4. Esteganálise
As técnicas de esteganografia estão longe de serem perfeitas. Nenhuma delas garante que as informações escondidas não serão detectadas e interceptadas por terceiros. Assim, abre-se um novo campo, chamado de esteganálise, o qual se baseia no estudo de métodos que visam detectar a esteganografia.
Normalmente, a esteganálise está concentrada em somente verificar a existência de informações escondidas, sem estar preocupada em saber o conteúdo da mensagem. Recuperar os dados adiciona um nível maior de complexidade ao processo de esteganálise, pois é necessário conhecer previamente o algoritmo de esteganografia utilizado. Além disso, a mensagem pode estar criptografada, o que aumenta consideravelmente o trabalho.
Muitas vezes, para o esteganalista, saber somente a existência da mensagem é suficiente. Ele não necessariamente necessita saber o seu conteúdo, e sim descobrir se há algo escondido para que a mensagem seja destruída. Ou seja, quem interceptou o meio não lerá o conteúdo, mas o receptor também não [WAYNER]. Pode-se classificar esse tipo de esteganálise como esteganálise passiva [CHANDRAMOULI]. Entretanto, somente detectar a mensagem escondida pode não ser suficiente para alguns esteganalistas, que podem querer também, por exemplo, ler as informações e/ou alterá-las de maneira que o receptor obtenha dados inconsistentes [KESSLER]. Nesse caso, temos uma esteganálise ativa [CHANDRAMOULI].
A esteganálise baseia-se em identificar alguma característica de uma imagem ou um arquivo de áudio que pode ter sido alterada por uma mensagem escondida; ou seja, baseia-se em verificar onde a esteganografia falhou em camuflar suficientemente essa mensagem. Porém, as técnicas possuem algumas limitações. Muitas delas, por exemplo, foram feitas especialmente para determinados algoritmos e softwares de esteganografia que já são previamente conhecidos; ou seja, quando essas mesmas técnicas são aplicadas aos resultados de outro algoritmo ou software, elas têm grande probabilidade de falhar [WAYNER].
Os ataques à esteganografia podem ser divididos em três categorias: ataques visuais, ataques estruturais e ataques estatísticos. Os ataques visuais se baseiam em inspecionar o arquivo visualmente, de modo a encontrar falhas nele. Por exemplo, um algoritmo de esteganografia pode fazer com que uma imagem tenha mudanças perceptíveis nas cores, o que corrobora para uma fácil inspeção visual. Além disso, muitas pessoas possuem a capacidade de perceber diferenças em arquivos de áudio que possuem marcas d´água de direitos autorais. O uso desses ataques visuais pode ser suficiente para perceber que há alguma mensagem escondida.
Os ataques estruturais dizem respeito a identificar mudanças na estrutura dos arquivos que sugerem algum tipo de manipulação. Por exemplo, esconder informações em imagens do formato GIF ou gif usando o método do bit menos significativo pode não ser eficiente, já que as cores parecidas geralmente não estão próximas umas das outras na palheta. Assim, a mudança de um bit pode alterar a cor de azul escuro para rosa claro, o que deixa a mudança perceptível. Uma das maneiras de resolver esse problema é escolher uma palheta menor e, então, duplicar as cores que podem ser usadas para esconder uma mensagem; dessa forma, uma mudança em um bit menos significativo não altera drasticamente a cor daquele pixel. Porém, essas palhetas são mais fáceis de serem detectadas, o que leva ao esteganalista perceber que há alguma informação por trás da imagem.
Outra maneira de também resolver esse problema é simplesmente alterar a ordem das cores, para que as cores similares fiquem próximas uma das outras. Contudo, essa técnica também pode ser detectada se o método de reordenação é conhecido ou fácil de ser identificado.
Além dessas mudanças estruturais, os esteganalistas podem usar testes estatísticos para verificar a existência de informações escondidas. As chamadas estatísticas de primeira ordem, como o teste do chi-quadrado (χ²), podem ser utilizadas para medir a quantidade de redundância e distorção de um arquivo [KESSLER]. Além disso, pode-se medir o número de pares de cores próximas, as quais diferem no máximo de uma unidade em cada uma das componentes vermelho, verde e azul. Arquivos que são construídos naturalmente possuem uma quantidade muito menor desses pares do que aqueles que foram usados para esconder alguma mensagem, já que aproximar cores similares elimina possíveis mudanças drásticas no arquivo, como já foi explicado anteriormente. Assim, realizar estatísticas baseadas nessa quantidade pode se tornar um excelente indicador. Uma melhoria ao processo pode ser obtida calculando-se a ordem em que esses pares aparecem, já que eles possuem igual freqüência de ocorrência em imagens que possuem uma informação escondida, diferentemente do que acontece em imagens naturais.
É importante ressaltar que as melhoras técnicas de esteganálise são aquelas direcionadas especificamente a determinados algoritmos [WAYNER]. Quando se sabe qual software foi utilizado para realizar a esteganografia, o esteganalista consegue ter uma melhor análise do processo. Soluções mais gerais possuem muito menos acurácia que as específicas. A melhor delas seria identificar a aleatoriedade dos bits menos significativos: quanto maior essa aleatoriedade, maior é a chance de haver uma mensagem escondida.
