. Ook in andere communicatiekanalen is deze vorm van steganografie al veel langer bekend. Niet bekend is of er andere omwegen zijn om geheime boodschappen in Facebook-plaatjes te stoppen.

SecretbookSecretbook Secretbook

Reacties (32)

Denk dat de boodschappen dan niet meer zo geheim blijven op Facebook als iedereen het kan lezen.
Alleen geheim in de definitie van je kan het niet direct lezen.
En dit lijkt mij toch niet een manier voor mensen om geheime informatie te bespreken.

[Reactie gewijzigd door W4RH34D op 11 april 2013 11:47]

Ja inderdaad, dat is min of meer hetzelfde als de letterkleur wit maken als de achter grond ook wit is. CTRL+A en je kunt het lezen :P
Er zit ook een wachtwoord op de tekst, dus niet 'iedereen' kan het zomaar lezen.
Nee dus, de tekst wordt versleuteld met een wachtwoord wat je opgeeft en deelt met degenen die je het bericht wil laten lezen. Andere mensen kunnen het bericht wel uit het plaatje vissen maar vervolgens niet ontcijferen.

Edit: Dit is een reactie op W4RH34D, niet op PieterII

[Reactie gewijzigd door Zoefff op 11 april 2013 11:46]

Is het dan niet makkelijker om de boodschap rechtstreeks te delen met die mensen?
Natuurlijk, maar er is een reden dat je niet wil dat die booschap te traceren is. Anders zou je niet zo moeilijk doen.
Dat is in ieder geval makkelijker voor de autoriteiten als je een LI target bent...
Bij een goede encryptietechniek bestaat de versleutelde data ogenschijnlijk uit random bits. Dat wil zeggen, er is op geen enkele manier een patroon uit te herleiden zonder het wachtwoord. Ik neem aan dat de gebruikte methode zo werkt dat als het plaatje geen geheime boodschap bevat er ook random bits worden 'gevonden'. Je kunt dus zonder wachtwoord er niet zeker van zijn dat er überhaupt een boodschap in het plaatje zit.

(ik weet niet zeker of dit met deze methode daadwerkelijk zo is, maar in principe zou het kunnen. Zie bijvoorbeeld deze uitleg over een bestaande encryptiemethode http://www.truecrypt.org/docs/?s=plausible-deniability)

[Reactie gewijzigd door poefel op 11 april 2013 12:27]

Quote uit het artikel: "De ontvanger kan de boodschap decoderen door eveneens de applicatie te installeren, vervolgens op de foto te klikken en dan eveneens Ctrl-Shift-A te drukken. Daardoor verschijnt een venster waarin om een wachtwoord wordt gevraagd. Als dat juist is, verschijnt de boodschap in een dialoogvenster."

Volgende keer eerst het hele artikel lezen alvorens je reageert.

Tja, het toevoegen van 'mag niet door terroristen gebruikt worden' aan je voorwaarden lijkt me niet erg nuttig. Dat is hetzelfde als 'niet voor criminelen' zetten op pistolen.

Verder aardige gadget, maar weinig vernieuwend. Alleen de Facebook link is nieuw.

edit: typo

[Reactie gewijzigd door einstein op 11 april 2013 11:47]

je hebt nog wel een wachtwoord nodig volgens het artikel

edit: spuit elf

[Reactie gewijzigd door DonChaot op 11 april 2013 11:50]

Hoewel de details mij enigszins onduidelijk blijven, lijkt mij dit een vorm van het Kerckhoffs's principe:
A cryptosystem should be secure even if everything about the system, except the key, is public knowledge.
Dat de afbeelding dus op Facebook staat maakt dus helemaal niets uit voor beveiliging die het biedt. Je beschikt immers niet over het wachtwoord en kan dus niet de boodschap uit de afbeelding ontrekken.

[Reactie gewijzigd door Eagle Creek op 11 april 2013 11:50]

Als het goed is kan je niet aantonen dat een afbeelding een 'geheim' bevat, behalve als je deze met een bepaald wachtwoord weet te extraheren. Het is beveiligd met een wachtwoord, dus kan zeker niet iedereen het zomaar lezen. Nu vraag je je alleen af wat voor encryption scheme zo'n jongen van 21 gekozen heeft.
Secretbook was built as a research project in Oxford University.
Afgaande dat hij dit produceert en het onderdeel is van een project van Oxford University, lijkt mij een publiekelijk en beproefd encryption mij voor de hand te liggen.
Het is juist wel mogelijk door bepaalde technieken toe te passen op afbeeldingen. Hierdoor worden de pixels duidelijk die de geheime boodschap bevatten.

Meer informatie:
http://guillermito2.net/stegano/tools/
Het is juist wel mogelijk door bepaalde technieken toe te passen op afbeeldingen. Hierdoor worden de pixels duidelijk die de geheime boodschap bevatten.

Meer informatie:
http://guillermito2.net/stegano/tools/
Tsja, maar wat ik er uit begreep is dat Facebook extra compressie toepast, waardoor je die techniek niet kan gebruiken. Zelf heb ik die Stegano ook eens geprobeerd, maar toen ik een lichte extra compressie op het plaatje toepaste was het niet meer te ontcijferen en dat is precies wat Facebook doet.
Niks nieuws anders dan dat er Facebook in voorkomt. Aan de andere kant wel een manier om mensen bewust te maken dat er veel meer mogelijk op internet is dat niet altijd positief wordt gebruikt.
Grote voordeel van deze communicatie is plausible deniability. Bij encrypted bestanden en encrypted tekst weet je direct dat het gaat om encryptie en dat er dus een boodschap achter zit. Bij deze bestanden is dat een stuk lastiger omdat op het eerste oog niks afwijkends te zien is. Vermoed dat het met professionele software wel op te sporen is aangezien er toch een patroon met afwijkende kleuren achter blijft, echter dit patroon kan heel subtiel zijn waardoor het toch lastig genoeg is te vinden.

Facebook is hier een handig middel in aangezien twee accounts foto's kunnen plaatsen met berichten er in zonder dat er ooit bewezen kan worden dat deze accounts aan elkaar verbonden zijn. Ideaal om met je vriendinnetje te communiceren door berichten in foto's te verstoppen. Zo zal je vrouw er niet achter komen, die ziet immers geen berichten heen en weer gaan.
Communicatie zonder dat er communicatie aanwezig lijkt te zijn, ideaal om te ontkennen.
Vermoed dat het met professionele software wel op te sporen is
Je hebt geen 'professionele software' nodig.
Diezelfde Chrome extensie laat je al gewoon zien dat er een bericht in zit: de extensie detecteert het en vraagt dan namelijk om een wachtwoord.
Alleen als je het bericht feitelijk wil lezen, moet je het wachtwoord kraken. Omdat het (nog) geen military grade encryptie is, moet dat nog enigszins overkomelijk zijn.
Afhankelijk van hoe persoonlijk de foto's zijn, kun je vaak stellen: uploader = messenger. Zeker als er een patroon van encrypted berichten in de uploads zit ;)
Ik neem aan dat dit een 'omdat het kan' functie is of is er iemand die hier echt gebruik van maakt?

Verder wel een leuke plugin om eens mee te gaan klooien :)
wat moet je ermee
Deze techniek is in het verleden al meerdere malen heel effectief gebruikt. Lees dit artikel van Ars Technica er maar op na:

http://arstechnica.com/te...ian-spies-outwit-the-nsa/

Het internet is zo groot dat encryptie niet eens het belangerijkste is. Gewoon een afbeelding op imgur/4chan e.d. plaatsen met een bepaalde stenograpie is al genoeg om de meest gevoelige info eenvoudig naar de andere kant van de wereld te krijgen.
Mag deze niet voor terroristische doeleinden worden gebruikt.
Alsof terroristen hiernaar zouden luisteren. :X

Verder een leuke extentie. Wil heb graag uitproberen! :D
Ja maar Amerika. Als je daar niet in de handleiding van de magnetron kan vinden dat een hond er NIET in kan dan kan het dus.... Hup rechtszaak aan je broek.

Zelfs iTunes had in de disclaimer staan dat de software niet gebruikt mocht worden voor het maken van nucleaire of biochemische wapens.....
Als ze niet luisteren, gaan ze tegen de voorwaarden in. In dat geval heeft de extensie niet meegeholpen aan terrorisme, omdat ze er illegaal gebruik van maken. :9 Komt er op neer dat ze zichzelf indekken.
Heb je hier bronnen van, want dit vind ik zeer ongeloofwaardig klinken. Ik weet dat er in de Reddertjes 2 frames van topless dames zit maar dat was een actie van een individuele tekenaar.
Bron Wikipedia
Nog even verder gezocht en dit gevonden: Disney heeft meer problemen gehad met films. Zo zou er overduidelijk een fallus te zien zijn op de poster van de film Belle en het Beest en vormen drie kleine wolkjes in the Lion King het woord 'sex'. Maar dat valt naar mijn mening meer in de categorie "vrouw ziet Jezusverschijning in aardappel" en "man ontdekt de Nachtwacht als roestplek op zijn dak".
Om heel eerlijk te zijn zie ik de bijzonderheid hier niet van in. Dit is immer gewoon de toepassing van steganografie en dat wordt al gebruikt in de cryptografie sinds de Oudheid...

Ook de link met wat dit te maken heeft met Facebook mis ik compleet, ja je kunt er plaatjes hosten maar dat kun je net zo goed op ImgBam of voor mijn part op T.net zelf. Het enige is dat dit nu vanuit de browser met een plugin wordt afgehandeld.

Mijn inziens dus niets nieuws...
Het is nieuws omdat zoals in het artikel vermeld wordt het tot nu toe onmogelijk was dit te doen door de compressie dat facebook toepast op de afbeeldingen.
Behalve het feit dat deze methodes voorheen niet werkten op facebook vanwege de compressietechniek, maar nu dus wel.
Het vernieuwende hieraan is dat het een encryptie betreft wat ook ná de compressie van facebook nog steeds uit te lezen is.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013