Precedente :: Successivo |
Autore |
Messaggio |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 20 Nov 2010 14:22 Oggetto: ADS (Alternata Data Steam] questi sconosciuti |
|
|
Per trovarli e toglierli, è sufficiente seguire le istruzioni qua
Ma la domanda è...in cosa consiste la loro pericolosità? Perchè ad esempio vengono segnalati nell'elenco degli ADS anche dei semplici shortcut di indirizzi web salvati quando di questi viene mostrata la favicon |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Nov 2010 16:59 Oggetto: Re: ADS (Alternata Data Steam] questi sconosciuti |
|
|
Hola
ioSOLOio ha scritto: | Ma la domanda è...in cosa consiste la loro pericolosità? Perchè ad esempio vengono segnalati nell'elenco degli ADS anche dei semplici shortcut di indirizzi web salvati quando di questi viene mostrata la favicon |
Gli Alternate Data Streams (ADS) sono una categoria di oggetti nota da molto tempo tra gli addetti ai lavori, ma purtroppo ancora sconosciuta alla maggior parte dei normali utenti.
Cosa sono gli ADS.
Gli Alternate Data Streams sono disponibili unicamente su partizioni NTFS. In questo tipo di filesystem le informazioni su file e cartelle sono memorizzate in una tabella chiamata Master File table (MFT). In questa regione del disco ogni file è identificato da una collezione di oggetti chiamati attributi. Tra questi troviamo, per esempio, il nome assegnato al file, la data di creazione, la data dell'ultima modifica, i descrittori di protezione e, ovviamente, i dati che ne rappresentano il contenuto.
Il fattore importante è che NTFS permette la creazione di più di un attributo dati per ogni singolo file. Il flusso dati principale, quello che tradizionalmente consideriamo il contenuto del file, può quindi essere affiancato da uno o più flussi dati alternativi. Da qui deriva il nome degli oggetti di cui ci stiamo occupando. Usando una analogia forse più familiare possiamo paragonare gli ADS agli allegati di un messaggio di posta elettronica in cui il flusso dati principale rappresenta il corpo dell'email.
A cosa servono e perché esistono gli ADS
In origine Microsoft implementò questa caratteristica in NTFS per consentire a Windows NT di poter operare come file-server per i sistemi Macintosh basati sul filesystem HFS. Il filesystem di Apple infatti memorizza dati supplementari relativi al file, quali icone e altri metadati, in una struttura separata simile ad un ADS. In questo modo i sistemi Mac potevano operare in modo trasparente sui dati presenti sul server NT.
Con l'avvento di Windows 2000 l'uso degli stream alternativi si è esteso ad altre interessanti applicazioni. Da questo sistema in poi, per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema.
Quelle elencate non sono comunque le uniche applicazioni possibili. I sistemi operativi Windows 2000/XP/2003, ma anche applicazioni di terze parti, usano gli stream alternativi per memorizzare informazioni di varia natura.
ADS: un pericolo per la sicurezza?
Microsoft ha documentato gli Alternate Data Streams fin dal primo rilascio di NTFS, non si tratta quindi di oggetti sconosciuti. Il problema di fondo sta piuttosto in un supporto praticamente nullo a livello utente da parte del sistema operativo. In sostanza Windows non offre nessuno strumento per verificare la presenza di ADS nei file, per analizzarne il contenuto o per eliminarli. Questo comporta che risultino praticamente invisibili: sia da Esplora risorse sia dal Prompt dei comandi l'unico flusso dati visibile è quello principale e analoghe considerazioni valgono per la dimensione del file visualizzata. Considerando un caso estremo è possibile avere un documento di dimensione apparentemente nulla che in realtà contiene uno stream alternativo di dimensioni pari a vari GByte.
Di seguito si elencano alcune caratteristiche degli ADS che contribuiscono ad indebolire la sicurezza del sistema:
Sono virtualmente invisibili per l'utente e per i programmi che non li supportano.
La dimensione del file visualizzata dal sistema è sempre e solo quella del flusso principale.
Possono essere allegati a file ma anche a cartelle.
Possono contenere qualsiasi tipo di dato: un semplice testo, una immagine ma anche script e codice eseguibile.
È possibile l'esecuzione diretta di un ADS eseguibile incapsulato in un semplice file di testo.
Nessun limite in dimensione viene posta ai flussi alternativi. (per cui, un ADS nocivo, può raggiungere anche le dimensioni, di parecchi GB)
L'unico effetto visibile in seguito all'aggiunta o alla modifica di un ADS è il cambiamento della data del file.
Tutto questo porta a scenari in cui gli ADS possano potenzialmente essere:
Luogo dove malware può nascondere indisturbato il proprio codice.
Luogo dove pirati informatici possono nascondere dati e strumenti di lavoro (Hack tools).
Fonte di attacchi DoS (Denial of Service) nei confronti del filesystem.
E sufficiente creare un ADS grande al punto tale da riempire totalmente il disco fisso.
Data la natura invisibile di questi dati sarà estremamente difficile individuare il problema.
Troppo lunga come spiegazione? 
L'ultima modifica di R16 il 21 Nov 2010 17:21, modificato 1 volta |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 21 Nov 2010 17:20 Oggetto: Re: ADS (Alternata Data Steam] questi sconosciuti |
|
|
Citazione: | Da questo sistema in poi, per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema. |
e questo è ciò che si può fare appunto su qualsiasi file dove si fa a specificare queste informazioni.
Ma queste informazioni sono inglobate nel file salvato (che so un file di Word, o un .pdf)
Cancellando gli ADS si va a interagire anche su queste, ovvero si eliminano dal file?
O si elimina semplicemente ciò che il sistema ha letto da quel file all'ultima occasione (salvandolo da qualche parte)?
Citazione: |
memorizzare informazioni di varia natura. |
e nel caso che citavo io evidentemente viene "memorizzata" la posizine della favicon che verrà mostrata nel collegamento al posto della icona standard
Citazione: |
ADS: un pericolo per la sicurezza? |
chiaro che nel momento in cui si andasse a aggiungere codice malevolo sarebbe un pericolo....
Citazione: |
Troppo lunga come spiegazione?  |
no, è che domandavo appunto che tipologia di ADS si potesse cercare...
essendo di per se "neutri" appunto come i collegamenti che mostano la favicon. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Nov 2010 17:40 Oggetto: |
|
|
Citazione: | Cancellando gli ADS si va a interagire anche su queste, ovvero si eliminano dal file? |
No.
Se ho capito bene quello che intendi, l'eliminazione del ADS, su un file qualsiasi, non comporta l'eliminazione di tutto il file.
I programmi appositi,(ADS Spy di HJT per esempio) sanno riconoscere l'ADS nocivo, da quello legittimo.
Infatti, quando si esegue la procedura, si può benissimo mettere la spunta a TUTTI i file che trova ADS Spy, sarà compito suo, "distinguere" i "nocivi " dai legittimi.
La procedura di eliminazione degli Alternate Data Stream (flussi di dati alternativi) non elimina i files evidenziati,(dalla scansione) ma i flussi associati. In pratica, possono essere creati dei files "nascosti" agganciandoli a normalissimi files .
Per farti un esempio:
E:\Multimedia\Foto\PICT0002.JPG : Q30lsldxJoudresxAaaqpcawXc (7072 bytes)
Viene cancellata la parte in rosso. (flusso associato) |
|
Top |
|
 |
ioSOLOio Amministratore


Registrato: 12/09/03 19:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 21 Nov 2010 18:23 Oggetto: |
|
|
Ovviamente chiaro che non cancella il file.
Il tuo esempio concreto è altrettanto chiaro.
Ma ad esempio, i collegamenti di cui parlavo nel primo post di apertura ovviamente ci sono ancora e semplicemente è sparita la favicon collegata a casusa della cancellazione dell'ADS corrispondente.
Ora, ad esempio, se avessi un file di Word che integra nelle sue proprietà Titolo, Oggeto, Autore...cancellando l'ADS corrispondente (tralasciamo che essendo dati legittimi dovrebbero essere ignorati), vado a togliere questi valori proprio dal file che dunque si presenterà poi privo di queste informazioni aggiuntive? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 21 Nov 2010 18:59 Oggetto: |
|
|
ioSOLOio ha scritto: | Ora, ad esempio, se avessi un file di Word che integra nelle sue proprietà Titolo, Oggeto, Autore...cancellando l'ADS corrispondente (tralasciamo che essendo dati legittimi dovrebbero essere ignorati), vado a togliere questi valori proprio dal file che dunque si presenterà poi privo di queste informazioni aggiuntive? |
Sinceramente, con sicurezza, non lo so.
Questo perchè, non ho mai fatto una prova, al riguardo.
In teoria, eliminandoli, penso che sarà privo di quelle informazioni aggiuntive.
Però non sò le possibili conseguenze, che riguarderanno quel file. |
|
Top |
|
 |
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|