Articolo Aggiornato il 28/05/2026 da Francesco Polimeni
Chi, Cosa, Dove, Quando, Perché: Il 27 maggio 2026, lo sviluppatore Rishu ha pubblicato su DEV Community il progetto open source Stego.Image — uno strumento browser-based che combina steganografia LSB, cifratura AES-256 e compressione GZIP per nascondere file arbitrari all’interno di immagini ordinarie, senza alcun server coinvolto.
La notizia riguarda chiunque si occupi di controspionaggio, sicurezza delle comunicazioni o indagini forensi digitali. Perché quello che un ricercatore ha reso pubblico e gratuito oggi, qualcun altro lo usa da anni in modo ostile.
Contenuto
- Cos’è la steganografia LSB e perché dovresti conoscerla
- Steganografia: come funziona il processo in tre fasi
- Il vettore di minaccia che i non addetti sottovalutano
- Steganografia: due livelli di sicurezza, non uno: perché questo cambia il quadro forense
- Il fatto che sia client-side non lo rende innocuo
- Cosa fare se sospetti esfiltrazione steganografica nel tuo perimetro
- Il punto
- Domande frequenti sulla steganografia LSB
- Cos’è la steganografia LSB e come si differenzia dalla crittografia?
- Quali file si possono nascondere dentro un’immagine con questa tecnica?
- Strumenti come Stego.Image sono illegali?
- Come si rileva la presenza di dati steganografati in un’immagine?
- La cifratura AES-256 integrata rende il contenuto irrecuperabile?
- Cosa deve fare un’azienda per proteggersi dall’esfiltrazione steganografica?
- Autore
Cos’è la steganografia LSB e perché dovresti conoscerla
La steganografia non è crittografia. La crittografia rende un messaggio illeggibile; la steganografia nasconde il fatto stesso che il messaggio esista. Questa distinzione è cruciale in un’indagine TSCM o in un’analisi forense: un file cifrato desta sospetti, un’immagine JPEG di un gatto non ne desta nessuno.
La tecnica LSB (Least Significant Bit) sfrutta la ridondanza percettiva delle immagini digitali. Ogni pixel di un’immagine RGB è composto da tre valori (rosso, verde, blu) compresi tra 0 e 255. Modificare il bit meno significativo di ciascun canale — da 11001010 a 11001011 — produce una variazione di intensità pari a 1 su 255: invisibile all’occhio umano, invisibile a qualsiasi ispezione visiva.
Stego.Image, presentato il 27 maggio 2026 su DEV Community dall’autore Rishu, implementa questo approccio interamente nel browser, senza trasmettere dati a nessun server.
Steganografia: come funziona il processo in tre fasi
Il flusso di lavoro prevede tre passaggi sequenziali: compressione GZIP del file originale tramite la libreria pako, cifratura AES-256 con password utente tramite crypto-js, e infine embedding nei bit meno significativi dei canali RGB dell’immagine.
Il risultato è un’immagine PNG visivamente identica all’originale che porta nascosto al suo interno qualsiasi tipo di file: documenti, archivi ZIP, file audio, video, codice sorgente. Per estrarre il payload basta invertire il processo — LSB extraction, decifratura, decompressione — con la password corretta.
Un’immagine da 1000×1000 pixel offre circa 375 KB di capacità di storage nascosta (3 bit per pixel × 1.000.000 pixel), con un indicatore dinamico nell’interfaccia che avvisa l’utente se la capienza è insufficiente.
Il vettore di minaccia che i non addetti sottovalutano
Da un punto di vista operativo, questo tipo di strumento rappresenta un canale di esfiltrazione dati quasi invisibile ai sistemi di DLP (Data Loss Prevention) tradizionali. Un’immagine che transita su email, Telegram, WhatsApp o viene caricata su un cloud storage non viene ispezionata per contenuto steganografico dai filtri convenzionali.
Scenari concreti in cui questo vettore viene sfruttato in operazioni ostili:
Esfiltrazione di segreti aziendali. Un dipendente infedele carica su Google Photos o Dropbox immagini apparentemente innocue. Ogni foto contiene un archivio compresso con documenti riservati. Nessun alert sui sistemi di monitoring.
Comunicazioni in ambienti ad alta sorveglianza. L’autore stesso cita tra gli usi legittimi le comunicazioni di giornalisti in paesi con censura elevata e il watermarking digitale. Le stesse tecniche, in contesti illeciti, vengono usate per coordinare attività senza lasciare tracce nei flussi di comunicazione monitorati.
Command & Control malware. Alcuni framework di attacco avanzato usano immagini steganografate come vettore per distribuire istruzioni ai sistemi compromessi. L’immagine viene scaricata da un sito apparentemente legittimo; il malware estrae le istruzioni dai pixel.
Steganografia: due livelli di sicurezza, non uno: perché questo cambia il quadro forense
L’autore definisce la combinazione steganografia + cifratura come “security through obscurity + cryptographic security”, precisando che nessuno dei due approcci da solo è sufficiente, ma insieme costituiscono una barriera significativa.
Dal punto di vista di chi effettua un’analisi forense o un’indagine TSCM sul perimetro digitale, questo doppio livello complica notevolmente il lavoro:
Rilevare la presenza di dati steganografati richiede strumenti specifici di steganalisi — analisi statistica dei bit meno significativi, confronto con distribuzioni attese nei file PNG “puliti”, rilevamento di anomalie nell’istogramma dei colori. Software come StegExpose o zsteg possono identificare immagini sospette, ma non sono infallibili, specialmente se il payload è di dimensioni ridotte rispetto alla capienza totale dell’immagine.
Un punto critico segnalato dallo stesso autore riguarda la derivazione della chiave: la cifratura AES-256 è solida quanto la password scelta, e senza meccanismi di key stretching come PBKDF2 o Argon2 il sistema rimane vulnerabile ad attacchi brute-force su password deboli. Questo è rilevante forensicamente: una password derivata da dizionario può essere craccata, rivelando il contenuto nascosto.
Il fatto che sia client-side non lo rende innocuo
La scelta di elaborare tutto nel browser, senza server, è motivata dalla privacy: nessun operatore server può registrare o ispezionare i dati processati. Dal punto di vista della sicurezza personale dell’utente, è un vantaggio. Dal punto di vista di chi deve monitorare o investigare, è un ulteriore ostacolo: non esiste log server, non esiste metadata di trasferimento analizzabile, non esiste traccia infrastrutturale.
Uno strumento simile, usato su una macchina air-gapped o in una sessione browser privata, non lascia praticamente nessuna evidenza digitale convenzionale.
Ti potrebbe interessare il nostro servizio di Bonifica Microspie
Cosa fare se sospetti esfiltrazione steganografica nel tuo perimetro
La steganalisi non è un’attività da improvvisare. Gli strumenti automatici esistono — StegExpose, StegDetect, Aletheia — ma richiedono una baseline di riferimento per funzionare correttamente: senza sapere com’era l’immagine prima della manipolazione, il tasso di falsi negativi rimane alto.
Un approccio pratico per le aziende prevede:
Prima, l’audit dei flussi di immagini in uscita dai sistemi aziendali — email, cloud storage, piattaforme di comunicazione. Non è necessario analizzare ogni file, ma identificare pattern anomali: volumi inusuali di upload PNG, immagini con dimensioni file sproporzionate rispetto alla risoluzione, traffico verso storage esterni non approvati.
Secondo, l’analisi forense mirata su dispositivi o account sospetti, con strumenti di steganalisi statistica e — quando possibile — accesso all’immagine originale per confronto diretto.
Terzo, una revisione delle policy di sicurezza che includa esplicitamente i file immagine come vettore di esfiltrazione, non solo documenti e archivi.
Ti potrebbe interessare il nostro servizio di Bonifica Cellulare
Il punto
Stego.Image è un progetto open source didattico, scritto da uno sviluppatore curioso e pubblicato con licenza MIT. Non è malware. Non è uno strumento offensivo nel senso stretto del termine.
Ma dimostra con chiarezza quanto sia accessibile, nel 2026, implementare un canale di comunicazione nascosto e cifrato usando nient’altro che un browser e un’immagine qualsiasi. Tecnologie che fino a dieci anni fa richiedevano competenze specializzate oggi sono disponibili in pochi clic, gratuitamente, senza installazione.
Chi si occupa di sicurezza perimetrale, controspionaggio industriale o protezione delle informazioni sensibili non può permettersi di ignorare questo vettore. La domanda non è se qualcuno lo sta usando contro di te. È quando te ne accorgi.
Polinet S.r.l. opera nel settore TSCM e sicurezza delle informazioni dal 2001. Licenza ex Art. 28 T.U.L.P.S. | NATO NCAGE AL332 | MEPA/Consip. Per una valutazione del tuo perimetro digitale, contattaci tramite spiare.com.
Domande frequenti sulla steganografia LSB
Cos’è la steganografia LSB e come si differenzia dalla crittografia?
La crittografia rende un messaggio illeggibile; la steganografia LSB (Least Significant Bit) nasconde il fatto stesso che il messaggio esista. I dati vengono inseriti nei bit meno significativi dei pixel di un’immagine: la modifica è impercettibile all’occhio umano ma consente di veicolare file interi all’interno di una foto ordinaria.
Quali file si possono nascondere dentro un’immagine con questa tecnica?
Qualsiasi file binario: documenti PDF e DOCX, archivi ZIP e RAR, file audio MP3, video MP4, codice sorgente. La capacità dipende dalle dimensioni dell’immagine contenitore: un’immagine da 1000×1000 pixel può contenere circa 375 KB di payload nascosto.
Strumenti come Stego.Image sono illegali?
Lo strumento in sé — open source, MIT license — è legale. L’illiceità dipende dall’uso: nascondere dati aziendali riservati per sottrarli a un’indagine, usare la tecnica per eludere sistemi di controllo in contesti regolamentati, o veicolare contenuti illeciti sono scenari che ricadono sotto diverse fattispecie penali. Lo strumento è neutro; il contesto d’uso non lo è.
Come si rileva la presenza di dati steganografati in un’immagine?
Tramite steganalisi statistica: strumenti come StegExpose, StegDetect o Aletheia analizzano la distribuzione dei bit meno significativi e la confrontano con quella attesa in un’immagine “pulita”. Il rilevamento è più affidabile quando si dispone dell’immagine originale per confronto diretto. Senza baseline, il tasso di falsi negativi rimane significativo.
La cifratura AES-256 integrata rende il contenuto irrecuperabile?
AES-256 è crittograficamente robusto, ma la sicurezza reale dipende dalla password scelta. Senza key stretching (PBKDF2, Argon2), una password debole o basata su dizionario può essere violata con attacchi brute-force. In un contesto forense, questa è spesso la via d’accesso principale al contenuto nascosto.
Cosa deve fare un’azienda per proteggersi dall’esfiltrazione steganografica?
Il primo passo è includere i file immagine nei flussi monitorati dal sistema DLP, accanto a documenti e archivi. Il secondo è auditare i pattern di upload verso cloud storage e piattaforme di comunicazione esterne. Per ambienti ad alto rischio, è consigliabile una valutazione specialistica del perimetro digitale da parte di professionisti TSCM.
