Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Novità

Alternate data stream e sicurezza informatica 

Gli alternate data stream (ADS) rappresentano una funzione avanzata del file system NTFS che consente di associare informazioni aggiuntive a ogni file senza modificarne l’apparenza esterna. Ma cosa sono e come funzionano esattamente? 

Flusso di dati sicuro in un sistema operativo

Indice dei contenuti

  • Cosa sono gli alternate data stream 
  • Come funzionano gli alternate data stream 
  • Perché gli alternate data stream sono una minaccia per la sicurezza informatica 
  • Come rilevare e rimuovere gli alternate data stream 

Gli alternate data stream (ADS) rappresentano una funzione avanzata del file system NTFS che consente di associare informazioni aggiuntive a ogni file senza modificarne l’apparenza esterna.  

Questa caratteristica, introdotta con il sistema operativo Windows a partire da Windows 2000, offre opportunità interessanti per lo storage di dati nascosti, ma apre anche la porta a nuovi rischi in ambito di cyber security.  

Gli alternate data stream possono essere sfruttati per nascondere dati senza alterare le dimensioni visibili di un file, rendendoli una scelta popolare per inserire contenuti dannosi in modo invisibile. Ma cosa sono e come funzionano esattamente? 

Cosa sono gli alternate data stream 

Gli alternate data streams (ADS) sono in pratica dei flussi di dati che possono essere associati ai file NTFS. Grazie a questa tecnologia, un file può contenere qualsiasi tipo di dato in uno stream separato rispetto ai flussi principali.  

Questo stream aggiuntivo non è rilevabile attraverso le normali proprietà del file, ma può essere accessibile mediante il prompt dei comandi.  

In sostanza, si può dire che gli ADS permettono di aggiungere contenuto al file senza cambiare il file principale, mantenendolo quindi visivamente identico. 

In particolare, questa tecnologia si rivela vantaggiosa quando si vogliono associare informazioni aggiuntive a file esistenti, come file di testo o file scaricati.  

Tuttavia, gli ADS possono anche contenere codice dannoso e rappresentare una seria minaccia alla sicurezza, poiché possono essere utilizzati per inserire software nocivi in un sistema senza che l’utente ne sia consapevole. 

Come funzionano gli alternate data stream 

Nell’ambito della sicurezza informatica, gli alternate data stream (ADS) vengono sfruttati per nascondere file, programmi o altre informazioni in modo invisibile. 

 Un file NTFS con ADS nei file aggiuntivi conserva le dimensioni originarie, senza rivelare la presenza di altri contenuti.  

Esempio:
Un criminale informatico potrebbe aggiungere uno script o un malware a un file legittimo, che rimarrà visibile come riepilogo presente nelle proprietà del file principale

Per accedere a questi alternate data streams, si utilizza spesso il prompt dei comandi, sfruttando una sintassi specifica per visualizzare o modificare i contenuti nascosti.  

Con Windows 2000 e i sistemi successivi, diventa possibile creare alternate data stream (ADS) su quasi tutti i file, rendendoli una tecnica versatile e insidiosa per nascondere dati o codice dannoso all’interno di un sistema. 

sistema file ntfs

Perché gli alternate data stream sono una minaccia per la sicurezza informatica 

Gli ADS rappresentano una sfida unica per la cyber security, poiché possono contenere qualsiasi tipo di dato e nascondere dati senza che il proprietario del sistema se ne accorga.  

Questo li rende un vettore comune per i malware, che possono essere associati a file innocui e rimanere nascosti fino a che non vengono eseguiti.  

Poiché alternate data stream (ADS) non sono visibili nelle proprietà standard di un file, spesso sono trascurati dagli utenti e persino da alcuni software antivirus. 

Le aziende e i professionisti della sicurezza informatica devono essere consapevoli dei pericoli che gli ADS rappresentano.  

Poiché possono essere utilizzati per archiviare informazioni aggiuntive che non sono rilevabili facilmente, è importante fare uso di strumenti avanzati per analizzare i file system NTFS alla ricerca di ADS nei file

Come rilevare e rimuovere gli alternate data stream 

Nonostante gli ADS possano essere difficili da individuare, esistono tecniche e strumenti che possono aiutare a identificarli.  

Gli strumenti come PowerShell, Sysinternals Streams e diversi software di scansione avanzati possono rivelare la presenza di alternate data streams nei file.  

Usando il prompt dei comandi, è possibile esaminare manualmente i flussi principali per verificare se contengono contenuto del file nascosto o codice dannoso

Un modo semplice per identificare ADS è verificare se il file system NTFS utilizza più flussi di dati, i quali spesso sono segnalati da caratteri speciali nelle directory. Anche se queste verifiche possono richiedere tempo e attenzione, sono cruciali per la sicurezza del sistema. 


Domande e risposte 

  1. Che cosa sono gli alternate data stream?
    Gli alternate data stream sono flussi di dati aggiuntivo che possono essere associati a file nel file system NTFS . 
  2. Perché gli ADS sono una minaccia per la sicurezza?
    Possono nascondere dati dannosi senza modificare le dimensioni del file principale, rendendo difficoltosa l’individuazione di malware. 
  3. Come si accede agli alternate data stream?
    Gli ADS possono essere visualizzati tramite il prompt dei comandi con sintassi specifiche. 
  4. È possibile eliminare gli alternate data stream?
    Sì, è possibile utilizzare strumenti come PowerShell o Sysinternals Streams per rimuoverli. 
  5. Quali file possono contenere alternate data stream?
    Ogni file del file system NTFS può contenere ADS aggiuntivi. 
  6. Cosa succede ai file scaricati con ADS?
    I file scaricati possono includere ADS che contengono informazioni aggiuntive sul download. 
  7. Come gli alternate data stream vengono utilizzati dai cybercriminali?
    Gli ADS sono usati per nascondere codice dannoso o dati sensibili in file apparentemente innocui. 
  8. Quali sistemi operativi supportano gli alternate data stream?
    Gli ADS sono supportati dai sistemi Windows basati su NTFS, come Windows 2000 e versioni successive. 
  9. Quali strumenti rilevano gli alternate data stream?
    Software di scansione avanzati, PowerShell e Sysinternals Streams possono rilevare ADS. 
  10. Gli alternate data stream influenzano la dimensione dei file?
    Gli ADS non modificano la dimensione visibile dei file NTFS, rendendo difficile identificarli senza strumenti specializzati. 
To top