Obowiązkowa lektura

Alternatywne strumienie danych w systemie Windows

NTFS streaming jest właściwością systemu plików Windows, która może zostać wykorzystana do ukrywania informacji. Jest to możliwe dzięki opcji pozwalającej na zapisanie dodatkowych informacji o plikach, niewidocznych dla użytkownika tak długo, jak długo nie jesteśmy świadomi ich istnienia. Jak to osiągnąć? Wszystko, czego potrzebujesz, to Notatnik i linia poleceń (cmd).

Alternatywne strumienie danych w systemie Windows
NTFS streaming jest właściwością systemu plików Windows, która może zostać wykorzystana do ukrywania informacji. Jest to możliwe dzięki opcji pozwalającej na zapisanie dodatkowych informacji o plikach, niewidocznych dla użytkownika tak długo, jak długo nie jesteśmy świadomi ich istnienia. Jak to osiągnąć? Wszystko, czego potrzebujesz, to Notatnik i linia poleceń (cmd).

Proponujemy mały eksperyment. Uruchom linię poleceń i wydaj następujące komendy:

C:\> md test
C:\> cd test
C:\test> copy con test.txt
test – tekst jawny

Właśnie utworzyłeś katalog „test”, w którym znalazł się plik tekstowy test.txt zawierający tekst „test – tekst jawny” o wielkości 20 bajtów.

Teraz wykorzystaj ten plik do ukrycia informacji – niewidocznej dopóty, dopóki nie mamy świadomości jej istnienia. Wydajemy polecenie:

C:\test> notepad test.txt:tajne.txt

Potwierdź stworzenie nowego pliku i wprowadź tajne informacje do pliku tekstowego –zwróć uwagę, że nie widać w nim zawartości wprowadzonej z konsoli. Zapisz dokument i zamknij Notatnik. Po raz kolejny uruchom polecenie dir.

Nie widać nowego pliku test.txt:tajne.txt, co więcej, plik test.txt nie zmienił rozmiaru. Jeżeli uruchomisz go poleceniem notepad test.txt, nie zobaczysz ukrytej zawartośći. Dopiero ponowne polecenie C:\test> notepad test.txt:tajne.txt otworzy ukrytą informację nieprzeznaczoną dla oczu administratora.

Działanie tego mechanizmu opiera się na wbudowanym w NTFS mechanizmie alternatywnych strumieni danych (NTFS Alternative Data Streams). Standardowo plik zapisany na partycji NTFS zawiera dwa strumienie danych: jeden dla faktycznych danych, drugi dla informacji o bezpieczeństwie pliku. Jednak system nie ogranicza strumieni tylko do tych dwóch, co więcej, możemy do jednego pliku dodać wiele strumieni z różnymi informacjami, w zasadzie nie jesteśmy ograniczeni wielkością danych.

Mechanizm alternatywnych strumieni danych stanowi ogromne zagrożenie dla bezpieczeństwa systemu. Wystarczy, że potencjalny intruz wykorzysta lukę w niezabezpieczonym lub dziurawym systemie, aby uzyskać dostęp do jego systemu plików, a następnie dystrybuuje lub dołączy szkodliwe pliki wykorzystując ADS do zwykłych plików.
Jeżeli podejrzewasz, że ktoś wykorzystuje NTFS do ukrywania danych, możesz wykorzystać darmowe narzędzie Sysinternals – Streams, pozwalające zarówno odkryć alternatywne strumienie, jak i usunąć ich zawartość.

Jeśli program Streams odkrył alternatywny strumień, wystarczy użyć przełącznika „-d”, aby go usunąć.