Стеганографический веб-сервис DarkJPEG

На главную переехало отсюда по инициативе tazhate. По ссылке описание многих важных деталей, FAQ по пользованию и ответы на вопросы автором проекта, которые крайне желательно прочитать перед тем как писать как оно не нужно.

веб-сервис
конфиденциальность

/0

Все хуже:

JPEG

Поддержка RarJPEG

О, теперь это - технология!

Ждём закона о запрете жепегов.

Реализация функциональности сервиса производится на стороне клиента, выдыхай.

новость хорошая. но...

в тех странах, которые нарушают права человека, вводя цензуру средств информации

это же абсолютно все страны мира.

Основная проблема сервиса - нельзя свою картинку задать. Без этого получается не стеганография, а пародия. На вопрос «зачем ты передал эту картинку Васе» не будет адекватного ответа, значит можно подозревать шифр. А если передаешь фотки с последней пьянки или какой-нибудь смешной демотиватор - всегда будет логичное объяснение.

Этот веб-сервис отправляет информацию, подлежащую шифрованию, в АНБ до того как обработает или во время? В таком виде не особо нужно.

Основная проблема сервиса - нельзя свою картинку задать.

Народ, я же не просто так написал просьбу читать предыдущий тред перед тем как сокрушаться и писать вещи, не соответствующие действительности.
Стеганографический веб-сервис DarkJPEG
Стеганографический веб-сервис DarkJPEG (комментарий)
Стеганографический веб-сервис DarkJPEG (комментарий)

есть три типа контейнера: рандомый, градиент и пользовательский, первый подбирает подходящую по размерам рандомную картинку с викимедии, второй используется при невозможности первого (например, нет интернета), третий позволяет использовать любую указанную пользователем картинку, загружаемую с локальной ФС;

Какие ограничения на размер полезной информации?

Какие ограничения на размер полезной информации?

В случае steg метода до 20% используемого контейнера (т.е. до двух мегабайт с картинками с викимедии, до пяти с градиентами), с join методом объём ограничен лишь здравым смыслом.

Криптопаранойя! Ааа

Прошу прощения, ошибся. Действительно можно, работает. Интерфейс красивый, но для меня оказался не интуитивным.

Проект разработан с целью реализации свободы информации людьми в тех странах, которые нарушают права человека

Теперь пендостану точно капец!

Ждём закона о запрете жепегов.

Ждём запрета стёганых жпегов в аватарках на лоре.

Актуально для САСШ. Но ведь небось и сервис амерский. Ловят на живца?

Ждём закона о запрете жепегов.

Лорчую, пора закопать жпег, гиф и флэш, а использующих их динозавров наказывать паяльником.

Почему ты уверен, что это именно так?
Почему ты уверен, что так будет всегда?
Почему ты думаешь, что заметишь это?
Почему ты думаешь, что заметишь вообще что-либо подозрительное с их стороны?
Зачем это нужно, если локально можно делать всё и так, без веб-сервисов?

Почему ты уверен, что это именно так?
Почему ты думаешь, что заметишь вообще что-либо подозрительное с их стороны?

https://github.com/darkjpeg/darkjpeg.github.io/tree/master/source

Почему ты уверен, что так будет всегда?
Почему ты думаешь, что заметишь это?

https://github.com/darkjpeg/darkjpeg.github.io/commits/master

Зачем это нужно, если локально можно делать всё и так, без веб-сервисов?

Ну расскажите мне как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком.

Ты прямо на живом сервисе исходники смотреть задумал? Там может лежать что угодно, а на сервере — что-то другое. Плюс man обфускация.

Ну расскажите мне как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком.

Ты параноик, но у тебя нет софта и его неоткуда взять? Значит ты недостаточно параноидален и это всё тебе не нужно.

Ты прямо на живом сервисе исходники смотреть задумал?

Да.

Там может лежать что угодно, а на сервере — что-то другое.

man Github Pages — всё берётся напрямую из той самой репы сервером, который умеет только в статичные html-странички.

Плюс man обфускация.

git clone && make && diff

Ты параноик, но у тебя нет софта и его неоткуда взять?

Этот сервис как раз именно для того, чтобы не было необходимости в конпелянии и консоли. Юзабилити же, ну.

Потому что это ПО с ОИК. Если ты настолько параноик, насколько позер, то ты будешь проверять тот гитхаб перед каждым использованием. Вопрос «Зачем это нужно» не имеет отношения к безопасности.

А вдруг у тебя в процессе make он туда бэкдоры сует??!!!11111111!!!!!171711111

А вдруг у тебя в процессе make он туда бэкдоры сует?

https://github.com/darkjpeg/darkjpeg.github.io/blob/master/Makefile

А чем это лучше http://mozaiq.org/encrypt ?

юзабилити

О каком тут юзабилити можно говорить, когда ты вмешиваешь в что-то секретное третью сторону?

Github Pages

Теперь мы доверяем ещё и четвёртой стороне :}

quote Каким это образом, если всё исполняется в его собственной песочнице, нет толком доступа к ФС, внешним инернет-ресурсам и прочим пользовательским данным, кроме запроса и IP, которые могут быть обезопасены тем же TOR?

Это вы про ТОР инструментарий или таки про обычный браузер?

как вы будете это делать на машине без рутовых прав и gcc или вообще под какой-нибудь макосью/оффтопиком

Если про ТОР, то значит на этой гипотетической машине он должен стоять?

А чем это лучше http://mozaiq.org/encrypt ?

• Там — только текст, здесь — любой файл;
  
• Там — жесткие ограничения на размер, здесь — нет никаких;
  
• Там — вычисления на непонятном сервере, здесь — всё на клиенте;
  
• Там — жуткие тормоза, здесь — всё летает;
  
• Там — проприетарщина, здесь — MIT License и репа на гитхабе.

Стоит продолжать?

О каком тут юзабилити можно говорить, когда ты вмешиваешь в что-то секретное третью сторону?

Это какую такую третью? Код загружается напрямую из репы и дальше не вылезает за пределы вкладки браузера.

Теперь мы доверяем ещё и четвёртой стороне :}

Никто мешает сохранить репу и открывать через file:///home/.../darkjpeg/index.html

Это вы про ТОР инструментарий или таки про обычный браузер?

Про обычный. Вы недооцениваете сколько людьми сделано для безопасности в браузерах.

Если про ТОР, то значит на этой гипотетической машине он должен стоять?

Есть TOR Browser Bundle.

Там — HTTPS, здесь — JavaScript.

Там — HTTPS, здесь — JavaScript.

Лол, ну и с что с того, что там https? Вы дальше за данными проследить сможете, после того как протокол выполнит свою роль по доставке запроса?

Тем самым обеспечивается защита этих передаваемых данных.

Тем самым обеспечивается защита этих передаваемых данных.

Ну офигеть теперь, а что дальше с ними делается? Сохраняются они на сервере вместе с голым шифротекстом, передаются в АНВ?

защита этих передаваемых данных

Так здесь вообще ничего никуда не передаётся. Сюрприз!

Ну как это ничего не передаётся? Я же открываю страничку и что-то вижу. И скрипты, скрипты ведь передаются. Вам тоже нужен HTTPS.

в его собственной песочнице, нет толком доступа к ФС, внешним инернет-ресурсам и прочим пользовательским данным, кроме запроса и IP

Про обычный. Вы недооцениваете сколько людьми сделано для безопасности в браузерах.

и дальше не вылезает за пределы вкладки браузера.

Ох лол.

Тут некоторые под никсами пишут правила для SeLinux, чтоб хоть как-то держать в узде браузер/скайп/etc. и это ещё не тот накал паранойи чтоб применять стего.

А вы просто заявили,

или вообще под какой-нибудь макосью/оффтопиком

браузер под оффтопиком достаточно защищён.

А вот OpenStego лучше, ибо:

• Выполнено в виде десктопного приложения.
• Вытекая из предыдущего пункта, не требует обновить браузер.

А вот ещё лучше:

aptitude install steghide outguess

Лол, в треде просто наплыв кухонных параноиков :D

И скрипты, скрипты ведь передаются. Вам тоже нужен HTTPS.

У меня смутное представление, что у вас просто ужасные познания в этой области. Если кратко, HTTPs защищает от перехвата информации третьей стороной (т.е., проще говоря, прослушки), т.к. данные передаются в зашифрованном виде, это необходимо, если на сервер передаётся какая-то конфиденциальная информация, вроде паролей и номеров кредиток. Как вас может смущать, что какой-то роутер сможет прочитать содержимое скрипта, который и так в открытом доступе?

И скрипты, скрипты ведь передаются.

На том же mozaiq.org весь код вообще находится на сервере, и хрен знает что он там делает, вот чего надо опасаться. Лол, подобные вам параноики такие смешные.

А вот OpenStego лучше, ибо

OpenStego шняга, кстати, полная, кодированные им изображения палятся на раз.

aptitude install steghide outguess

А если у пользователя нет возможности/желания это сделать?

Тут некоторые под никсами пишут правила для SeLinux, чтоб хоть как-то держать в узде браузер/скайп/etc. и это ещё не тот накал паранойи чтоб применять стего.
браузер под оффтопиком достаточно защищён.

Было актуально для IE6

Неужели?

До:
http://storage7.static.itmages.ru/i/13/0721/h_1374409269_3371964_ea580986e4.png

После:
http://storage1.static.itmages.ru/i/13/0721/h_1374409326_7134612_07d820c533.png

Неужели?

Разумеется, любой самый простейший гистограммный метод, написанный 10-классником (или 6-классником с матлабом) положит на лопатки подобную стеганографию. Блин, народ, вы же абсолютно не в теме, мне уже и грустно, и смешно отвечать на подобные вбросы.

Блин, народ, вы же абсолютно не в теме

Ну а как же, это вам не steganography.org.ru

А если у пользователя нет возможности/желания это сделать?

Но мы же выше выяснили, что TOR Browser Bundle для success тоже must have.

Кроме того, если нет администраторских прав, смею предположить машина не его/рабочая/офисная, что тоже крайне странно для работы с критичной информацией для которой используется стего.

Это что сервис для незаметного выноса истребителей пятого поколения из НИИ? Отвечай быстро, да или нет!

Далее, вы выше упоминали, что используется рандомная картинка с вики.

Объясняю: Любой кухонный какер знает важную вещь, исходник граф.файла после добавления стего должен быть съеден :D.

Если нет возможности съесть все файлы, как в вашем случае, они должны быть отредактированы (причём для каждого использования рандомно), т.е. изменена ширина/высота/сжатие. Иначе будут парсерами распознаны и выловлены вмиг.

А у вас по сети гуляют 100500 одинаковых файлов, дублированных с вики с разным уровнем энтропийного фона. Лол.

Было актуально для IE6

Ога, вы свой уровень теоретической подготовки уже развёрнуто показали.

Но мы же выше выяснили, что TOR Browser Bundle

На то он и Bundle, что в распространяется виде Bundle, а не кучки сорцов.

TOR Browser Bundle для success тоже must have

Только для параноиков, которые не доверяют гитхабу.

смею предположить машина не его/рабочая/офисная

Разумеется. Ещё, ко всему прочему, бывают интернет-кафе.

А у вас по сети гуляют 100500 одинаковых файлов, дублированных с вики с разным уровнем энтропийного фона.

Уровень энтропийного фона один, почитайте ещё раз как работает алгоритм, я писал в прошлой теме — всё выглядит так, что картинку просто пережали с 100% качеством.

Уровень энтропийного фона один

add stego to file1 && add stego to file2

sha256sum file1
sha256sum file2

:DDD

Дальше расписывать не надо?

TOR Browser Bundle для success тоже must have

Только для параноиков, которые не доверяют гитхабу.

Во-первых дело не в доверии гитхабу, а в анонимной доставке депеши на сосач :D

Во-вторых, вы так сказали, будто стего надо не параноикам, а домохозяйкам.