www.MegaLab.it

Alternate Data Streams (ADS) è una funzione implementata dal file system NTFS probabilmente sconosciuta ai più.

In questo articolo vado a proporre una presentazione di tale tecnologia, con qualche riflessione circa gli aspetti relativi alla sicurezza e numerosi esempi pratici.

In cosa consiste

Quando viene creato un file, il sistema operativo provvede ad associargli un flusso di dati principale, che risulta di fatto il suo contenuto. Si tratta, per intenderci, dei dati che possiamo visualizzare aprendo il documento con la opportuna applicazione.

Molti non sanno però che oltre ai flussi principali, vi sono anche quelli alternativi. I primi risultano ovviamente visibili e liberamente accessibili, mentre i secondi sono nascosti e inaccessibili dall'Esplora Risorse di Windows.

Gli Alternate Data Streams (ADS) sono letteralmente i "Flussi di dati alternativi" e offrono la possibilità all'utente (e non solo) di nascondere all'interno di un file delle informazioni, o addirittura un altro file.

Il file a cui verranno associati dei flussi alternativi, come vedremo nel corso dell'articolo, non subisce modifiche di nessun genere. Al contrario di quanto si potrebbe pensare, la dimensione del file, così come visualizzata dal sistema operativo, rimane la medesima anche dopo l'aggiunta di un flusso di grandezza pari a vari GB, l'unica caratteristica che viene modificata è la data del file.

Cenni storici

Ma coma mai sono nati gli ADS? L'intento di Microsoft, almeno in origine, era quello di dare la possibilità a Windows di poter svolgere la funzione di file-server per sistemi Macintosh basati su filesystem HFS. Quest'ultimo memorizza infatti i dati aggiuntivi relativi ai file utilizzando delle strutture simili agli ADS di Windows.

Con i sistemi successivi, a partire da Windows 2000, gli impieghi degli ADS si ampliarono fino a diventare quelli che sono oggi, a cui abbiamo già accennato in parte e che approfondiremo nel corso dell'articolo.

Seppur in maniera limitata, Windows offre oggi la possibilità di associare un flusso alternativo a un file con la scheda Riepilogo presente nelle proprietà di un file. I dati come il Titolo, l'Autore, e tutte le altre informazioni contenute in quella scheda, vengono memorizzate in un flusso alternativo associato al file.

Gli ADS sono anche tutt'oggi usati da applicazioni di terze parti per gestire meglio i dati. Un esempio lampante è Kaspersky Antivirus, che sfrutta questa funzionalità per contrassegnare i file scansionati in modo da non controllarli una seconda volta se non hanno subito cambiamenti.

Importante però il fatto che siano disponibili solo su sistemi con filesystem NTFS. Cercando di copiare un file a cui sono stati associati dei flussi alternativi in una partizione FAT32, ricevo un avviso che mi informa che tutti gli strem alternativi andranno persi.

Un pericolo per la sicurezza

Se è vero che anche Kaspersky - e altri software sicuri - sfruttano gli ADS per facilitarsi il lavoro, nulla impedisce ai virus-writer di sfruttare questa funzionalità per i loro scopi. Oltre a informazioni testuali, a un file può anche esserne correlato un altro, con la sola caratteristica che questo sarà praticamente invisibile e inaccessibile e potrà comunque essere avviato senza procedura di decrittazione o decompressione.

In più, poiché non viene alterata nessuna caratteristica del file e, a meno di utilizzare tecniche non immediate, che il sistema non notifica la presenza di flussi alternativi, rende quasi impossibile a un utente (comune o esperto che sia) determinare se il file scaricato contiene o meno degli ADS.

Bisognerebbe controllare ogni file da riga di comando, ma sarebbe davvero poco pratico. La soluzione migliore è sicuramente avere un valido sistema di sicurezza installato e diffidare sempre da quanto scaricato.

Provando ad aggiungere come flusso alternativo di un file di testo la dll di Conficker, la versione da riga di comando di Avira AntiVir rileva la minaccia, e mi dice anche che risiede in un ADS.

Oltre a comuni malware, prendiamo in esame un altro esempio. Immaginiamo che venga creato un flusso alternativo grande tanto quanto è lo spazio libero sul disco fisso, e che venga associato a un file vuoto. Cosa succederebbe? Sarebbe praticamente impossibile venire a capo della situazione.