Dopo una breve introduzione all’inserimento di contenuto nascosto all’interno di file che sembrano trasportare altre informazioni, cerchiamo di capire se e come sia possibile individuare dati steganografici all’interno di file che a noi sembrano sospetti.
Anche la steganografia possiede inevitabilmente una sua scienza antagonista, detta steganalisi, che ha il compito di individuare i contenuti nascosti e di svelarli. Le tecniche steganografiche infatti, pur alterando solamente le componenti meno significative di un immagine, di un suono o di un file in generale, lasciano tracce più o meno evidenti che potrebbero svelare le informazioni nascoste.
La difficoltà nell’analisi di tali documenti, prendiamo per esempio le immagini, rimane comunque nel fatto che chi esegue la steganalisi spesso non possiede il file di copertura, ovvero quello di partenza utilizzato per celare i contenuti nascosti.
Fortunatamente esistono dei tool automatici che effettuano vari tipi di elaborazioni, statistiche piuttosto che visuali, oltre che informatiche. Tra questi si evidenzia Stegdetect
che consiste in un tool automatico relativo ai contenuti presenti in immagini JPG.
Il seguente codice, presente al link ufficiale mostra come sia possibile eseguire l’indagine su file e cartelle. Nello specifico viene richiesta l’analisi di tutti i file nella directory con estensione “jpg”. Il tool restituisce i risultati mostrando una lista di casi negativi e di quelli con contenuto steganografico, offrendo qualche informazione aggiuntiva sulle modalità di creazione degli stessi. Solo successivamente, con il comando “stegbreak” (per la sintassi è possibile consultare la documentazione) è possibile tentare a forzare il file estraendone il contenuto.
$ stegdetect *.jpg
cold_dvd.jpg: outguess(old)(***) jphide(*)
dscf0001.jpg: negative
dscf0002.jpg: jsteg(***)
dscf0003.jpg: jphide(***)
[...]
$ stegbreak -tj dscf0002.jpg
Loaded 1 file...
dscf0002.jpg: jsteg(wonderland)
Processed 1 file, found 1 embeddings.
Time: 36 seconds: Cracks: 324123, 8915 c/s
Alle difficoltà dell’individuazione di file steganografici si aggiunge il macigno dell’individuazione della password eventualmente presente. In questo caso infatti si esce dal mondo della steganografia e si passa in tutt’altro mondo in cui la rilevazione della password la fa da padrone.
Entrano quindi in gioco tutte le nozioni e i software in grado di forzare una password, tramite attacchi di forza bruta, oppure tramite vocabolario o qualsiasi altro mezzo noto. Tuttavia la risoluzione di una password, oltre a dipendere dalla sua complessità e lunghezza, è un contesto quasi totalmente estraneo alla steganografia che ne utilizza solamente l’efficacia. Per tale motivo chiudiamo qui questa piccola serie di articoli, lasciando a successivi approfondimenti il tema della forzatura (recupero) delle password.