Windows Técnico : cifrado

Atacar TrueCrypt infectando el MBR

Francisco Oca — Wed, 28 Dec 2011 09:00:00 GMT

Una de las muchas cosas que se detallan en el libro Máxima Seguridad en Windows: “Secretos Técnicos”, es la importancia de la seguridad física de los equipos. El primer apartado se centra en la seguridad de la BIOS. En este apartado se recomienda establecer una contraseña a la BIOS para dificultar en la medida de lo posible que se pueda arrancar el equipo desde una fuente no confiable como un CD ROM o un USB para acceder a los datos o por ejemplo resetear la contraseña de Windows.

Mucha gente a menudo omite la contraseña de la BIOS y una configuración correcta de orden de arranque, argumentando que su disco duro (su partición del sistema) está cifrado con Truecrypt y que por lo tanto aunque consigan arrancar desde un CD ROM o un USB no podrán acceder ni modificar sus datos.

Y esta afirmación en parte es verdad. Pero dicho escenario, existe un ataque que seguramente muchos no conozcan y que puede llevar a un atacante a conocer la contraseña utilizada en Truecrypt para descifrar el disco duro, increíble, ¿no?

En 2009 la experta en seguridad Joanna Rutkowska presentó en su blog una imagen de disco desarrollada en colaboración con Alex Tereshkin que tiene el objetivo de una vez copiada a un USB convierte este en un dispositivo “bootable”. ¿Y qué ocurre cuando se inicia un portátil cifrado con Truecrypt con este USB?

Se arranca un pequeño loader que detecta si en el MBR del disco duro es el MBR de Truecrypt que utiliza para solicitar una contraseña al usuario y descifrar el disco duro. En este caso infecta dicho MBR para lograr que cuando el usuario introduzca la contraseña esta se copie silenciosamente en uno de los primeros sectores del disco que no son utilizados.

El siguiente paso, una vez “infectado” el MBR, sería esperar pacientemente a que el usuario del equipo iniciase el mismo e introdujera la contraseña del equipo. En ese momento esta contraseña habrá sido almacenada y podrá ser accedida posteriormente mediante el mismo USB que se utilizó para infectar el MBR.

Rutkowska expone un escenario de un usuario que se hospeda en un hotel, este cifra su portátil con Truecrypt y deja el equipo abandonado en su habitación. En esta situación una señora de la limpieza con algún que otro conocimiento informático podría arrancar el equipo con el USB mencionado anteriormente, infectar el MBR, esperar pacientemente al día siguiente para darle tiempo al usuario a arrancar su portátil, entonces volver a la habitación, obtener la contraseña utilizada por el usuario en Truecrypt y por último acceder al contenido de su disco duro... ¡Si es que no te puedes fiar de nadie!

A continuación dejamos una imagen de la recuperación de la contraseña:

Podéis obtener más información sobre el ataque y descargar la imagen de USB en el blog de The Invisible Things Lab.

Para mitigar este ataque se debería poner una contraseña a la BIOS. Aunque como se ve en el libro de Máxima Seguridad en Windows la BIOS puede ser reseteada en algunas situaciones. Otra opción mas segura sería poner, si el disco duro lo soporta, una contraseña de acceso al disco duro. Aunque lo ideal es asegurar la seguridad física del equipo y mantenerlo en la medida de lo posible en un lugar seguro, lejos de posibles atacantes.

Como siempre sugerimos la suscripción al canal RSS de Windows Técnico para estar al día de las novedades concernientes a noticias de seguridad y/o productos Microsoft.

Microsoft anuncia MS BitLocker Administration and Monitoring (MBAM)

anolla — Thu, 17 Feb 2011 17:52:18 GMT

Hace unos días desde el blog de Springboard nos transmitían el anuncio del nuevo producto Microsoft BitLocker Administration and Monitoring. Para ello se publicaba una entrevista realizada a Anthony Smith, product manager del nuevo MBAM.

Para todos aquellos que no lo sepáis, BitLocker es una característica disponible en las versiones Enterprise y Ultimate de Windows 7 que permite el cifrado completo de particiones y de dispositivos extraíbles, solución muy útil para aquellas personas que trabajen con equipos portátiles (o dispositivos extraíbles) y manejen información sensible.

En la entrevista a Anthony Smith nos encontramos con diversos puntos que resultan de gran interés para los administradores de sistemas que tengan que lidiar con Windows 7 y la instalación y utilización de BitLocker de forma habitual. Vamos a destacar algún punto de la entrevista que nos ha aportado información que nos ha resultado interesante.

Gracias a MBAM, podremos configurar el despliegue del sistema operativo en las máquinas que van a ser a incorporadas a una red para que de forma automática, BitLocker se configure y active. Para ello se va a utilizar TPM o Trusted Platform Module requiriendo únicamente la intervención del usuario final para establecer el PIN de acceso.. Mediante dicha combinación formada por BitLocker y TPM conseguimos cifrar los datos con AES (Advanced Encryption Standard) y almacenar de forma segura la clave utilizada en el chip TPM (así no se guarda la clave de cifrado en el disco duro), además, se puede utilizar mecanismos adicionales de autenticación como un PIN o un token.

Funcionamiento de BitLocker junto con TPM

También cabe destacar las mejoras relacionadas con el tiempo requerido para efectuar una recuperación de contraseña de los usuarios. Esta mejora se conseguirá gracias a la base de datos Microsoft SQL que almacena las claves de recuperación cifradas y que requerirá de una simple llamada al servicio de soporte de la empresa para que, mediante un sencillo proceso de cumplimentación de un formulario, se obtenga la clave de recuperación.

Por otro lado, y para aquellos preocupados por el cumplimiento de las políticas de la empresa, MBAM dispone de una serie de informes ya predefinidos que permiten tener siempre bajo control diversa información como grado de cumplimiento, fortaleza del cifrado utilizado, sistemas operativos cifrados, dispositivos extraíbles cifrados, etc.

Finalmente nos comentan que la primera versión beta disponible será en Marzo, si os interesa recibir un aviso cuando esto ocurra podéis apuntaros aquí.

Desde WindowsTécnico no queremos despedirnos sin animaros a que leáis la entrevista completa disponible en el blog Springboard y que os suscribáis al RSS de Windows Técnico.

Cifrar conexiones o servicios con SSL

Manuel Fernandez — Thu, 11 Mar 2010 13:02:35 GMT

Hace unos meses escribí un artículo sobre cómo montar un servidor telnet sobre un sistema Windows. Hoy, en este artículo, se verá cómo es posible cifrar conexiones mediante la herramienta ‘stunnel’, aplicándolo durante este articulo para cifrar nuestro servidor telnet mediante SSL.

Como bien sabéis, el principal fallo de seguridad de una conexión mediante telnet es que el tráfico no se cifra, por lo que mediante un análisis de tráfico de red podrían visualizar nuestras credenciales y monitorizar nuestra actividad.

Veamos un gráfico donde se ve como se realiza una conexión sin cifrar desde un equipo remoto a un servidor telnet.

Como se ve, la conexión entre el cliente y el servidor está sin cifrar, y seria trivial el robo de credenciales (Ver captura wireshark):

La idea de Stunnel, es utilizar esta aplicación como conexión intermedia, es decir, como un ‘bouncer’ que redirija el tráfico de un equipo a otro a través de una capa SSL.

Para ello, Stunnel debería estar ejecutándose tanto en el servidor como en el cliente, de tal forma que el cliente telnet se conecte al servidor Stunnel (Escuchando en la misma máquina que el cliente) con una conexión sin cifrar. Una vez conectado a Stunnel, éste realizará una conexión a través de SSL contra el servidor Stunnel que corre en el servidor, el cual redirigirá el trafico sin cifrar contra el servidor telnet.

En la siguiente imagen se observa cómo se realiza la conexión a través de Stunnel.

El primer paso para configurar la redirección de conexiones con Stunnel es la descarga del software, podemos realizarlo desde ftp://stunnel.mirt.net/stunnel/stunnel-4.31-installer.exe

Empezaremos con la configuración del cliente, por lo que editaremos el fichero de configuración (C:\Archivos de programa\stunnel\stunnel.conf) y añadiremos las siguientes líneas:

- Accept = [puerto de escucha local]

- Connect = [dirección y puerto al cual se redigirá el trafico con SSL]

- Client = yes

La línea “cert = stunnel.pem” indica que certificado se utilizará para el tráfico SSL. Usaré el certificado que trae la aplicación por defecto (stunnel.pem) a modo de ejemplo. Si se pretende montar un entorno seguro, se recomienda no utilizar este certificado sino generar uno nuevo.

Una vez configurado en el lado del cliente, podremos iniciarlo como aplicación o como servicio.

Ahora pasaremos a la parte del servidor, son los mismos pasos, editaremos el fichero de configuración con las siguientes líneas y arrancaremos la aplicación:

Ya tenemos la pasarela montada, únicamente nos queda realizar la conexión y comprobar que todo funciona correctamente bajo la capa SSL. Desde el cliente nos conectaremos a nuestro servidor Stunnel el cual se encargará de redirigir nuestro tráfico:

Volveremos a abrir un analizador de tráfico para comprobar si realmente los paquetes se están cifrando:

Efectivamente el tráfico se está enviando cifrado. Éste mismo sistema puede aplicarse no solo a una conexión telnet, sino a servicios FTP, SMB, LDAP, conexiones contra bases de datos, etc.

¡Hasta otra!

Cifrar discos/particiones mediante TrueCrypt

Manuel Fernandez — Thu, 17 Dec 2009 10:26:00 GMT

Una buena medida de seguridad física para mantener nuestro equipo seguro es el cifrado de nuestro disco duro o particiones, de tal modo que podamos estar seguros que nuestros datos no corren peligro.

Esto puede conseguirse a través de BitLocker, pero debido a que esta aplicación no está disponible en todas las versiones de Windows veremos TrueCrypt, una herramienta gratuita compatible con todas las versiones desde XP en adelante (Exceptuando la versión RC de Windows 7).

Para ello, lo primero que debemos hacer es la descarga de la aplicación desde la página oficial http://www.truecrypt.org/

Una vez Instalada, debemos hacer clic sobre ‘System > Encrypt System Partition/Drive’

Los siguientes pasos estarán guiados por un asistente en el cual nos permitirá seleccionar distintas opciones a la hora de cifrar el disco.

En la primera ventana es necesario seleccionar entre “Normal” y “Hidden”. En el caso de que se seleccione el tipo “Normal” el disco se cifrará, pero será posible determinar que el disco se encuentra cifrado. Si se selecciona “Hidden” no será posible conocer si el disco se encuentra cifrado o no. En mi caso seleccionaré el tipo “Normal”.

En la fase de ‘Area to Encrypt’ podeis indicar si queréis cifrar únicamente la partición en la que está instalada Windows, o el disco entero con todas sus particiones. En mi caso he seleccionado ‘Encrypt the whole Drive’.

Si has seleccionado la opción ‘Encrypt the whole Drive’ la siguiente pantalla del asistente será ‘Encrptiong of Host Protected Area’. Aquí podemos especificar si queremos cifrar una partición oculta que suele estar al final de los discos que contienen una instalación con un sistema operativo Windows, pero en dicha partición se pueden almacenar herramientas de recuperación del sistema, diagnostico del mismo, etc.

Como en mi caso no tengo dicha partición seleccionaré la opción ‘Yes’. Si no estás seguro de si tu disco contiene este tipo de particiones ocultas, aconsejo seleccionar la opción ‘No’.

Aquí debemos indicar si el disco el cual estamos cifrando dispone de un único sistema operativo o varios. En mi caso, como se trata únicamente de un Windows virtualizado seleccionaré ‘Single-boot’.

Toca seleccionar el algoritmo de cifrado. He seleccionado AES pro su robustez, y por ser el algoritmo con mejores resultados en mi sistema. Pueden verse una comparativa de tiempos del uso de los distintos algoritmos en tu sistema haciendo clic en ‘Benchmark’.

Selección del password de cifrado. Es recomendable utilizar un password complejo con palabras inexistentes que no aparezcan en diccionarios. La longitud del password no puede superar los 64 caracteres.

En los siguientes pasos del asistente se generarán las llaves y salteo para el cifrado del disco.

Este paso es muy importante, aquí se creará una imagen .iso de arranque en caso de que el Boot Loader de TrueCrypt se dañe. Esta imagen .ISO únicamente podrá ser usada para este cifrado en concreto, no es válida para otra anterior o posterior, por lo que en el siguiente paso del asistente nos indicará que debemos grabar dicha imagen ISO en un CD.

Es aquí donde pide la grabación de dicha imagen .ISO. Puedes descargarte un software de grabación gratuito haciendo clic en ‘Download CD/DVD recording software’, o si estas virtualizando el sistema operativo como en mi caso, basta con enviar dicha imagen .ISO al sistema ‘host’ y cargar dicha imagen en el lector CD del sistema virtualizado.

Hasta que no tengas la imagen ISO grabada y introducida en la unidad de CD/DVD no permitirá continuar.

En ‘Wipe Mode’ podemos seleccionar cuantas veces sobrescribir el disco para dificultar la recuperación de datos mediante técnicas de micromagnetismo. En caso de que en el momento de realizar el cifrado del disco no se dispongan de datos confidenciales no es necesario realizar el wipeo. Si dispones de datos confidenciales, se recomiendan 10 wipeos del disco, por lo que puedes seleccionar 7-Pass (Ya que 35-Pass incrementaría mucho el tiempo). En mi caso, como no dispongo de datos confidenciales no realizaré ningún wipeo, siendo además la opción más rápida.

Una vez completado este proceso requerirá el reinicio del equipo. Una vez arranque un nuevo asistente iniciará el cifrado del disco/partición. Este proceso puede durar horas, dependiendo del tamaño del disco, pero es posible pausar el proceso haciendo clic en el botón ‘Pause’ y continuarlo más adelante.

Una vez finalizado este proceso, nuestro disco duro ya estará cifrado y a salvo de miradas ajenas.

Si disponéis de información confidencial en vuestro sistema, aconsejo el cifrado del disco con este sistema, o usando la alternativa BitLocker de la cual habló mi compañero Joshua Sáenz en http://www.windowstecnico.com/archive/2009/02/23/bitlocker-to-go-en-windows-7.aspx

¡Saludos!