El peligro de los ADS
| ||
El peligro de los ADS
Entre los sistemas operativos más utilizados hoy día en las microcomputadoras personales se encuentran los conocidos Windows 2000, XP, 2003 y Windows Vista. Estas plataformas el sistema de archivos NFTS, el preferido y más utilizado en estos ambientes porque proporciona estabilidad, funcionalidad y nivel se seguridad.
Sumario
Introducción
Una de las características menos conocidas del sistema de archivos NTFS son los llamados ADS (Alternate Data Streams) que se traduce como Flujos de Datos Alternativos. Estos fueron creados con el objetivo de mantener la compatibilidad con el sistema de archivos HFS de Macintosh (Hierarchical File Sytem).
En el sistema de archivos NTFS, un fichero está compuesto por diferentes flujos de datos o “data streams”. Uno de ellos, por ejemplo, almacena información de seguridad (derecho de acceso al fichero), otro flujo de datos contiene las referencias reales que se espera encontrar en el archivo, mientras otros flujos guardan diversas informaciones propias del fichero. Ahora, dentro de todos se hallan los ADS que también almacenan información relativa al archivo. Cave preguntarse entonces ¿qué particularidad tienen los ADS que los diferencian de los restantes flujos de datos? La particularidad de los ADS es que están completamente ocultos. Los streams o flujo de datos no pueden ser vistos si se emplean métodos convencionales como la línea de comandos *CMD) o el Explorador de Windows. Esto quiere decir que usted puede tener un fichero de 1 byte que contenga cientos de Mbytes en uno o varios ADS. Dicha utilidad puede permitir a un usuario poder almacenar datos que sean totalmente desconocido para cualquier otra persona, y ello posibilita introducir código ejecutable oculto dentro de ficheros existentes sin afectar su funcionalidad ni su tamaño.
Usos del ADS
Los ADS eran ampliamente empleados en las aplicaciones de softwares convencionales. Sin embargo, recientemente se ha notado un marcado incremento en el uso de los flujos de datos por algunos hackers o piratas informáticos en su afán de almacenar archivos una vez que han comprometido un sistema. Estos sistemas operativos, entre los que también se incluye Windows NT, poseen algunas herramientas que permiten a un usuario crear un ADS y ejecutar código oculto en estos “streams”. A continuación se analizan algunas de ellas.
Opciones del sistema operativo
Para emplear esta utilidad no se necesita tener privilegios especiales en el sistema, sólo disponer de una partición NTFS y acceso de escritura al fichero que va a ser modificado. El comando “type” (Fig. 1) permite añadir un fichero ejecutable a uno original sin alternar su tamaño. Nótese que el fichero calc.exe con empleo de ADS, solo varia fecha y hora de creación o ultima actualización. Antes era de 24/08/2001 a las 16:00 horas y después 04/09/2007 a las 15:30 horas. Esta es una alteración que generalmente pasa inadvertida para la mayoria de los usuarios.
El comando start permite ejecutar el código oculto que se encuentra dentro del fichero calc.exe. Además, el mismo sistema operativo crea ADS de forma automática en los ficheros de texto creados con el Block de Notas o Notepad cuando se añade al archivo la información correspondiente al Titulo, Asunto, Autor, Categoría, Palabra Clave o Comentarios. Esta información se localiza dentro del Tab Resumen en la opcion Propiedades de archivo que ofrece el Explorador de Windows. Este caso el fichero también mantiene inalterable su tama;o después de haber introducido todos esos datos.
Como ver los ADS dentro de un fichero
Es alarmante el hecho de que los ADS no pueden ser detectados ejecutando el comando DIR en una sesión CMD ni tampoco en el Explorer de Windows. Existen algunas herramienta para poder ver los ADS, entre ellas la más sencilla es el programa LADS.EXE (List Alternate Data Streams), del autor Frank Heyne. Si se ejecuta esta aplicación indicando el camino completo de la carpeta a revisar, mostrará como resultado los ADS existente en cada uno de los ficheros almacenados en esa carpeta.
Es posible eliminar los ADS de un archivos
Sí, puede eliminarse sin perder el contenido del fichero original. Una forma practica y sencilla de hacerlo es auxiliándose de una unidad lógica de disco con Sistema de Archivo FAT. Esta unidad puede ser otra partición de disco duro, un disquete o una memoria flash. Si se mueve el fichero que contiene ADS de la unidad lógica con NTFS a la unidad lógica con FAT, el sistema operativo alertará de inmediato que existe una información adjunta al fichero que puede perderse. Si se decide continuar la copia, el fichero se almacena en la unidad de disco FAT sin el ADS.
Protección frente a los ADS
Para evitar que una computadora sea contaminada por la ejecución de un código maligno que se encuentre en un archivo que contenga ADS, es necesario habilitar el Modulo Resistente del producto antivirus que se encuentre instalado en el sistema. Esto permite detectar y descontaminar cualquier fichero oculto infectado que intente ser ejecutado.
Conclusión
Los ADS permiten esconder datos y código ejecutable dentro de las aplicaciones de software de uso normal y ficheros de texto. En un futuro no lejano esta técnica de inyección de código puede llegar a ser muy utilizada por los creadores de programas malignos y por los hackers con el objetivo de ocultar su actividad maligna en los sistemas.
No existe la posibilidad de proteger un sistema contra los ficheros ocultos creados con ADS si se utiliza el Sistema de Archivo NTFS. El ADS es una utilidad que no se puede deshabilitar, por lo que no existe forma de limitar esta capacidad.
Debido a ello es muy importante y necesario para todos los especialistas y usuarios de la informática, conocer las posibilidades de esta novedosa utilidad con el fin de establecer las medidas de protección necesarias, entre la que se haya mantener siempre actualizada y activada la Protección Permanente del antivirus para poder enfrentar con éxito la seria amenaza que representan los ADS para la seguridad de la información almacenada en nuestras computadoras.
Fuentes
- Revista GIGA # 4 /2007
