da `910ng W e. ÌNÈ{ÙM

Steganografia:
arte antica, minaccia moderna
Giorgio Parpinelli
Osservatorio ANFOV sulla sicurezza nelle infrastrutture di rete
Milano, 21 gennaio 2014
§  Evolve: chi siamo
§  Introduzione e definizioni
www.evolveit.it
Agenda
§  Cenni storici
§  Tecniche di mascheramento dei dati
§  La minaccia
§  Contromisure possibili
§  Casi reali
§  Conclusioni
2
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
EVOLVE: chi siamo
§  Piccola azienda di consulenza focalizzata su network&infrastructure
security;
§  Esperienza più che ventennale nel settore;
§  Parte di un network di professionisti in grado di fornire le competenze
necessarie ai vari progetti;
§  Esperienza di audit, vulnerability assessment ed ethical hacking anche su
infrastrutture critiche;
§  Siamo da sempre molto attenti all’evoluzione delle minacce e delle relative
tecniche di prevenzione/cura;
3
STEGANOGRAFIA: arte antica, minaccia moderna
§  Steganografia deriva dai termini greci steganos (στεγανός) che significa
“coperto o protetto“ e graphei (γραφή) che significa “scrittura“.
www.evolveit.it
Introduzione
§  E’ l’arte di nascondere un oggetto in un altro oggetto in modo che altri non
possano notarlo.
§  La steganografia è anche la pratica usata per includere dati all’interno di altri
dati, in modo tale da renderli evidenti a terzi (watermarking)
§  E’ il fratello cattivo della crittografia !
§  Può essere considerata un’arte fino a quando non viola la legge.
4
STEGANOGRAFIA: arte antica, minaccia moderna
§  La crittografia consiste nel manipolare un messaggio in modo tale che un
soggetto non autorizzato non sia in grado di capirlo, mentre la steganografia
inserisce un messaggio segreto all’interno di un vettore dall’apparenza
insospettabile in modo che nessuno si possa accorgere di nulla.
www.evolveit.it
Differenze rispetto alla crittografia
§  La crittografia garantisce la privacy, la steganografia punta alla segretezza.
§  Steganografia:
o  Nasconde senza alterare (apparentemente)
o  Offusca la presenza della comunicazione, non i dati
o  È preventiva – scoraggia gli attacchi
o  Non vi sono leggi specifiche in materia
§  Crittografia:
o  Altera, senza nascondere
o  Offusca il dato, non il fatto di comunicare
o  E’ curativa – difende dagli attacchi
o  E’ vietata/regolamentata da alcune leggi
5
STEGANOGRAFIA: arte antica, minaccia moderna
§  Nel 400 A.C. Istieo (tiranno di Mileto) rasò il capo del suo schiavo più fidato
e vi tatuò un messaggio segreto che sollecitava alla rivolta contro i Persiani.
Alla ricrescita dei capelli lo schiavo venne inviato a destinazione dall’amico
Aristagora.
§  Demarato di Sparta avvisò Atene del piano di attacco della Persia tramite un
messaggio inciso in una tavola da scrittura ricoperta poi di cera e sulla quale
fece scrivere a sua volta un messaggio innocuo. La tavola di cera era
destinata agli “appunti” e non fu presa in considerazione consentendo così
al messaggio di giungere a destinazione.
§  Un cinese scrisse alcuni messaggi su brandelli di seta incapsulati poi nella
cera. Le palle di cera "la wan" poterono poi essere nascoste nel
messaggero (dove è meglio non saperlo).
§  Un vecchio ma sottile metodo è quello di scrivere un messaggio con
inchiostro invisibile (succo di limone, latte o urina) che diventa
immediatamente visibile se riscaldato da una fiamma.
§  I micro-punti o microdots usati dai tedeschi durante la seconda Guerra
mondiale consentivano di inviare un messaggio apponendo dei puntini
sopra o sotto le lettere di un testo insospettabile.
www.evolveit.it
Cenni storici 1/2
6
STEGANOGRAFIA: arte antica, minaccia moderna
Nel 2004 è stato reso pubblico che diversi costruttori di stampanti hanno usato
la steganografia per nascondere informazioni su alcuni dati della stampante
(numero di serie, codice del produttore, etc) per tracciare le contraffazioni.
I produttori sono Brother, Canon, Dell, Epson, HP, IBM, Konica Minolta,
Kyocera, Lanier, Lexmark, Ricoh, Toshiba, Xerox
www.evolveit.it
Cenni storici 2/2
7
STEGANOGRAFIA: arte antica, minaccia moderna
§  L’evoluzione digitale consiste nel nascondere un messaggio o un file
all’interno di un altro detto “container”
§  La maggior parte dei container sono file multimediali
o  I file di immagini, audio e video sono molto ridondanti e possono essere
ottimizzati senza influenzare l’occhio/orecchio umano
o  I servizi segreti USA sostengono che Al Qaeda ha nascosto le istruzioni
per alcuni attentati all’interno di file video.
§  Le note di Copyright incluse nelle pubblicazioni digitali sono steganografia
o  Prova di autenticità (Watermarking)
o  Serial number incluso per prevenirne la duplicazione
o  Ricerca di violazioni sul web tramite spiders o crawlers
§  Le fotocamere digitali usano i tag EXIF(Exchangeable Image File Format)
o  Non sono riservati ma sono invisibili
o  Includono informazioni come tipo di fotocamera, data, esposizione,
diaframma, lunghezza focale, coordinate GPS ….
§  Similarmente si possono inserire messaggi nelle parti non visibili di una
pagina html
www.evolveit.it
Evoluzione digitale della steganografia
8
STEGANOGRAFIA: arte antica, minaccia moderna
Genericità
§  Il messaggio contenitore deve essere più
generico possibile
www.evolveit.it
Criteri di segretezza
Diffusione
§  Nessuno deve possedere il messaggio
contenitore, per evitare confronti
Unicità
§  Non si deve utilizzare sempre lo stesso
messaggio contenitore, anzi, va distrutto dopo
il suo utilizzo
9
STEGANOGRAFIA: arte antica, minaccia moderna
Tecniche di steganografia digitale: LSB
Consideriamo una immagine in bianco e nero a 8-bit
§  Ogni pixel è codificato con 8 bits.
§  Ci sono quindi 256 differenti variazioni di grigio.
www.evolveit.it
Inserimento di un testo in un’immagine
La tecnica più semplice è quella denominata least significant bit (LSB).
Immaginiamo di nascondere la lettera ‘G’ su 8 byte del file usato come carrier
(i bit meno significativi sono sottolineati):
§  10010101
00001101
11001001
10010110
§  00001111
11001011
10011111
00010000
Il carattere 'G' corrisponde alla stringa ASCII binaria 01000111. Questi 8 bit
possono essere «scritti» al posto dei bit meno significativi dei relativi byte del
file carrier come segue:
§  10010100
00001101
11001000
10010110
§  00001110
11001011
10011111
00010001
Le variazioni dell’immagine non saranno percepibili all’occhio umano
10
STEGANOGRAFIA: arte antica, minaccia moderna
Vantaggi
§  Non varia la dimensione del file carrier
§  E’ molto difficile da individuare
www.evolveit.it
LSB: pro e contro
Svantaggi
§  Normalmente è necessario utilizzare lo stesso software per nascondere e
svelare le informazioni
§  Se l’immagine carrier viene convertita di formato c’è la possibilità che tutto o
parte del messaggio nascosto vada perduto.
11
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
LSB in azione
Pixel 1
Pixel 2
Immagine Carrier
Pixel 3
Pixel non scalati
12
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
LSB in azione
Aggiungiamo la lettera “W” ai pixel a 24 bit:
W = 01010111 (ASCII)
R
G
B
R
G
B
[10000100 10110110 11100111]
[10000100 10110111 11100110]
[10000101 10110111 11100111]
[10000101 10110110 11100111]
[10000101 10110110 11100111]
[10000101 10110111 11100111]
Originale
Alterato
13
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
LSB in azione
Effetto della modifica sul primo pixel:
Valori originali
Valori alterati
1 0 0 0 0 1 0 0
1 0 0 0 0 1 0 0
1 0 1 1 0 1 1 0
1 0 1 1 0 1 1 1
Originale
1 1 1 0
0 1 1 1
Alterato
1 1 1 0 0 1 1 0
14
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
LSB in azione
Immagine Carrier
Immagine alterata
L’immagine alterata contiene un testo di 121 pagine
estratto da un manuale di addestramento per terroristi
(Con spazio per ulteriori 72.094 caratteri!)
Image Size (768 X 1,024)
Carrying capacity
=
=
=
786,432 pixels
2,359,296 bytes
294,912 characters
Payload Size
=
=
37,025 words
222,818 characters (w/spaces)
15
STEGANOGRAFIA: arte antica, minaccia moderna
AUDIO
VIDEO
I dati sono nascosti modificando i dati di
campionamento.
Codifica dei fotogrammi fissi
(still-frames) spaziale o in
frequenza
www.evolveit.it
Steganografia su carrier audio/video
Formati non compressi
I dati vengono codificati durante il
q – WAV (Waveform Audio File Format)
refresh
q – BWF (Broadcast Wave Format)
Ø sottotitoli
q – MBWF (Multichannel Broadcast Wave
Format)
Watermarking visibile
Ø Usato dalle reti TV (logo in
Formati compressi
basso/alto a destra)
Ø Lossy
• MP3
• Advanced Audio Coding (AAC)
Ø Lossless
• Free Lossless Audio Codec (FLAC)
• Direct Stream Transfer (DST)
16
STEGANOGRAFIA: arte antica, minaccia moderna
Network Steganography
Ø Insieme di tecniche per nascondere informazioni scambiate per mezzo di
steganogrammi nelle reti di telecomunicazione.
Ø Possono essere Intra-protocollo o Inter-protocollo
Ø Utilizzano i bit non usati nei pacchetti o nelle intestazioni
Ø IP (Type of service, Flags, fragment offset, etc.)
Ø TCP (Sequence Number)
www.evolveit.it
Steganografia di rete
LACK (Lost Audio Packet Steganography)
Ø Nasconde le informazioni in un pacchetto ritardatario
HICCUPS (Hidden Communication System for Corrupted Networks)
Ø Maschera le informazioni come lieve distorsione o rumore di fondo
Operating System techniques
Ø Memoria libera
slack space (dischi frammentati)
spazio disco non allocato
Ø Partizioni nascoste
17
STEGANOGRAFIA: arte antica, minaccia moderna
“La minaccia rappresentata dalla
steganografia è stata documentata in
numerosi rapporti di intelligence”
www.evolveit.it
Steganografia: la moderna minaccia
“Queste tecnologie sono un potenziale
rischio per la sicurezza della nazione.”
“L’interesse internazionale per la ricerca
e sviluppo nelle tecnologie
steganografiche e la loro
commercializzazione e applicazione è
esplosa negli anni recenti.”
Gli insiders sono equiparati ai normali
vettori di rischio
• 
• 
• 
• 
Hackers
Crimine organizzato
Terroristi
Stati ostili
Il trend della minaccia pone gli insiders
in cima alla lista!
18
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
Insiders: perchè preoccuparsene?
Sono circondati da informazioni confidenziali/sensibili
Dati sulle
Carte di credito
Dati
commerciali
Dati
personali
Informazioni
classificate
Informazioni
legali/giuridiche
Proprietà
intellettuale
Maria e Giovanni
19
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
Insiders: e quindi? Tanto io ho le mie misure di sicurezza
Dispositivi personali
(Smartphone/Tablet/Mp3player)
Vari dispositivi di
storage portatili
Telefono
Stampe
E-mail con o
senza allegati
CDs/DVDs
Maria e Giovanni
20
STEGANOGRAFIA: arte antica, minaccia moderna
Applicazioni largamente disponibili
•  Oltre 1800 sul Web
•  Molte sono freeware/shareware
http://www.jjtc.com/Steganography/tools.html
www.evolveit.it
Insiders: ok mi sto preoccupando, ma come faranno?
Facili da reperire
•  Ricerca su Google “information hiding”
Risultato: oltre 82,000,000 risultati!
Facili da scaricare, installare ed utilizzare
•  “Drag and drop” o interfaccia “wizard”
•  Molte sono “portable”
Molte dispongono di encryption
•  Da debole a molto forte
21
STEGANOGRAFIA: arte antica, minaccia moderna
Approccio tradizionale:
•  Rilevamento alla cieca
•  Attacco visuale
•  Attacco strutturale
solo ipotesi senza il file carrier originale
•  Attacco statistico
•  Risultanze espresse come probabilità
•  Impossibile estrarre i dati
•  Tasso di falsi positivi altissimo
www.evolveit.it
Contromisure possibili
Serve un nuovo approccio integrato
•  Investigazione analitica
•  Rileva i “fingerprints”
•  Rileva le “signatures”
•  Identificare con accuratezza l’applicazione utilizzata
•  Possibilità di estrarre e decifrare i dati
•  Rilevare le anomalie e le violazioni nei protocolli
•  Prevenzione del traffico basato su stenogrammi
•  Audit e controlli
•  In questo ambito la tecnologia da sola è quasi impotente
22
STEGANOGRAFIA: arte antica, minaccia moderna
•  Juan Carlos Ramirez Abadia
Juan Carlos Ramírez Abadía
–  Trafficante di droga Colombiano
§  Ha accumulato un patrimonio di 1,8
miliardi di dollari spedendo droga in
California attraverso il Messico
–  Ha usato immagini di Hello Kitty
per nascondere i messaggi relativi
alle spedizioni della droga
–  Arrestato dalla polizia brasiliana
nell’Agosto del 2007
www.evolveit.it
Alcuni casi reali
Born
February 16, 1963
(1963-02-16) (age 46)
Palmira, Colombia
Alias(es)
Chupeta, Cien, Don
Augusto, El Patron,
Gustavo Ortiz,
Charlie Pareja
Charge(s)
Drug trafficking and
smuggling,
racketeering, money
laundering
Status
Arrested / Extradited
§  La DEA ha partecipato
all’investigazione forense
Ø Rilevati ed estratti I messagi
steganografati
23
STEGANOGRAFIA: arte antica, minaccia moderna
Il caso delle spie russe
www.evolveit.it
Alcuni casi reali
24
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
Alcuni casi reali
Operazione Shady RAT
Tre fasi:
1.  Spear Phishing
— Allegato maligno
2.  Phone Home
— Accesso a immagini e pagine
HTML
3.  Controllo Remoto
— Upload dei dati raccolti
Utilizzata la steganografia per occultare i comandi dal C&C server!
STEGANOGRAFIA: arte antica, minaccia moderna
25
•  Steganografia & Steganalisi sono ancora in una fase giovane di
ricerca e sviluppo.
•  Le architetture e tecnologie di protezione considerate sinora non sono
minimamente in grado di contrastare il fenomeno in autonomia. E’
necessaria una azione integrata tra controlli e tecnologie a più livelli.
•  Il crescente numero di protocolli, applicazioni e sistemi di calcolo offre
in teoria possibilità illimitate alla crescita e diversificazione dei metodi
steganografici.
•  E’ necessario da parte dei legislatori colmare il vuoto normativo sul
tema.
www.evolveit.it
Conclusioni
•  La tematica non è adeguatamente considerata come minaccia e
questo rende ancora più semplice l’uso/abuso di questi potenti
mezzi.
26
STEGANOGRAFIA: arte antica, minaccia moderna
www.evolveit.it
[email protected]
Grazie per l’attenzione