Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
ADS (Alternata Data Steam] questi sconosciuti
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
MessaggioInviato: 20 Nov 2010 14:22    Oggetto: ADS (Alternata Data Steam] questi sconosciuti Rispondi citando
Per trovarli e toglierli, è sufficiente seguire le istruzioni qua

Ma la domanda è...in cosa consiste la loro pericolosità? Perchè ad esempio vengono segnalati nell'elenco degli ADS anche dei semplici shortcut di indirizzi web salvati quando di questi viene mostrata la favicon
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 21 Nov 2010 16:59    Oggetto: Re: ADS (Alternata Data Steam] questi sconosciuti Rispondi citando
Hola Ciao

ioSOLOio ha scritto:
Ma la domanda è...in cosa consiste la loro pericolosità? Perchè ad esempio vengono segnalati nell'elenco degli ADS anche dei semplici shortcut di indirizzi web salvati quando di questi viene mostrata la favicon

Gli Alternate Data Streams (ADS) sono una categoria di oggetti nota da molto tempo tra gli addetti ai lavori, ma purtroppo ancora sconosciuta alla maggior parte dei normali utenti.

Cosa sono gli ADS.
Gli Alternate Data Streams sono disponibili unicamente su partizioni NTFS. In questo tipo di filesystem le informazioni su file e cartelle sono memorizzate in una tabella chiamata Master File table (MFT). In questa regione del disco ogni file è identificato da una collezione di oggetti chiamati attributi. Tra questi troviamo, per esempio, il nome assegnato al file, la data di creazione, la data dell'ultima modifica, i descrittori di protezione e, ovviamente, i dati che ne rappresentano il contenuto.

Il fattore importante è che NTFS permette la creazione di più di un attributo dati per ogni singolo file. Il flusso dati principale, quello che tradizionalmente consideriamo il contenuto del file, può quindi essere affiancato da uno o più flussi dati alternativi. Da qui deriva il nome degli oggetti di cui ci stiamo occupando. Usando una analogia forse più familiare possiamo paragonare gli ADS agli allegati di un messaggio di posta elettronica in cui il flusso dati principale rappresenta il corpo dell'email.

A cosa servono e perché esistono gli ADS
In origine Microsoft implementò questa caratteristica in NTFS per consentire a Windows NT di poter operare come file-server per i sistemi Macintosh basati sul filesystem HFS. Il filesystem di Apple infatti memorizza dati supplementari relativi al file, quali icone e altri metadati, in una struttura separata simile ad un ADS. In questo modo i sistemi Mac potevano operare in modo trasparente sui dati presenti sul server NT.

Con l'avvento di Windows 2000 l'uso degli stream alternativi si è esteso ad altre interessanti applicazioni. Da questo sistema in poi, per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema.

Quelle elencate non sono comunque le uniche applicazioni possibili. I sistemi operativi Windows 2000/XP/2003, ma anche applicazioni di terze parti, usano gli stream alternativi per memorizzare informazioni di varia natura.

ADS: un pericolo per la sicurezza?
Microsoft ha documentato gli Alternate Data Streams fin dal primo rilascio di NTFS, non si tratta quindi di oggetti sconosciuti. Il problema di fondo sta piuttosto in un supporto praticamente nullo a livello utente da parte del sistema operativo. In sostanza Windows non offre nessuno strumento per verificare la presenza di ADS nei file, per analizzarne il contenuto o per eliminarli. Questo comporta che risultino praticamente invisibili: sia da Esplora risorse sia dal Prompt dei comandi l'unico flusso dati visibile è quello principale e analoghe considerazioni valgono per la dimensione del file visualizzata. Considerando un caso estremo è possibile avere un documento di dimensione apparentemente nulla che in realtà contiene uno stream alternativo di dimensioni pari a vari GByte.

Di seguito si elencano alcune caratteristiche degli ADS che contribuiscono ad indebolire la sicurezza del sistema:

Sono virtualmente invisibili per l'utente e per i programmi che non li supportano.
La dimensione del file visualizzata dal sistema è sempre e solo quella del flusso principale.
Possono essere allegati a file ma anche a cartelle.
Possono contenere qualsiasi tipo di dato: un semplice testo, una immagine ma anche script e codice eseguibile.
È possibile l'esecuzione diretta di un ADS eseguibile incapsulato in un semplice file di testo.
Nessun limite in dimensione viene posta ai flussi alternativi. (per cui, un ADS nocivo, può raggiungere anche le dimensioni, di parecchi GB)
L'unico effetto visibile in seguito all'aggiunta o alla modifica di un ADS è il cambiamento della data del file.
Tutto questo porta a scenari in cui gli ADS possano potenzialmente essere:

Luogo dove malware può nascondere indisturbato il proprio codice.
Luogo dove pirati informatici possono nascondere dati e strumenti di lavoro (Hack tools).
Fonte di attacchi DoS (Denial of Service) nei confronti del filesystem.
E sufficiente creare un ADS grande al punto tale da riempire totalmente il disco fisso.
Data la natura invisibile di questi dati sarà estremamente difficile individuare il problema.

Troppo lunga come spiegazione? Razz

L'ultima modifica di R16 il 21 Nov 2010 17:21, modificato 1 volta
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
MessaggioInviato: 21 Nov 2010 17:20    Oggetto: Re: ADS (Alternata Data Steam] questi sconosciuti Rispondi citando
Citazione:
Da questo sistema in poi, per ogni documento, è possibile memorizzare informazioni aggiuntive quali titolo, oggetto, autore, parole chiave ecc. attraverso la scheda Riepilogo presente nelle Proprietà del relativo file. Queste meta-informazioni vengono salvate in appositi ADS di sistema.

e questo è ciò che si può fare appunto su qualsiasi file dove si fa a specificare queste informazioni.
Ma queste informazioni sono inglobate nel file salvato (che so un file di Word, o un .pdf)
Cancellando gli ADS si va a interagire anche su queste, ovvero si eliminano dal file?
O si elimina semplicemente ciò che il sistema ha letto da quel file all'ultima occasione (salvandolo da qualche parte)?



Citazione:

memorizzare informazioni di varia natura.

e nel caso che citavo io evidentemente viene "memorizzata" la posizine della favicon che verrà mostrata nel collegamento al posto della icona standard



Citazione:

ADS: un pericolo per la sicurezza?

chiaro che nel momento in cui si andasse a aggiungere codice malevolo sarebbe un pericolo....



Citazione:

Troppo lunga come spiegazione? Razz

no, è che domandavo appunto che tipologia di ADS si potesse cercare...
essendo di per se "neutri" appunto come i collegamenti che mostano la favicon.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 21 Nov 2010 17:40    Oggetto: Rispondi citando
Citazione:
Cancellando gli ADS si va a interagire anche su queste, ovvero si eliminano dal file?

No.
Se ho capito bene quello che intendi, l'eliminazione del ADS, su un file qualsiasi, non comporta l'eliminazione di tutto il file.
I programmi appositi,(ADS Spy di HJT per esempio) sanno riconoscere l'ADS nocivo, da quello legittimo.
Infatti, quando si esegue la procedura, si può benissimo mettere la spunta a TUTTI i file che trova ADS Spy, sarà compito suo, "distinguere" i "nocivi " dai legittimi.
La procedura di eliminazione degli Alternate Data Stream (flussi di dati alternativi) non elimina i files evidenziati,(dalla scansione) ma i flussi associati. In pratica, possono essere creati dei files "nascosti" agganciandoli a normalissimi files .
Per farti un esempio:
E:\Multimedia\Foto\PICT0002.JPG : Q30lsldxJoudresxAaaqpcawXc (7072 bytes)
Viene cancellata la parte in rosso. (flusso associato)
Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
MessaggioInviato: 21 Nov 2010 18:23    Oggetto: Rispondi citando
Ovviamente chiaro che non cancella il file.
Il tuo esempio concreto è altrettanto chiaro.
Ma ad esempio, i collegamenti di cui parlavo nel primo post di apertura ovviamente ci sono ancora e semplicemente è sparita la favicon collegata a casusa della cancellazione dell'ADS corrispondente.

Ora, ad esempio, se avessi un file di Word che integra nelle sue proprietà Titolo, Oggeto, Autore...cancellando l'ADS corrispondente (tralasciamo che essendo dati legittimi dovrebbero essere ignorati), vado a togliere questi valori proprio dal file che dunque si presenterà poi privo di queste informazioni aggiuntive?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 21 Nov 2010 18:59    Oggetto: Rispondi
ioSOLOio ha scritto:
Ora, ad esempio, se avessi un file di Word che integra nelle sue proprietà Titolo, Oggeto, Autore...cancellando l'ADS corrispondente (tralasciamo che essendo dati legittimi dovrebbero essere ignorati), vado a togliere questi valori proprio dal file che dunque si presenterà poi privo di queste informazioni aggiuntive?

Sinceramente, con sicurezza, non lo so.
Questo perchè, non ho mai fatto una prova, al riguardo.
In teoria, eliminandoli, penso che sarà privo di quelle informazioni aggiuntive.
Però non sò le possibili conseguenze, che riguarderanno quel file.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi