Passa al contenuto principale

Steganografia: cos'è e come funziona

Steganografia: cos'è e come funziona

La steganografia è una pratica che ha l'obiettivo di nascondere le informazioni tra interlocutori. Nonostante esista da secoli, più recentemente è stata associata ad alcune forme di attacchi informatici. Continua a leggere per scoprire qualche esempio di steganografia e per sapere come viene applicata nell'ambito della cybersecurity.

Cos'è la steganografia?

La steganografia è la pratica di nascondere le informazioni all'interno di un altro messaggio o oggetto fisico per evitare che vengano individuate. La steganografia può essere utilizzata per occultare virtualmente qualsiasi tipo di contenuto digitale, come testo, immagini o contenuti audio o video. I dati così nascosti vengono estratti una volta giunti a destinazione.

I contenuti occultati attraverso la steganografia a volte vengono criptati prima di essere nascosti all'interno di un altro formato di file. Se non sono criptati, potrebbero essere elaborati in altro modo per renderne difficile l'individuazione.

In quanto forma di comunicazione segreta, la steganografia a volte è paragonata alla crittografia. Tuttavia, le due tecniche non si equivalgono dal momento che la steganografia non implica la codifica dei dati all'invio o l'uso di una chiave per decodificarli una volta ricevuti.

Il termine "steganografia" deriva dalle parole greche "steganos" (che significa nascosto o coperto) e "graphein" (che vuol dire scrittura). La steganografia è stata praticata in varie forme per migliaia di anni per mantenere private le comunicazioni. Ad esempio, nell'antica Grecia le persone intagliavano messaggi nel legno e quindi usavano la cera per nasconderli. I Romani ricorrevano a varie forme di inchiostri invisibili, che potevano essere decifrati con l'applicazione di luce o calore.

La steganografia è pertinente alla cybersecurity perché i criminali che diffondono il ransomware e altri utenti malintenzionati spesso nascondono le informazioni quando attaccano un bersaglio. Ad esempio, potrebbero nascondere dati, occultare uno strumento dannoso o inviare istruzioni per server di comando e controllo. E potrebbero inserire tutte queste informazioni all'interno di file di testo, audio, video o immagini apparentemente innocui.

Come funziona la steganografia

La steganografia funziona nascondendo le informazioni in un modo che non desta sospetti. Una delle tecniche più diffuse è quella della stenografia LSB (dall'inglese "least significant bit", bit meno significativo). Implica l'inserimento di informazioni segrete nei bit meno significativi di un file multimediale. Ad esempio:

  • In un file di immagine, ogni pixel è costituito da tre byte di dati corrispondenti ai colori rosso, verde e blu. Alcuni formati di immagine allocano un ulteriore quarto byte alla trasparenza, o "alpha".
  • La steganografia LSB altera l'ultimo bit di ognuno di questi byte per nascondere un bit di dati. Quindi, per nascondere un megabyte di dati utilizzando questo metodo, servirà un file di immagine di 8 MB.
  • La modifica dell'ultimo bit del valore del pixel non comporta una modifica dell'immagine percettibile visivamente, il che significa che chiunque visualizzi l'immagine originale e quella modificata a livello steganografico non sarà in grado di notare la differenza.

Lo stesso metodo può essere applicato ad altri formati digitali, come audio e video, in cui i dati sono nascosti in parti del file comportando una modifica minima nel risultato udibile o visibile.

Un'altra tecnica steganografica consiste nel ricorrere alla sostituzione di una parola o di una lettera. Ciò avviene quando il mittente di un messaggio segreto nasconde il testo distribuendolo all'interno di un testo molto più ampio, inserendo le parole a intervalli specifici. Se questo metodo di sostituzione è facile da utilizzare, può anche conferire al testo un aspetto anomalo e fuori luogo dal momento che le parole segrete potrebbero non inserirsi logicamente nelle frasi.

Altri metodi steganografici includono nascondere un'intera partizione in un disco rigido o incorporare dati nella sezione di intestazione di file e pacchetti di rete. L'efficacia di questi metodi dipende dalla quantità di dati che riescono a nascondere e dalla facilità con cui è possibile individuarli.

Tipi di steganografia

Da un punto di vista digitale, esistono cinque tipi principali di steganografia. Ecco quali sono:

  1. Steganografia di testo
  2. Steganografia di immagini
  3. Steganografia video
  4. Steganografia audio
  5. Steganografia di rete

Esaminiamoli singolarmente in maggiore dettaglio:

Steganografia di testo

La steganografia di testo prevede che le informazioni siano nascoste all'interno di file di testo. Questo include modificare il formato del testo esistente, cambiare le parole all'interno di un testo, utilizzare grammatiche context-free per generare testi leggibili o generare sequenze di caratteri casuali.

Steganografia di immagini

Implica che le informazioni vengano nascoste all'interno di file di immagine. Nella steganografia digitale, spesso le immagini vengono utilizzate per nascondere le informazioni perché è presente un numero elevato di elementi all'interno della rappresentazione digitale di un'immagine ed esistono diversi modi per nascondere le informazioni all'interno di un'immagine.

Steganografia audio

La steganografia audio prevede che i messaggi segreti vengano incorporati in un segnale audio che altera la sequenza binaria del file audio corrispondente. Nascondere messaggi segreti in un suono digitale è un processo più difficile rispetto agli altri.

Steganografia video

Avviene quando i dati vengono occultati all'interno di formati video digitali. La steganografia video consente di nascondere grandi quantità di dati all'interno di un flusso in movimento di immagini e suoni. Due tipi di steganografia video sono:

  • Incorporare dati in un video non elaborato e non compresso e quindi comprimerlo in un secondo momento
  • Incorporare dati direttamente nel flusso di dati compresso

Steganografia di rete

La steganografia di rete, a volte detta anche steganografia di protocollo, consiste nella tecnica di incorporare le informazioni all'interno dei protocolli di controllo di rete utilizzati nelle trasmissioni dati quali TCP, UDP, ICMP e così via.

Steganografia e crittografia a confronto

La steganografia e la crittografia hanno lo stesso obiettivo, vale a dire proteggere un messaggio o informazioni da terzi, ma utilizzano meccanismi diversi per ottenerlo. La crittografia cambia le informazioni in testo cifrato che può essere compreso solo con una chiave di decriptaggio. Questo significa che se qualcuno intercetta questo messaggio criptato, può vedere facilmente che è stata applicata una qualche forma di criptaggio. Al contrario, la steganografia non modifica il formato delle informazioni ma nasconde l'esistenza del messaggio.

A composite image containing the letters NFT

Steganografia e NFT

C'è una certa sovrapposizione tra la steganografia e gli NFT o token non fungibili. La steganografia è una tecnica per nascondere file all'interno di altri file, che si tratti di immagini, testo, video o un altro formato di file. 

Quando si crea un NFT, in genere è possibile scegliere se aggiungere ulteriori contenuti che possono essere rivelati solo dal proprietario dell'NFT. Questi contenuti possono essere di qualsiasi tipo, inclusi contenuti ad alta definizione, messaggi, contenuti video, accesso a comunità segrete, codici sconto o addirittura contratti smart o "tesori".

Mentre il mondo dell'arte è in continua evoluzione, anche le tecniche NFT cambiano di conseguenza. La progettazione di NFT con metadati privati è qualcosa che possiamo aspettarci di vedere sempre più in futuro, applicati in differenti modi come giochi, paywall, biglietti per eventi e così via.

Utilizzi della steganografia

In tempi recenti, la steganografia è stata utilizzata principalmente nei computer assegnando ai dati digitali il ruolo di vettori e alle reti quello di canali di distribuzione ad alta velocità. Gli usi della steganografia includono:

  • Evitare la censura: la steganografia viene utilizzata per inviare notizie senza che siano censurate e senza il timore che i messaggi siano riconducibili al mittente.
  • Filigrana digitale: la steganografia viene utilizzata per creare filigrane invisibili che non distorcono l'immagine, riuscendo a tracciare se viene usata senza autorizzazione.
  • Protezione delle informazioni: la steganografia viene usata dalle forze dell'ordine e dagli organi governativi per inviare informazioni estremamente sensibili ad altre parti senza destare sospetti.

Come viene usata la stenografia per sferrare un attacco

Dal punto di vista della cybersecurity, i responsabili delle minacce possono ricorrere alla steganografia per incorporare dati dannosi all'interno di file apparentemente innocui. Dal momento che la steganografia richiede uno sforzo significativo per essere attuata, spesso il suo uso prevede attori di minacce esperti con obiettivi specifici in mente. Ecco alcuni modi in cui è possibile sferrare un attacco tramite steganografia:

Nascondere payload dannosi in file multimediali digitali

Le immagini digitali possono costituire un obiettivo primario poiché contengono una grande quantità di dati ridondanti che possono essere manipolati senza alterare platealmente come appare l'immagine. Dal momento che il loro uso è così diffuso all'interno del panorama digitale, i file di immagine tendono a non segnalare le proprie intenzioni malevole. Anche video, documenti, file audio e addirittura firme e-mail costituiscono potenziali metodi alternativi per utilizzare la steganografia per introdurre payload dannosi.

Ransomware ed esfiltrazione dei dati

Anche i criminali dediti al ransomware hanno imparato che usare la steganografia può essere d'aiuto per portare avanti i loro attacchi. La steganografia può essere usata anche nella fase di esfiltrazione dei dati di un attacco informatico. Nascondendo dati sensibili all'interno di comunicazioni legittime, la steganografia fornisce uno strumento per estrarre i dati senza essere rilevati. Considerando che molti responsabili delle minacce vedono nell'esfiltrazione dei dati l'obiettivo principale degli attacchi informatici, gli specialisti della sicurezza affinano sempre più le loro tecniche di implementazione di misure per rilevare quando vengono estratti i dati, spesso monitorando il traffico di rete criptato.

Nascondere comandi nelle pagine Web

Gli autori delle minacce possono nascondere comandi per i loro impianti nelle pagine Web con whitespace e all'interno di log di debug pubblicati in forum, caricare di nascosto dati rubati in immagini e mantenere la persistenza memorizzando codice criptato in posizioni specifiche.

Malvertising

I criminali che portano avanti campagne di malvertising possono trarre vantaggio dalla steganografia. Possono incorporare codice dannoso all'interno di annunci banner online che, una volta caricati, estraggono codice dannoso e reindirizzano gli utenti verso una landing page di un kit di exploit.

Esempi di steganografia utilizzata in attacchi informatici

Skimming e-commerce

Nel 2020, la piattaforma per la sicurezza e-commerce olandese Sansec ha pubblicato una ricerca rivelando che alcuni hacker avevano incorporato malware di skimming all'interno di Scalable Vector Graphics (SVG) in pagine di checkout di siti di e-commerce. Gli attacchi prevedevano un payload dannoso nascosto all'interno di immagini SVG e un decoder nascosto separatamente in altre parti delle pagine Web.

Gli utenti che inserivano dettagli personali nelle pagine di checkout compromesse non notavano niente di sospetto perché le immagini erano semplici logo di aziende note. Dal momento che il payload era contenuto in quello che sembrava essere l'uso corretto della sintassi di elementi SVG, gli scanner di sicurezza standard che andavano alla ricerca di sintassi non valida non rilevavano l'attività dannosa.

SolarWinds

Sempre nel 2020, un gruppo di hacker ha nascosto del malware all'interno di un aggiornamento software legittimo di SolarWinds, azienda produttrice di una popolare piattaforma di gestione dell'infrastruttura IT. I criminali sono riusciti nel loro intento di  violare Microsoft, Intel e Cisco, oltre a diverse agenzie governative degli Stati Uniti. Quindi, hanno fatto ricorso alla steganografia per mascherare le informazioni che stavano rubando sotto forma di file XML apparentemente innocui serviti in corpi di risposta HTTP da server di controllo. I dati di comando all'interno di questi file sono stati occultati sotto forma di diverse stringhe di testo.

Aziende del settore industriale

Ancora una volta nel corso del 2020, le aziende di Regno Unito, Germania, Italia e Giappone sono state colpite da una campagna basata sull'uso di documenti steganografici. Gli hacker sono riusciti a non essere intercettati utilizzando un'immagine steganografica caricata su piattaforme di immagini attendibili, come Imgur, per infettare un documento Excel. Tramite uno script segreto incluso nell'immagine veniva scaricato Mimikatz, un malware per sottrarre le password di Windows.

Come rilevare la steganografia

La pratica di individuare la steganografia è chiamata "steganalisi". Sono disponibili diversi strumenti in grado di rilevare la presenza di dati nascosti, tra cui StegExpose e StegAlyze. Gli analisti possono usare altri strumenti di analisi generale come visualizzatori hex per rilevare anomalie nei file.

Tuttavia, trovare i file che sono stati modificati tramite steganografia è complesso: non ultimo perché sapere dove iniziare a cercare dati nascosti in milioni di immagini caricate ogni giorno sui social media è virtualmente impossibile.

Mitigazione di attacchi basati sulla steganografia

Usare la steganografia durante un attacco è relativamente semplice. Invece, proteggersi dalla steganografia è molto più complicato, dal momento che gli autori delle minacce diventano sempre più innovativi e creativi. Tra le misure di mitigazione rientrano le seguenti:

  • La formazione sulla cybersecurity può aumentare la consapevolezza dei rischi associati al download di file multimediali da fonti non attendibili. Può anche essere utile per insegnare agli utenti a riconoscere le e-mail di phishing contenenti file dannosi e ad associare alla diffusione della steganografia una minaccia informatica. Sostanzialmente, è opportuno insegnare agli utenti a tenere d'occhio le immagini di dimensioni insolitamente elevate, perché potrebbero indicare la presenza di steganografia.
  • Le organizzazioni dovrebbero implementare il filtro Web per una navigazione più sicura e dovrebbero anche stare al passo con le ultime patch di sicurezza quando sono disponibili gli aggiornamenti.
  • Le aziende dovrebbero usare moderne tecnologie di protezione degli endpoint che vanno oltre controlli statici, firme di base e altri componenti obsoleti come codice nascosto in immagini ed è più probabile che altre forme di offuscamento siano rilevate in modo dinamico da un motore del comportamento. Le aziende dovrebbero concentrare i propri sforzi di rilevamento direttamente a livello di endpoint dove il criptaggio e l'offuscamento sono più semplici da individuare.
  • Le aziende dovrebbero usare anche l'intelligence sulle minacce proveniente da più fonti per tenersi aggiornate sulle tendenze, inclusi gli attacchi informatici contro aziende del proprio settore in cui è stato rilevato l'uso della steganografia.
  • L'utilizzo di una soluzione anti-virus completa aiuterà a rilevare, mettere in quarantena ed eliminare il codice dannoso dai dispositivi. I moderni prodotti anti-virus si aggiornano automaticamente per fornire protezione contro i virus più recenti e altri tipi di malware.

Prodotti correlati:

Ulteriori approfondimenti:

Steganografia: cos'è e come funziona

La steganografia permette di nascondere informazioni all'interno di un messaggio. Scopri alcuni esempi di stenografia e come viene usata nella cybersecurity.
Kaspersky logo

Articoli correlati: