Successivo

Security

I pericoli degli 
Alternate Data Streams

Dario Orlandi | 31 Ottobre 2012

Sicurezza

Il file system Ntfs presenta un aspetto poco noto ma che vale la pena di conoscere. Stiamo parlando degli Alternate Data Streams (Ads), definizione di solito tradotta in italiano con “flussi di dati alternativi” (ma sarebbe più corretto dire “aggiuntivi”). In sostanza, di tratta della possibilità  di associare allo stesso nome di file più flussi di dati. Lo stream principale – l’unico possibile con il file system Fat – è anche l’unico visibile in Esplora risorse. Non solo: la dimensione degli eventuali stream secondari non viene presa in considerazione nel calcolare la dimensione di un file (il calcolo dello spazio libero su un’unità  ne tiene però conto).

Il file system Ntfs presenta un aspetto poco noto ma che vale la pena di conoscere. Stiamo parlando degli Alternate Data Streams (Ads), definizione di solito tradotta in italiano con “flussi di dati alternativi” (ma sarebbe più corretto dire “aggiuntivi”). In sostanza, di tratta della possibilità  di associare allo stesso nome di file più flussi di dati. Lo stream principale – l’unico possibile con il file system Fat – è anche l’unico visibile in Esplora risorse. Non solo: la dimensione degli eventuali stream secondari non viene presa in considerazione nel calcolare la dimensione di un file (il calcolo dello spazio libero su un’unità  ne tiene però conto).

Gli Ads esistono da molto tempo: hanno fatto la loro comparsa ai tempi di Windows NT 3.1, per supportare sulle reti miste i resource fork previsti dal file system di Apple. Oggi Windows usa gli Ads, tra l’altro, per memorizzare la provenienza di un file. Quando si scarica un programma da Internet, il sistema operativo vi aggiunge uno stream chiamato Zone.Identifier con il seguente contenuto:

[ZoneTransfer]

ZoneId=3

È la presenza di questo stream che provoca la comparsa dell’avviso di sicurezza Eseguire il file? quando si lancia il programma. Se, prima dell’avvio, si toglie la spunta alla casella Avvisa sempre prima di aprire questo file lo stream verrà  cancellato e l’avviso sparirà .

La relativa invisibilità  degli Ads rappresenta però anche un rischio per la sicurezza: gli autori di malware hanno infatti imparato a usare questa caratteristica per nascondere il codice delle loro creazioni. Può fare quindi comodo un’utility che permetta non solo di verificare la presenza di stream alternativi ma anche di controllarne il contenuto ed eventualmente di eliminarli. Una di quelle che preferiamo è Ads Manager, gratuita e portatile, che potete scaricare all’indirizzo https://dmitrybrant.com/adsmanager. Per esaminare con Ads Manager un singolo file basta trascinarlo con il mouse nella finestra dell’utility; in alternativa è naturalmente possibile selezionarlo con la classica finestra di dialogo. Ads Manager mostra l’elenco degli eventuali Ads presenti e consente sia di eliminarli selettivamente sia di controllarne ed esportarne il contenuto. Il tool permette anche di creare nuovi Ads e di caricare al loro interno un file a piacere. La scheda Search offre poi la possibilità  di rilevare la presenza di Ads nei file di un’intera cartella e relative sottocartelle. Gli Ads possono sembrare a prima vista anche un ottimo modo per occultare dati che si vogliono tenere riservati, da una semplice password fino a un intero file di grandi dimensioni. La comodità  con cui un tool come Ads Manager consente di leggere, caricare ed esportare il contenuto di un Ads rende questa possibilità  praticabile, ma ci sono due aspetti a cui occorre prestare molta attenzione. Innanzitutto con questo tool, o con uno dei molti strumenti analoghi, è egualmente facile rilevare la presenza di un Ads e accedervi, quindi si tratta di una forma di protezione limitata. In secondo luogo, gli Ads scompaiono nel passaggio da Ntfs a Fat, quindi la semplice operazione di trasferimento su una chiavetta Usb formattata con questo file system potrebbe causare la perdita di dati.