La steganografia, la pratica di nascondere le informazioni, esiste da secoli. Più recentemente, è stata associata ad alcune forme di attacchi informatici. Continua a leggere per vedere qualche esempio di steganografia e saperne di più sui tipi di steganografia e sulla steganografia nell'ambito della cybersecurity.
La steganografia è la pratica di nascondere le informazioni all'interno di un altro messaggio o oggetto fisico per evitare che vengano individuate. La steganografia può essere utilizzata per occultare virtualmente qualsiasi tipo di contenuto digitale, come testo, immagini o contenuti audio o video. I dati così nascosti vengono estratti una volta giunti a destinazione.
I contenuti occultati attraverso la steganografia a volte vengono criptati prima di essere nascosti all'interno di un altro formato di file. Se non sono criptati, potrebbero essere elaborati in altro modo per renderne difficile l'individuazione.
In quanto forma di comunicazione segreta, la steganografia a volte è paragonata alla crittografia. Tuttavia, le due tecniche non si equivalgono dal momento che la steganografia non implica la codifica dei dati all'invio o l'uso di una chiave per decodificarli una volta ricevuti.
Il termine "steganografia" deriva dalle parole greche "steganos" (che significa nascosto o coperto) e "graphein" (che vuol dire scrittura). La steganografia è stata praticata in varie forme per migliaia di anni per mantenere private le comunicazioni. Ad esempio, nell'antica Grecia le persone intagliavano messaggi nel legno e quindi usavano la cera per nasconderli. I Romani ricorrevano a varie forme di inchiostri invisibili, che potevano essere decifrati con l'applicazione di luce o calore.
La steganografia è pertinente alla cybersecurity perché i criminali che diffondono il ransomware e altri utenti malintenzionati spesso nascondono le informazioni quando attaccano un bersaglio. Ad esempio, potrebbero nascondere dati, occultare uno strumento dannoso o inviare istruzioni per server di comando e controllo. E potrebbero inserire tutte queste informazioni all'interno di file di testo, audio, video o immagini apparentemente innocui.
La steganografia funziona nascondendo le informazioni in un modo che non desta sospetti. Una delle tecniche più diffuse è quella della stenografia LSB (dall'inglese "least significant bit", bit meno significativo). Implica l'inserimento di informazioni segrete nei bit meno significativi di un file multimediale. Ad esempio:
Lo stesso metodo può essere applicato ad altri formati digitali, come audio e video, in cui i dati sono nascosti in parti del file comportando una modifica minima nel risultato udibile o visibile.
Un'altra tecnica steganografica consiste nel ricorrere alla sostituzione di una parola o di una lettera. Ciò avviene quando il mittente di un messaggio segreto nasconde il testo distribuendolo all'interno di un testo molto più ampio, inserendo le parole a intervalli specifici. Se questo metodo di sostituzione è facile da utilizzare, può anche conferire al testo un aspetto anomalo e fuori luogo dal momento che le parole segrete potrebbero non inserirsi logicamente nelle frasi.
Altri metodi steganografici includono nascondere un'intera partizione in un disco rigido o incorporare dati nella sezione di intestazione di file e pacchetti di rete. L'efficacia di questi metodi dipende dalla quantità di dati che riescono a nascondere e dalla facilità con cui è possibile individuarli.
Da un punto di vista digitale, esistono cinque tipi principali di steganografia. Ecco quali sono:
Esaminiamoli singolarmente in maggiore dettaglio:
La steganografia di testo prevede che le informazioni siano nascoste all'interno di file di testo. Questo include modificare il formato del testo esistente, cambiare le parole all'interno di un testo, utilizzare grammatiche context-free per generare testi leggibili o generare sequenze di caratteri casuali.
Implica che le informazioni vengano nascoste all'interno di file di immagine. Nella steganografia digitale, spesso le immagini vengono utilizzate per nascondere le informazioni perché è presente un numero elevato di elementi all'interno della rappresentazione digitale di un'immagine ed esistono diversi modi per nascondere le informazioni all'interno di un'immagine.
La steganografia audio prevede che i messaggi segreti vengano incorporati in un segnale audio che altera la sequenza binaria del file audio corrispondente. Nascondere messaggi segreti in un suono digitale è un processo più difficile rispetto agli altri.
Avviene quando i dati vengono occultati all'interno di formati video digitali. La steganografia video consente di nascondere grandi quantità di dati all'interno di un flusso in movimento di immagini e suoni. Due tipi di steganografia video sono:
La steganografia di rete, a volte detta anche steganografia di protocollo, consiste nella tecnica di incorporare le informazioni all'interno dei protocolli di controllo di rete utilizzati nelle trasmissioni dati quali TCP, UDP, ICMP e così via.
La steganografia e la crittografia hanno lo stesso obiettivo, vale a dire proteggere un messaggio o informazioni da terzi, ma utilizzano meccanismi diversi per ottenerlo. La crittografia cambia le informazioni in testo cifrato che può essere compreso solo con una chiave di decriptaggio. Questo significa che se qualcuno intercetta questo messaggio criptato, può vedere facilmente che è stata applicata una qualche forma di criptaggio. Al contrario, la steganografia non modifica il formato delle informazioni ma nasconde l'esistenza del messaggio.
C'è una certa sovrapposizione tra la steganografia e gli NFT o token non fungibili. La steganografia è una tecnica per nascondere file all'interno di altri file, che si tratti di immagini, testo, video o un altro formato di file.
Quando si crea un NFT, in genere è possibile scegliere se aggiungere ulteriori contenuti che possono essere rivelati solo dal proprietario dell'NFT. Questi contenuti possono essere di qualsiasi tipo, inclusi contenuti ad alta definizione, messaggi, contenuti video, accesso a comunità segrete, codici sconto o addirittura contratti smart o "tesori".
Mentre il mondo dell'arte è in continua evoluzione, anche le tecniche NFT cambiano di conseguenza. La progettazione di NFT con metadati privati è qualcosa che possiamo aspettarci di vedere sempre più in futuro, applicati in differenti modi come giochi, paywall, biglietti per eventi e così via.
In tempi recenti, la steganografia è stata utilizzata principalmente nei computer assegnando ai dati digitali il ruolo di vettori e alle reti quello di canali di distribuzione ad alta velocità. Gli usi della steganografia includono:
Dal punto di vista della cybersecurity, i responsabili delle minacce possono ricorrere alla steganografia per incorporare dati dannosi all'interno di file apparentemente innocui. Dal momento che la steganografia richiede uno sforzo significativo per essere attuata, spesso il suo uso prevede attori di minacce esperti con obiettivi specifici in mente. Ecco alcuni modi in cui è possibile sferrare un attacco tramite steganografia:
Nascondere payload dannosi in file multimediali digitali
Le immagini digitali possono costituire un obiettivo primario poiché contengono una grande quantità di dati ridondanti che possono essere manipolati senza alterare platealmente come appare l'immagine. Dal momento che il loro uso è così diffuso all'interno del panorama digitale, i file di immagine tendono a non segnalare le proprie intenzioni malevole. Anche video, documenti, file audio e addirittura firme e-mail costituiscono potenziali metodi alternativi per utilizzare la steganografia per introdurre payload dannosi.
Ransomware ed esfiltrazione dei dati
Anche i criminali dediti al ransomware hanno imparato che usare la steganografia può essere d'aiuto per portare avanti i loro attacchi. La steganografia può essere usata anche nella fase di esfiltrazione dei dati di un attacco informatico. Nascondendo dati sensibili all'interno di comunicazioni legittime, la steganografia fornisce uno strumento per estrarre i dati senza essere rilevati. Considerando che molti responsabili delle minacce vedono nell'esfiltrazione dei dati l'obiettivo principale degli attacchi informatici, gli specialisti della sicurezza affinano sempre più le loro tecniche di implementazione di misure per rilevare quando vengono estratti i dati, spesso monitorando il traffico di rete criptato.
Nascondere comandi nelle pagine Web
Gli autori delle minacce possono nascondere comandi per i loro impianti nelle pagine Web con whitespace e all'interno di log di debug pubblicati in forum, caricare di nascosto dati rubati in immagini e mantenere la persistenza memorizzando codice criptato in posizioni specifiche.
Malvertising
I criminali che portano avanti campagne di malvertising possono trarre vantaggio dalla steganografia. Possono incorporare codice dannoso all'interno di annunci banner online che, una volta caricati, estraggono codice dannoso e reindirizzano gli utenti verso una landing page di un kit di exploit.
Skimming e-commerce
Nel 2020, la piattaforma per la sicurezza e-commerce olandese Sansec ha pubblicato una ricerca rivelando che alcuni hacker avevano incorporato malware di skimming all'interno di Scalable Vector Graphics (SVG) in pagine di checkout di siti di e-commerce. Gli attacchi prevedevano un payload dannoso nascosto all'interno di immagini SVG e un decoder nascosto separatamente in altre parti delle pagine Web.
Gli utenti che inserivano dettagli personali nelle pagine di checkout compromesse non notavano niente di sospetto perché le immagini erano semplici logo di aziende note. Dal momento che il payload era contenuto in quello che sembrava essere l'uso corretto della sintassi di elementi SVG, gli scanner di sicurezza standard che andavano alla ricerca di sintassi non valida non rilevavano l'attività dannosa.
SolarWinds
Sempre nel 2020, un gruppo di hacker ha nascosto del malware all'interno di un aggiornamento software legittimo di SolarWinds, azienda produttrice di una popolare piattaforma di gestione dell'infrastruttura IT. I criminali sono riusciti nel loro intento di violare Microsoft, Intel e Cisco, oltre a diverse agenzie governative degli Stati Uniti. Quindi, hanno fatto ricorso alla steganografia per mascherare le informazioni che stavano rubando sotto forma di file XML apparentemente innocui serviti in corpi di risposta HTTP da server di controllo. I dati di comando all'interno di questi file sono stati occultati sotto forma di diverse stringhe di testo.
Aziende del settore industriale
Ancora una volta nel corso del 2020, le aziende di Regno Unito, Germania, Italia e Giappone sono state colpite da una campagna basata sull'uso di documenti steganografici. Gli hacker sono riusciti a non essere intercettati utilizzando un'immagine steganografica caricata su piattaforme di immagini attendibili, come Imgur, per infettare un documento Excel. Tramite uno script segreto incluso nell'immagine veniva scaricato Mimikatz, un malware per sottrarre le password di Windows.
La pratica di individuare la steganografia è chiamata "steganalisi". Sono disponibili diversi strumenti in grado di rilevare la presenza di dati nascosti, tra cui StegExpose e StegAlyze. Gli analisti possono usare altri strumenti di analisi generale come visualizzatori hex per rilevare anomalie nei file.
Tuttavia, trovare i file che sono stati modificati tramite steganografia è complesso: non ultimo perché sapere dove iniziare a cercare dati nascosti in milioni di immagini caricate ogni giorno sui social media è virtualmente impossibile.
Usare la steganografia durante un attacco è relativamente semplice. Invece, proteggersi dalla steganografia è molto più complicato, dal momento che gli autori delle minacce diventano sempre più innovativi e creativi. Tra le misure di mitigazione rientrano le seguenti:
Prodotti correlati:
Ulteriori approfondimenti: