Prendiamo ad esempio gli Alternate Data Streams (ADS): sono una categoria di oggetti ancora sconosciuta alla maggior parte dei normali utenti e che possono essere utilizzati in modo pericoloso. Alcuni trojan ne fanno uso per rendersi virtualmente invisibili, riuscendo così ad eludere i controlli degli strumenti anti-malware.

Gli Alternate Data Streams – o Flussi di Dati Alternativi – sono disponibili unicamente su partizioni NTFS e memorizzano per ogni risorsa (file e cartelle) alcune informazioni aggiuntive chiamate attributi, tipo il nome assegnato al file, la data di creazione, la data dell’ultima modifica…

Il fattore importante è che NTFS permette la creazione di più di un attributo dati per ogni singolo file, quindi possiamo aggiungere altri dati al flusso principale (che corrisponde praticamente al reale contenuto del file o della cartella). Il flusso dati principale, quello che tradizionalmente consideriamo il contenuto del file, può quindi essere affiancato da uno o più flussi dati alternativi. Da qui deriva il nome degli oggetti di cui ci stiamo occupando.

Inoltre va detto che Windows non è in grado di controllare la presenza di ADS nei file e non offre nessuno strumento per la gestione, l’analisi o un’eventuale eliminazione. Sono quindi, a tutti gli effetti, dei dati invisibili. Attraverso alcuni stratagemmi è comunque possibile aggiungere flussi alternativi ad un file tramite il Prompt dei comandi e l’uso del Blocco note.  È anche possibile leggerne il contenuto a patto che se ne conosca a priori l’esistenza e il nome esatto. Non esiste nessun metodo nativo che consenta di scansionare il filesystem  e di elencare gli ADS.

Bene, adesso vedremo come nascondere un messaggio segreto in un semplice file di testo, sfruttando per l’appunto gli Alternate Data Streams (in modo simile è possibile allegare dati alternativi ad una cartella).

1. Aprire il prompt dei comandi (Start->Programmi->Accessori->Prompt comandi)
2. Digitare notepad filepubblico.txt:filesegreto.txt (dove “filepubblico” e “filesegreto” possono essere cambiati a piacimento) e premere il tasto Invio
3. Cliccare sul pulsante SI
4. Digitare il messaggio segreto nel file di testo, salvarlo, e chiuderlo
5. Recarsi nella propria cartella utente ed aprire il file appena creato (nel nostro caso “filepubblico.txt”)
6. Digitare all’interno del file di testo il contenuto “ufficiale“ del documento, salvarlo, e chiuderlo

Per visualizzare il messaggio segreto, invece, basta seguire queste istruzioni:

7. Aprire il prompt dei comandi (Start->Programmi->Accessori->Prompt comandi)
8. Nella finestra che si apre, digita ed invia il comando notepad filepubblico.txt:filesegreto.txt

Ora siete pronti per eventuali comunicazioni top secret…