La crescente minaccia della steganografia in Rete

La crescente minaccia della steganografia in Rete

Nel 2011, i ricercatori del Laboratorio di Crittografia e Sicurezza dei Sistemi di Budapest, hanno scoperto un’insolita forma di software malevolo. Questo malware si insinua nelle macchine di Microsoft Windows, raccoglie informazioni sui sistemi di controllo industriale e quindi le invia tramite Internet al suo centro di controllo. Dopo 36 giorni, il malware si rimuove automaticamente, rendendo particolarmente difficile la sua individuazione. Questo malware è stato denominato Duqu perché crea file utilizzando il prefisso “~DQ”.

Il software risulta inusuale per una serie di motivi. Anzitutto, i ricercatori hanno notato una straordinaria somiglianza del Duqu con il malware Stuxnet, sviluppato presumibilmente da team statunitensi e israeliani per attaccare le capacità nucleari dell’Iran. Un team di ricercatori ha detto che era pressoché identico allo Stuxnet ma con lo scopo inverso di raccogliere informazioni piuttosto che attaccare.

L’aspetto più intrigante, però, è il modo in cui Duqu ritrasmette le informazioni al suo centro di controllo. Per cominciare, il malware cripta le proprie informazioni e le incorpora in un file JPEG per farlo sembrare una semplice e innocua figura, una tecnica conosciuta come steganografia. Laddove la crittografia protegge l’informazione, la steganografia nasconde in primo luogo l’esistenza di un messaggio.

I ricercatori stanno ancora studiando Duqu per identificare esattamente il suo scopo e comprendere come costruirlo. Il fatto che questo malware utilizzi la steganografia per inviare informazioni tramite Internet è parte di un trend preoccupante. Nel 2008, il Dipartimento di Giustizia degli Stati Uniti è stato vittima della steganografia quando sensibili dettagli finanziari sono stati fatti trapelare nascosti all’interno di immagini JPEG. Nel 2002 è stato identificato un giro di pornografia minorile che ricorreva alla steganografia per scambiare informazioni. Un gruppo di spionaggio russo è stato invece scoperto a New York, ed è in seguito stato appreso che faceva uso della steganografia per inviare informazioni ai suoi capi.

Questi fatti lasciano sorgere alcune importanti domande. Quanto è diffusa esattamente la steganografia su Internet, che genere di tecniche sfrutta, e come può essere affrontata? Una risposta parziale ci viene fornita dal lavoro di Steffen Wendzel e colleghi presso il gruppo di ricerca in sicurezza informatica del Fraunhofer Institute for Communication, Information Processing and Ergonomics di Bonn, in Germania. Questi ricercatori ci offrono una panoramica della maniera in cui questo malware nasconde informazioni segrete all’interno di ordinarie trasmissioni via Internet, e dimostrano come il numero di metodi che sfruttano questa tecnica sia cresciuto drammaticamente negli ultimi anni.

Il loro sforzo si è concentrato principalmente sulla steganografia in rete — l’occultamento di informazioni all’interno di trasmissioni ordinarie piuttosto che attraverso chiavette USB o immagini fisiche e via dicendo. Il team ha messo in evidenza come la steganografia in rete risulti attraente per la quantità pressoché illimitata di informazioni che possono essere trasmesse. Oltretutto, le opportunità di nascondere informazioni nelle trasmissioni in rete continua a crescere a un ritmo elevato. In particolare, un certo numero di approcci ha preso di mira gli IP di programmi di telefonia quali Skype, che negli ultimi anni sono divenuti sempre più popolari. In passato, steganografi informatici hanno sfruttato i protocolli TCP/IP le cui intestazioni contengono informazioni per trasmettere i dati attraverso Internet. Queste intestazioni presentano anche dei campi inutilizzati che possono essere adoperati per trasportare informazioni nascoste con relativa semplicità.

Stando a Wendzel e colleghi, negli ultimi anni gli attacchi si sono concentrati maggiormente su applicazioni di maggiore rilievo, quali Skype, Bit Torrent e Google search, e verso nuovi campi della rete quali il cloud computing. «Recentemente, abbiamo assistito a un cambiamento nella scelta del trasportatore segreto di dati», dicono. Un approccio denominato “Transcoding Steganography” o TranSteg, consiste nel comprimere dati audio affinché occupino meno spazio e utilizzare lo spazio guadagnato per trasportare dati nascosti. Un altro attacco ai dati audio consiste nell’identificazione dei pacchetti audio associati al silenzio fra le parole così da poterli riempire con dati criptati.

Un approccio alternativo consiste nell’attaccare le ricerche su Google per estrapolare una lista delle dieci frasi più ricercate da un utente. Un attacco intercetta i suggerimenti forniti dai server Google e aggiunge un’unica parola al termine di ciascuna delle dieci frasi suggerite. Il ricevente estrae semplicemente queste parole aggiunte e le converte in messaggi utilizzando una tavola di ricerca condivisa in precedenza.

La tendenza più preoccupante riguarda forse le crescenti capacità degli smartphone, fino a pochi anni disponibili solo su desktop e portatili. Gli smartphone offrono una panoplia di possibilità stenografiche grazie alla loro capacità di registrare e inviare messaggi audio, video, immagini e documenti di testo di vario genere. Oltretutto, sono ovviamente più mobili e possono connettersi automaticamente a una varietà di reti.

L’aspetto più terrificante è che molti di questi dispositivi hanno vulnerabilità uniche. «Gli strati di sicurezza utilizzati nei sistemi operativi per dispositivi mobile sono a mala pena adeguati», spiegano Wendzel e co. Una forma di malware conosciuta come Sound Comber cattura dati personali quali i tasti premuti nella tastiera di uno smartphone durante una telefonata per poi trasmetterli tramite una varietà di metodi differenti, quali modalità di vibrazione predefinite, modifiche al volume della suoneria o bloccando e sbloccando lo schermo del cellulare.

Tutto questo rappresenta una minaccia significativa. «Restano in circolazione più di cento tecniche per la trasmissione di dati riservati attraverso le informazioni meta, quali gli elementi della testata o la tempistica nei packet della rete», spiega Wendzel. Il problema, ovviamente, sta nell’individuare i computer infetti da malware steganografici ricercando direttamente il malware o cercando i segni identificativi della steganografia nei dati trasmessi.

Le newsletter de Linkiesta

X

Un altro formidabile modo di approfondire l’attualità politica, economica, culturale italiana e internazionale.

Iscriviti alle newsletter