Tutti sappiamo cosa vuol dire l’espressione “leggere fra le righe”; tuttavia, prima che usassimo la tecnologia moderna per comunicare, a volte alcune persone la prendevano alla lettera, magari scrivendo messaggi segreti con inchiostro invisibile tra le righe di una lettera apparentemente normale.
Questa tecnica, grazie alla quale l’autore nasconde informazioni segrete all’interno di un messaggio apparentemente innocuo, si chiama steganografia ed è antica quasi quanto la scrittura. A differenza della cifratura, che mescola le parti del messaggio fino a renderlo incomprensibile se non si dispone di una chiave per decifrarlo, lo scopo della steganografia è di tenere lontano da occhi indiscreti l’esistenza stessa del messaggio, nascondendolo. E come altri metodi per la gestione di informazioni, anche la steganografia viene utilizzata nelle tecnologie digitali.
Come funziona la steganografia digitale?
Si può nascondere un messaggio segreto praticamente in qualsiasi oggetto digitale, come un documento di testo, una chiave di licenza o persino nell’estensione di un file. Ad esempio, gli editori di Genius.com, un sito dedicato ad analizzare i testi delle canzoni dei rapper, utilizzavano due tipi di apostrofi nei testi online che, se insieme, formavano le parole “red handed” in codice Morse, proteggendo così i propri contenuti, che non potevano più essere copiati senza che se ne accorgessero.
Uno dei “contenitori” più comodi per gli steganografi è costituito da file multimediali (immagini, audio, video etc.). Di solito, sono di dimensioni più corpose e al loro interno si possono aggiungere extra più succulenti rispetto, ad esempio, a un documento di testo.
Le informazioni segrete possono essere scritte nei file metadati o direttamente all’interno del contenuto principale. Prendiamo un’immagine: dal punto di vista del computer, si tratta di centinaia di migliaia di pixel tutti insieme e ogni pixel ha una “descrizione”, ovvero delle informazioni sul colore.
Per quanto riguarda il formato RGB, utilizzato nella maggior parte delle immagini a colori, la descrizione occupa fino a 24 bit di memoria. Anche se si prendono da 1 a 3 bit di descrizione da qualche pixel o da tutti per nascondere informazioni segrete, l’immagine nel complesso non cambierà di molto e, dato il gran numero di pixel nelle immagini, vi si può scrivere un bel po’ di dati.
L’immagine a sinistra non nasconde alcun messaggio, quella a destra nasconde i primi 10 capitoli del libro Lolita di Nabokov.
Nella maggior parte dei casi, l’informazione viene nascosta nei pixel ed estratta utilizzando tool speciali. Per fare ciò, gli steganografi moderni a volte scrivono script personalizzati o aggiungono la funzionalità richiesta a programmi creati per altri scopi. E altre volte ancora utilizzano codici pronti all’uso, se ne trovano tanti online.
Come viene utilizzata la steganografia digitale?
Si può applicare la steganografia alle tecnologie informatiche e in molti modi. Si può nascondere del testo in un’immagine, in un video o in una traccia musicale, sia per divertimento o, come nel caso che abbiamo citato, per evitare che un file venga copiato illegalmente.
I watermark nascosti rappresentano un buon esempio di steganografia; tuttavia, quando si parla di messaggi segreti (in formato fisico o digitale), subito si pensa a qualche tipo di corrispondenza segreta o allo spionaggio.
Una benedizione per le cyberspie
Circa 18 mesi fa, i nostri esperti hanno registrato un certo interesse dei cybercriminali per la steganografia, evidenziato da ben tre campagne spyware in cui i dati delle vittime venivano inviati ai server C&C sotto le mentite spoglie di foto e video.
Dal punto di vista dei sistemi di sicurezza e di coloro che per lavoro si occupano di monitorare il traffico in uscita, il caricamento online di file multimediali non destava alcun sospetto. Ed è proprio su questo che puntavano i cybercriminali.
I meme come sottile sistema di comunicazione
Nel frattempo, è stato registrato un altro tipo di spyware particolare che riceveva i comandi attraverso le immagini. Il malware comunicava con i cybercriminali con un sistema inusuale: mediante dei meme pubblicati su Twitter.
Dopo essere entrato nel computer della vittima, il malware apriva il tweet d’interesse ed estrapolava le istruzioni dal meme. Tra i comandi c’erano:
- Scattare una schermata del desktop;
- Raccogliere informazioni sulle operazioni in corso;
- Copiare dati dagli appunti;
- Scrivere i nomi dei file da una cartella specifica.
I codici image-based
I file multimediali non solo possono nascondere del testo ma anche parti di codice dannoso per destare l’attenzione di altri cybercriminali. L’uso della steganografia non converte un’immagine, un video o una traccia musicale in un malware super attrezzato; grazie a questa tecnica, invece, si può nascondere un payload che supera così le analisi antivirus.
A gennaio scorso, ad esempio, i cybercriminali hanno diffuso un banner sulle reti pubblicitarie online; in realtà non aveva nulla a che fare con la pubblicità, sembrava un piccolo, innocuo rettangolo bianco. Tuttavia, all’interno si trovava uno script per l’esecuzione sul browser; di fatto, è possibile caricare degli script in un contenuto pubblicitario affinché, ad esempio, le aziende possano raccogliere dati sulla visualizzazione degli annunci.
Lo script dei cybercriminali riconosceva il colore dei pixel nell’immagine e li registrava come una serie di lettere e numeri. Potrebbe sembrare un esercizio inutile, dal momento che si trattava di un triangolo bianco, nulla da vedere insomma. Invece, agli occhi del programma, non c’erano solo pixel bianchi ma anche pixel quasi bianchi: e quella parte di “quasi” è stata trasformata in codice dannoso, eseguito diligentemente.
Il codice preso dall’immagine reindirizzava l’utente sul sito dei cybercriminali, dove la vittima si imbatteva in un Trojan camuffato da aggiornamento di Adobe Flash Player che, ovviamente, scaricava altri elementi dannosi, tra cui adware.
Come identificare la steganografia? Non è così facile
Come ha evidenziato Simon Wiseman durante la conferenza RSA del 2018, la steganografia fatta bene è difficile da individuare; e non è una passeggiata disfarsene. Esistono metodi per integrare messaggi nelle immagini così in profondità che rimangono anche se l’immagine viene stampata e riscannerizzata, se ne vengono modificate le dimensioni o se vengono apportate altre modifiche.
Tuttavia, come abbiamo già evidenziato, le informazioni (codici compresi) vengono estratte da immagini e video mediante un tool speciale. In altre parole, i file multimediali di per sé non rubano o scaricano nulla da un computer. Perciò, non dovete fare altro che proteggere il vostro dispositivo dai componenti malware che nascono testi o codici dannosi nei file multimediali e che li estraggono da essi:
- Non affrettatevi a cliccare su link o ad aprire allegati e-mail. Leggete attentamente la vostra posta e, se l’indirizzo del mittente o il contenuto del messaggio non vi convincono, meglio lasciar perdere;
- Se avete bisogno di scaricare qualcosa, avvaletevi sempre di fonti affidabili, scaricando app dagli store ufficiali o dal sito dello sviluppatore. Lo stesso vale per musica e film, non scaricate nulla da risorse sconosciute;
- Avvaletevi di una soluzione di sicurezza affidabile. Anche quando non riconosce un codice image-based, potrà individuare comportamenti sospetti di altri moduli del malware.