Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO SCENARIO

Dissimulazione e steganografia, tecniche “camaleontiche” di attacco e difesa

Dissimulazione e steganografia sono due tecniche “camaleontiche” usate per penetrare un sistema informativo e nascondere le tracce delle attività illecite, ma anche per mettere al sicuro, nascondendoli, dati e informazioni aziendali sensibili. Ecco di cosa si tratta e come funzionano

12 Lug 2019
S

Manuela Sforza

Cyber Security Analyst


Dissimulazione e steganografia, cioè l’impiego di tecniche “camaleontiche” per penetrare un sistema informativo e nascondere le tracce delle attività illecite, rappresentano una minaccia sempre più cogente per la società e le organizzazioni moderne.

Ma la dissimulazione non interviene solo all’interno del sistema violato: è anche un modo attraverso cui l’attaccante riesce ad aprirsi una via tra le misure di sicurezza, sfruttando gli innumerevoli canali oggi a disposizione per conoscere dettagli utili a costruire pretext (scenari) credibili utilizzati per l’intrusione vera e propria.

È anche vero, però, che le cosiddette metodologie steganografiche possono essere analizzate sotto un duplice profilo: da un lato possono essere usate dagli attaccanti per iniettare contenuti illeciti o rubare informazioni; dall’altro i vertici aziendali ne possono approfittare per mettere al sicuro, nascondendoli, i dati e le informazioni sensibili o segrete.

Il cyberspazio: scenario privilegiato di dissimulazione

L’era della rivoluzione digitale, dell’ultra connettività, dei social network e dei big data, dei database NoSql, delle tecnologie IoT, apre la strada ad un cambiamento epocale che vede la nascita della cosiddetta Società della Terza Piattaforma.

Il nuovo paradigma tecnologico è costituito da un ecosistema di asset altamente integrati, performanti, connessi 24 ore su 24, caratterizzati da scalabilità e continuità operativa su larga scala.

È un sistema iperdigitale che ha effetti impattanti anche sulle modalità di interazione umana, in passato basate prevalentemente sulla prossimità fisica, oggi impensabili senza l’utilizzo massivo di mezzi tecnologici.

La diffusione degli smartphone e delle applicazioni di messaggistica istantanea, inoltre, ha radicalmente mutato il modo di comunicare, riducendo al minimo indispensabile l’interazione fisica: tanto più si interagisce nascosti dietro al proprio monitor, tanto meno si ha il controllo della veridicità dei contenuti della relazione instaurata.

L’utilizzo spasmodico dello smartphone si accompagna, inoltre, ad una presenza in rete (percepita come desiderabile) pressoché illimitata sia nella dimensione spaziale, grazie ai social, sia nella dimensione temporale, in seguito alla diffusione delle attuali infrastrutture basate sull’ultra connettività.

I social network, come spazio di interazione diacronica, diventano un ambiente privilegiato per l’attaccante informatico, una miniera di informazioni il cui potenziale impattante rileva su due dimensioni:

  • sotto il profilo qualitativo, l’attaccante può, mantenendo l’anonimato, accedere facilmente ad informazioni condivise dalla vittima e dalla sua cerchia;
  • sotto il profilo quantitativo, tali dati costituiscono una fonte pressocché illimitata di ispirazione per il confezionamento di efficaci vettori di attacco, finalizzato a violare i sistemi della vittima o dell’organizzazione cui afferisce.

Sappiamo, infatti, che lo studio “scientifico” dell’impronta lasciata sui social network è tappa fondamentale della fase preliminare di un attacco informatico, quella chiamata “information gathering”.

Le minacce per l’organizzazione conseguenti ad una non attenta condivisione sui social network potrebbero essere classificate in:

  • furto di dati e informazioni (volontario o involontario) con conseguenti perdite economiche;
  • spear phishing e altri attacchi mirati a specifici soggetti;
  • aumento delle vulnerabilità del perimetro di rete (un falso prompt di login potrebbe essere utilizzato per attivare una backdoor);
  • se il profilo social è associato ad altri account, la violazione del primo potrebbe essere causa di defacement o della violazione degli altri;
  • danni reputazionali.

La dissimulazione può essere sfruttata dall’attaccante per violare i sistemi informativi ed introdursi nel perimetro di rete ma anche, una volta dentro, per veicolare codice malevolo o rubare contenuti strategici (dati secretati o rilevanti per l’organizzazione), attraverso tecniche come la steganografia.

Dissimulazione e steganografia: tecniche di attacco e difesa

L’arte di nascondere un dato attraverso un altro dato è chiamata steganografia.

Tipicamente la steganografia viene utilizzata per nascondere qualcosa (informazioni rubate o codice malevolo, keylogger ecc.) all’interno di un altro contenuto come un’immagine, un testo di tutt’altro argomento, un file audio/video eccetera.

Il mezzo steganografico è la combinazione del messaggio nascosto, del canale utilizzato e della chiave di steganografia.

La steganografia può essere implementata in varie modalità, che corrispondono al criterio di classificazione:

  • modalità tecniche, che utilizzano cioè un mezzo tecnico o chimico per nascondere l’esistenza del contenuto:
  1. inchiostro invisibile, nel caso di intrusioni fisiche e pattern di attacco human based;
  2. microdot, cioè un testo o un’immagine che vengono ridotti, con opportune tecniche fotografiche, alla dimensione di un punto tipografico;
  3. metodologie computer based, come la tecnica della sostituzione dei bit meno significativi, la tecnica dell’inserimento all’interno dello spettro di banda, tecnica dell’iniezione attraverso distorsione ecc.;
  • modalità linguistiche, attraverso metodologie che nascondono il contenuto del messaggio all’interno di simboli, cui viene aggiunto extra spazio:
  1. semagramma visuale, cioè un dettaglio grafico visibile all’interno di un disegno;
  2. semagramma testuale, un messaggio testuale nascosto negli elementi del disegno o del testo stesso (attraverso spazi bianchi aggiunti, interlinee diverse, cambiamenti di dimensione o di stile dei font);
  3. messaggi in codice, con un gergo conosciuto (e dunque comprensibile) solo dalla cerchia ricevente.

A seconda del canale utilizzato per nascondere il contenuto è possibile distinguere la steganografia basata su alterazioni di:

  • immagini, approfittando della ridondanza di bit in formati non compressi, come jpg, png, bmp (OpenStego);
  • documenti o file di testo in formato ASCII, aggiungendo spazi bianchi attraverso tool come Snow;
  • cartelle, inserendo il contenuto da nascondere in appositi folder che si provvederà a rendere invisibili con opportuni tool;
  • video, per iniettare contenuto, di maggiori dimensioni rispetto a quello trasmesso attraverso un file immagine, in formati video come avi e mpg4, attraverso funzioni matematiche di compressione spaziale come la trasformata discreta del coseno (DTC);
  • audio, attraverso una manipolazione dello spettro delle frequenze di trasmissione, ad esempio con l’utilizzo di frequenze maggiori di 20,000 hz, dunque non percepibili dall’orecchio umano;
  • URL web, inserendo oggetti all’interno di altri oggetti web, inibendone la visualizzazione manipolando il codice CSS e poi salvando la nuova pagina sul server;
  • Email, codificando il messaggio all’interno di contenuto testuale di mail commerciali.

Attraverso la steganografia diventa possibile, per l’attaccante, mimetizzare il contenuto illecito che intende veicolare all’interno dei sistemi violati e ridurre le capacità di rilevazione dei principali sistemi antivirus e antimalware.

La strategia di difesa da dissimulazione e steganografia consiste sostanzialmente in tre fasi:

  1. l’implementazione di algoritmi volti a monitorare l’integrità dei file (ad esempio con tool in grado di applicarvi funzioni hash);
  2. la fase della detection, cioè dell’individuazione del contenuto dissimulato nel mezzo scelto, attraverso la steganalisi (anche con l’ausilio di software come Gargoyle Investigator Forensic Tool): nel caso di file di testo, si studieranno i pattern di caratteri inusuali o l’eccessivo spazio bianco, nel caso delle immagini, ci si concentrerà sulle variazioni intervenute nelle dimensioni e nel formato, nel caso di flussi audio e video, si scansioneranno le alte frequenze e i pattern di distorsione;
  3. la fase dell’isolamento del contenuto iniettato e l’eventuale rimozione, attraverso l’analisi differenziale tra il file originale e quello modificato.

Da quanto illustrato nel presente contributo risulta immediatamente l’importanza strategica della conoscenza, per un’efficace strategia di difesa da parte dei vertici aziendali, sia della minaccia rappresentata da dissimulazione e steganografia come “entry point”, sfruttato dall’attaccante per penetrare dall’esterno all’interno del perimetro organizzativo, sia del suo momento squisitamente operativo, in cui essa si declina nelle particolari tecniche di camuffamento come quelle steganografiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5