Data Concealment – quando informação é mais do que parece

por | dez 12, 2024 | Acadêmico, Culture, Forense, HackerCulture, Hacking | 0 Comentários

Imagine receber um arquivo aparentemente inofensivo: um PDF com uma planilha comum, uma imagem de alta resolução, ou até uma mensagem de e-mail escrita em tom casual. Agora, pense na possibilidade de que cada um desses arquivos possa conter informações ocultas, estratégias para evadir sistemas de segurança, ou mesmo chaves para acessar dados críticos da sua empresa ou informações exfiltradas do ambiente interno. Parece roteiro de um thriller tecnológico? Não é. É o mundo real do Data Concealment.

 

Artefatos secretos

Para gerentes de TI, diretores de cibersegurança e profissionais de resposta a incidentes, o maior pesadelo não está em uma invasão ruidosa, mas no inimigo silencioso: informações ocultas que passam despercebidas por sistemas tradicionais ou que são transportados de forma imperceptível.

Um relatório financeiro que, ao ser aberto, carrega códigos maliciosos escondidos. Uma imagem com metadados comprometidos que fornecem mais informações do que o esperado.

Você acredita estar preparado para identificar e combater tais ameaças?

 

 

Oportunidades ocultas nas ameaças invisíveis

Profissionais capazes de entender o Data Concealment estão se tornando valiosos no mundo da cibersegurança. Esse campo, algumas vezes exige mais do que ferramentas avançadas: demanda uma mente curiosa e uma analítica treinada para identificar padrões, desvios e detalhes que escapam à automação.

Empresas precisam de profissionais que saibam responder perguntas como:

  • Esse arquivo realmente é o que aparenta ser?
  • Como detectá-los em um sistema de arquivos vasto?
  • Quais práticas de ofuscação estão sendo usadas para burlar as proteções?

 

 

Mas afinal, o que é Data Concealment e como isso funciona?

Data Concealment (ocultação de dados) são, no campo da cibersegurança, técnicas que se referem à prática de proteger informações ou dados confidenciais ao ocultá-los, disfarçá-los ou codificá-los, de forma que, mesmo que alguém tenha acesso ao artefato, o conteúdo permaneça incompreensível ou passe desapercebido.

Alguns métodos comuns de ocultação de dados incluem esteganografia, criptografia, ofuscação e disfarce dos dados, e a prática se estende a várias formas de dados, incluindo arquivos de texto, músicas, vídeos, imagens, ocultos em outros arquivos, como um documento de texto oculto em um arquivo de imagem. Estratégia essa que pode ser utilizada tanto para segurança defensiva na preservação da informação, quanto para segurança ofensiva no ataque ou para a perícia digital na investigação de crimes cibernéticos.

Em um mundo onde a informação é o ativo mais valioso, identificar e dominar essas práticas se tornou essencial para quem lidera a defesa digital.

 

 

Esteganografia – a arte de ocultar informações

Umas das formas de Data Concealment é a Esteganofrafia.

É a prática de ocultar informações dentro de outra mensagem ou objeto físico e pode ser usada para ocultar praticamente qualquer tipo de conteúdo digital, incluindo texto, imagem, vídeo ou conteúdo de áudio. Esses dados ocultos são extraídos em seu destino final.

Como forma de comunicação encoberta, a esteganografia às vezes é comparada à criptografia. No entanto, os dois não são os mesmos, pois a esteganografia não envolve embaralhar os dados no envio e usar uma chave para decodificá-los no recebimento.

O termo “esteganografia” vem das palavras gregas “steganos” (que significa oculto ou coberto) e “graphein” (que significa escrita). Escrita oculta.
A esteganografia tem sido praticada de várias formas há milhares de anos para manter as comunicações privadas e na era digital não é diferente: informação camuflada em outra a fim de mascarar o seu verdadeiro sentido.

Agora, ela não apenas protege informações sensíveis, mas também serve como ferramenta para cibercriminosos sofisticados.
Ao realizar uma forense em artefatos digitais, é muito importante estar atento à possibilidade pois pode conter evidências extremamente importantes dentro destes arquivos uma vez que atualmente, também é uma técnica utilizada por cibercriminosos. Por exemplo, eles podem ocultar dados exfiltrados, ocultar uma ferramenta ou código malicioso para execução de ações.

Imagine abrir uma um arquivo de áudio, e descobrir que ela guarda segredos invisíveis aos ouvidos destreinados.


Em um arquivo de som no formato .wav, foi utilizado o Software WavePad Sound Editor e selecionado a opção de visualização do espectrograma, revelando uma mensagem Teste oculta no ruído.
Estes arquivos podem ser feitos utilizando o coagula, nsspot, ou qualquer outro software que transforme imagem em som.


O mesmo pode ser aplicado em qualquer software que permita a visualização do espectrograma dos sons. Este por exemplo utilizando o Sonic Visualiser.


E da mesma forma que pode esconder mensagens secretas, é possível esconder imagens completas dentro de um áudio. Na verdade, a imagem de capa que ilustra este artigo, gerada por inteligência artificial, foi extraída diretamente desta análise sonora.

 

O mesmo pode ser feito com arquivos de imagens como por exemplo:


Imagem aparentemente comum.
Imagem escondida exfiltrada da imagem ao lado.

Fonte: Acervo Lima (acessíveis em referências no fim deste artigo)

Neste modo, a esteganografia funciona da seguinte maneira:
Ao ser constituída a imagem, ela incorpora as informações secretas nos bits menos significativo do arquivo base. Cada pixel é composto de três bytes de dados correspondentes às cores vermelho, verde e azul (RGB  / Red Green Blue). Alguns formatos de imagem alocam um quarto byte adicional para transparência, ou “alfa”.

A esteganografia de LSB (Bit Menos Significativo / Least Significant Bit) altera o último bit de cada um desses bytes para ocultar um bit de dados. Por exemplo, um byte que originalmente seria representado como 10110110 poderia se tornar 10110111, alterando apenas o último bit. Essas mudanças são imperceptíveis porque afetam uma parte tão pequena da representação do pixel que não impactam a qualidade visual da imagem.

Modificar o último bit do valor do pixel não resulta em uma alteração visualmente perceptível na imagem, o que significa que qualquer pessoa que visualizar o original e as imagens modificadas esteganograficamente não conseguirá perceber a diferença.

 

 

E a técnica não se limita ao mundo digital. Técnicas como mensagens escritas em tinta invisível, que só aparecem com calor ou luz UV ou pincelando com uma substância que interaja com o material utilizado para realizar a escrita, são tipos de esteganografia no mundo físico, que possibilitam fazer alguns tipos de artes visuais.

Na ilusão de ótica, algo semelhante ocorre, como por exemplo imagem de grades de moiré (que só aparece a imagem se mover a cabeça para os lados ou olhar para imagem quase fechando os olhos ou minimizando o tamanho da imagem):



Fonte: imagens da internet

 

 

Criptografia – trancando informações importantes

Criptografia é outra das formas em que pode ser aplicada em Data Concealment.

O termo “criptografia” vem do grego, e é derivado da combinação das palavras “kryptós” (“escondido / oculto”, em português) e “graphién” (“escrita”). Portanto, a tradução literal de criptografia também corresponde a “escrita oculta”, no entanto, esteganografia e criptografia são coisas diferentes que remetem a práticas para esconder ou proteger informações de uma mensagem.

Na verdade, antes do Ransomware, os algoritmos criptográficos tinham justamente a finalidade de proteção de arquivos confidenciais.
O processo inicial de criptografia transforma informações não criptografadas (texto plano) em dados cifrados através de um algoritmo de criptografia usa uma chave criptográfica para aplicar operações matemáticas ao texto plano, de modo a resultar em um conjunto de dados criptografados que são possíveis de interpretar somente quem possuir a chave criptográfica correta.

Feito isso, os dados cifrados são armazenados ou enviados ao destinatário de forma segura. Mesmo que haja interceptação, o acesso não autorizado não será capaz de ler a mensagem sem a chave criptográfica, já que as informações estarão ilegíveis

O destinatário com a chave de criptografia então usará o algoritmo para decodificação, revertendo o conteúdo criptografado. Isso permitirá que ele consiga ler a mensagem enviada pelo remetente.

 

 

Fatos curiosos: uma espécie de criptografia nos tempos antigos, foi a Cítala Espartana, que consistia em um bastão de madeira cilíndrico e uma tira longa de couro ou papiro. Para criar a mensagem, a tira era enrolada ao redor do bastão e o texto era escrito em sequência sobre ela.

Quando desenrolada, os espaços vazios eram preenchidos com outras letras formando uma frase totalmente diferente.
Era como um código personalizado: apenas quem possuía um bastão de diâmetro idêntico e soubesse do que se tratava o artefato, conseguia ler a mensagem.

Uma informação importante destacar é que: cifragem e criptografia, são coisas diferentes.
É possível reverter um escrito cifrado. Já o criptografado, se não tiver a chave correta, nada adianta.

 

 

Cifragem – comunicação em dados secretos

Cifragem de informação, se refere à técnica de transformar dados legíveis em um formato codificado.
Tais como Base64, Base 58, Cifra de Caesar, OOK ou até mesmo códigos personalizados. É um tipo de Data Concealment usadas principalmente em mensagens de texto.

Uma das aplicações mais famosas de cifragem na história da computação (e humanidade) foi durante a Segunda Guerra Mundial.


(Máquina Enigma – réplica da máquina de codificação usada pelos alemães durante a Segunda Guerra Mundial)
(Máquina de Turing – réplica da máquina de decodificação usada pela equipe de Turing para interpretar as mensagens da Enigma durante a Segunda Guerra Mundial)

 

Porém, essa técnica existe desde antes da computação.
No Japão feudal por exemplo, existira uma técnica utilizada pelos 忍び (shinobi), chamada de 五色米 (goshikimai – 5 cores de arroz) na qual consistia de fazer uso de tintas coloridas em grãos de arroz e fazer combinações correspondentes a cada letra para transmitir mensagens.


(registro do 五色米 no Museu de Iga – Japão)
Ainda sobre o Japão feudal, era comum que determinadas pinturas fossem na verdade mapas velados, ou escondiam escrituras em 漢字 (kanji) com informações relevantes para quem fosse capaz de perceber.

 

A Cifra de César (inclusive ainda presente em desafios de CTF da atualidade) é uma das técnicas de criptografia mais antigas. Durante o período do Império Romano de Júlio César, o próprio usava a codificação para enviar mensagens secretas a seus generais. Ele acreditava tanto na sua eficácia que, na maioria das vezes, usava um deslocamento de apenas 3 posições.

Suetônio, historiador romano, relatou que César usava essa cifra para evitar que suas mensagens fossem entendidas por inimigos interceptadores, tornando-o talvez o primeiro “criptógrafo” documentado da história.

 

 

Um artefato que funciona de forma semelhante é o Cryptex.

É um dispositivo cilíndrico usado para armazenar mensagens ou objetos secretos. Ele é protegido por uma combinação de letras que, se inserida corretamente, destrava o mecanismo. A ideia é inspirada nos projetos de Leonardo da Vinci, mas sua existência na história real ainda é questionada.

Dan Brown nunca afirmou que o Cryptex foi realmente inventado por Leonardo, mas usou a fama do gênio renascentista para torná-lo plausível. Leonardo era conhecido por criar designs visionários, incluindo engrenagens e mecanismos complexos, então a ideia de um Cryptex parece algo que ele poderia ter feito.

No livro, o Cryptex contém vinagre dentro do cilindro, junto a um papel sensível com a mensagem secreta. Se alguém tentar forçá-lo, a cápsula que contém o vinagre se rompe e destruirá a mensagem. Essa ideia de “autodestruição” é um conceito engenhoso que lembra sistemas modernos de segurança digital e até mesmo alguns tipos de malwares principalmente.

 

 

Data Obfuscation – invisível em plena vista

Você já parou para pensar que a senha que você usa diariamente nunca está realmente armazenada no banco de dados de uma empresa? Ou que um payload seja capaz de executar comandos remotamente sem ser notado pelos sistemas de monitoramento? Essas são apenas algumas das aplicações de data obfuscation.

Em termos simples, data obfuscation (ofuscação de dados) é o processo de mascarar ou transformar informações de forma que, mesmo que sejam acessadas ou vistas, não possam ser compreendidas diretamente. Característica essa que também, permite pentesters, red teamers e invasores bypassar firewalls e outros sistemas de segurança.

Na era da informação, o valor dos dados é comparável ao petróleo. Profissionais de TI e segurança investem milhões em criptografia, firewalls e autenticação, mas alguns negligenciam um ponto crucial: como os dados aparecem para quem não deveria vê-los?

Enquanto criptografia é essencial, ela não é suficiente. Atacantes avançados sabem que, uma vez dentro do sistema, quebrar a segurança é apenas questão de tempo. É aí que entra o data obfuscation, criando uma camada adicional.

Alguns exemplos de aplicações:

Senhas armazenadas em hashes

Ao contrário do que muitos pensam, senhas (em ambiente bem configurado) nunca são armazenadas como texto claro. Elas são convertidas em hashes irreversíveis usando algoritmos como SHA-256, SHA-384, ou até mais robustos dependendo da capacidade do servidor:

(exemplo de uma senha reescrita em Sha-384)

Dados pessoais

Nos bastidores de sistemas que processam dados pessoais que aparecem em tela, é indispensável estarem parcialmente ofuscadas, tais como CPF, e-mail, números de telefone, etc.

Exfiltração de dados utilizando protocolos não convencionais

E se os dados estivessem sendo enviados por um canal que ninguém suspeita? Essa é uma técnica utilizada para evitar detecção por firewalls e sistemas de monitoramento e práticas especialmente desafiadoras durante a análise de tráfego de rede

Códigos maliciosos

Malwares frequentemente embaralham seu próprio código para dificultar a análise por especialistas, e são ofuscados para bypassar sistemas de defesa e também aumentar o tempo necessário para identificar e neutralizar a ameaça.

Com isso os códigos se tornam ilegíveis porém ainda executáveis, escondendo sua verdadeira intenção


(um exemplo de código ofuscado de um Trojan)
(código com ofuscação simples de um payload básico)

Também existe a ofuscação de cabeçalhos HTTP e de comandos em shell, transportando comandos maliciosos disfarçados em tráfego legítimo.

 

 

Hidden Data – segredos enterrados em dados

Hidden Data (Dados Ocultos), refere-se a informações que não são imediatamente visíveis ou acessíveis em um arquivo ou sistema.

Esses dados podem estar presentes em documentos, imagens, vídeos ou outros tipos de arquivos digitais.

Não confundir com data hiding, que é a ocultação de dados é uma técnica de ocultar detalhes internos do objeto, ou seja, membros de dados (técnica de programação orientada a objetos).

 

A presença de hidden data é uma preocupação significativa no campo da forense digital, pois pode conter evidências cruciais que podem ser utilizadas em investigações legais e de segurança.


(um exemplo de hidden data: um maldoc disfarçado de arquivo de e-mail)


(dados escondidos nos metadados de uma imagem)

 

Também é possível esconder um arquivo com outro arquivo. Não como vimos em esteganografia, mas através da união dos dados do arquivo.

Abaixo um exemplo: Este arquivo de 3,89 Mb é um arquivo que esconde outro arquivo.

Ele é a união dos arquivos de 1,77 Mb e 2,11Mb.
Esta técnica é chamada de Concatenação de Arquivos, e é muito fácil de ser realizada com um simples comando cat de Linux:

cat arquivo.gif arquivo.zip > oculto.gif

Se o arquivo oculto.gif for acessado por ferramentas que ignoram o cabeçalho inicial (como o comando unzip), ele ainda será funcional.
Veja:

 

 

E temos uma surpresa para os leitores estudantes, professores ou profissionais da área que chegaram até aqui.

Itens necessário para a conclusão dos desafios:
– visualizador de metadados (recomendado: exiftool)
– visualizador de hexadecimais (recomendado: HxD)
– visualizador de espectograma (recomendado: Sonic Visualiser)
– python
– conhecimentos em bruteforce em arquivos (recomendado: John the ripper e crunch)
– conhecimentos sobre base64, Cifra de César, terminal e magic numbers

 

Curioso para saber mais sobre técnicas específicas de Data Concealment e como identificar essas ameaças? Já conhecia?

Neste artigo preparei algumas amostras relativamente fáceis, como um mini CTF, para colocar suas habilidades em prática elevar seus conhecimentos.
Ao concluir qualquer um deles, poste no LinkedIn sua conquista e compartilhe nosso artigo com sua rede.

Abaixo temos 5 artefatos, que passaram pelo processo de Data Concealment.
Cada um deles esconde um lobo SteamPunk na qual representa a flag do desafio.

Quantos você é capaz de identificar?

 


Este é um desafio de Esteganografia.
Dentro deste relógio, existe uma imagem com uma flag esteganografada nos bits menos significativos.
Hash sha-256 do desafio: 869f6982a5237779a1ef77bbb5bf753e2d70930f22f8a14660e691f3a4f610ea

Dicas: não tente separar à parte o artefato através do leitor de hexadecimal pois os leitores de hexadecimal geralmente danificam imagens com bits menos significativos. Prefira deletar o que vem antes dos magic numbers.
O código necessário para extraí-lo se encontra no próprio desafio.

 


Este é um desafio de criptografia.
Nesta imagem existe um PDF com hexadecimal e uma flag em arquivo corrompido. Consegue recuperá-lo?
Hash sha-256 do arquivo: d137f7a96d2f3e33770efeb8e673af288bd3aab9670918a4870137c984f7b29e

Dicas: Não tente exfiltrar ambos os arquivos PDF e corrompido do arquivo. Melhor fazer uma cópia e ir excluindo o que não é do arquivo em questão.
Use exiftool para metadados.
Esse hexa do PDF é o código necessário para descriptografar o arquivo corrompido que se encontra escondido também na imagem.

 


Este é um desafio de bruteforce em PDFs trancados.
Dentro desta imagem existe um documento trancado. Consegue descobrir a senha?
Hash sha-256 do arquivo: 461c7a60d1129a500c76694c124283d2a1e87ff176cd6f1f9edba709eee0d62e

Dicas: às vezes, algoritmos feitos na mão funcionam melhor do que tools prontas.
A dica da senha está em algum lugar dos hexadecimais de forma ofuscada.

 


Este é um desafio de cifragem, ofuscação e Hidden Data.
Neste baú contém um diretório compactado e dentro deste diretório, várias engrenagens, mas somente uma contém a flag.
Hash sha-256 do arquivo: 503d07a38ed762b323805b49db033d78d1f98714f2bd9f50d4a3acd6540c6484

Dica: prefira fazer este desafio no Linux (bem mais prático).

 


Este é um desafio de perícia em áudio.
Esta flag se esconde em um arquivo que só pode ser visto se for escutado da maneira correta.
Hash sha-256 do arquivo: f728b4d571f7a233a242da9fad69fb9124cef225ecacfa7c1b56b0685136b60f

Dica: prefira apagar a imagem que esconde o áudio ao invés de extraí-lo, pois alguns visualizadores de hexadecimais modificam o arquivo ao extrair, o que impossibilitaria a conclusão do desafio.
Esta imagem esconde um arquivo de áudio wav que deve ser visualizado.

 

 

Caso queira se aprofundar nos conhecimentos presentes neste artigo, há uma vasta fonte de informações sobre tudo o que envolve o assunto que deixo listado abaixo em referências.

 

Referências:

Data Concealment https://cyberpedia.reasonlabs.com/EN/data%20concealment.html

Data Hiding https://www.javatpoint.com/what-is-data-hiding
https://forense.io/glossario/o-que-e-hidden-data-entenda-os-dados-ocultos/

Data Obfuscation https://www.imperva.com/learn/data-security/data-obfuscation/

Esteganografia https://www.kaspersky.com.br/resource-center/definitions/what-is-steganography
https://www.geeksforgeeks.org/image-feature-extraction-using-python/
https://acervolima.com/esteganografia-de-imagem-usando-opencv-em-python/
https://hackersec.com/o-que-e-esteganografia-e-como-pode-ser-usada/
https://pt.wikipedia.org/wiki/Esteganografia
https://www.geeksforgeeks.org/image-based-steganography-using-python/
https://sonicvisualiser.org
https://alexadam.github.io/demos/img-encode/index.html

Criptografia https://tecnoblog.net/responde/o-que-e-criptografia-e-quais-os-tipos/

Cifras https://pt.wikipedia.org/wiki/Cifra_de_César
https://sergiogransol.github.io/X-CRIPTOZ/views/criptografia/clasica/clasica.html
https://en.wikipedia.org/wiki/Cryptex
https://www.dcode.fr/caesar-cipher
https://www.base64decode.org
https://www.invertexto.com/codigo-morse

Outras curiosidades https://pt.wikihow.com/Fazer-Tinta-Invisível-Com-Bicarbonato-de-Sódio
https://www.breizh-info.com/2019/03/19/114485/foucrier-seconde-guerre-mondiale-scientifiques/
https://www.tnmoc.org/bh-2-the-enigma-machine
https://murderiseverywhere.blogspot.com/2016/02/ninja-codes-and-colored-rice-history-of.html
https://www.behance.net/gallery/13520031/Steam-Timer-Simple-Application/modules/93765145

search: moiré illusion optic panda

edição da arte: https://www.photopea.com

autor: https://www.linkedin.com/in/paulo-duarte-infosec/

 

 

Autor

Views: 64

Enviar Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *