Tecnologías de Seguridad en Windows Vista (II de IV) por Chema Alonso

Crossposting de: Tecnologías de Seguridad en Windows Vista (II de IV)


Vea aquí la primera parte del artículo.



Otro de los vectores de ataque en las empresas ha sido el robo de ordenadores portátiles o el arranque en paralelo del sistema. Es decir, llegar a un equipo arrancarlo con otro sistema y acceder a todos los datos que posea. Para evitar esto se utilizan, desde hace tiempo, sistemas de cifrado de disco. Windows Vista y Windows Server 2008 vienen acompañados de una tecnología que permite cifrar todo el volumen del disco llamada Bitlocker.

Toda la información del disco es cifrada con una clave llamada Full Volume Encryption Key (FVEK). Para poder acceder a los datos, es decir, para que se pueda tan siquiera reconocer la estructura del sistema de ficheros es necesario conseguir la FVEK. Esta clave está almacenada en los metadatos del volumen pero cifrada con otra clave, llamada Volume Master Key (VMK).

Cómo conseguir la VMK para poder descifrar la FVEK y poder acceder a los datos es el corazón de la seguridad del sistema. Para protegerla y garantizar un arranque seguro, esta clave es cifrada por uno o varios «protectores de clave» que pueden ser mantenidos en diferentes sitios. Se puede utilizar una memoria USB con la clave de descifrado de la VMK o almacenar en el Directorio Activo una clave que permita el acceso en caso de desastre o también utilizar el famoso chip TPM (Trusted Platform Module) para conseguir tener la clave.




Imagen 1: Bitlocker y el Chip TPM



Chip TPM (Trusted Platform Module)

¿Qué es el chip TPM? Es un chip incluido en los nuevos equipos portátiles con capacidades de almacenamiento criptográfico que permite almacenar claves de forma segura y comprobar que el equipo que está siendo arrancado no ha sido modificado, es decir, que el disco duro, por ejemplo, no ha sido cambiado a otro hardware.

Otra pregunta que podemos realizarnos es si ¿es posible utilizar la tecnología Bitlocker si el equipo no tiene chip TPM? La respuesta es por supuesto que sí. El chip TPM se puede utilizar para almacenar las claves de Bitlocker, pero estas pueden ser almacenadas de otra forma, como por ejemplo en una memoria USB. Procura no llevar el ordenador y la memoria USB en la misma bolsa ya que entonces no va a servir de mucha protección.

Si la clave puede estar almacenada en otros sitios, la pregunta entonces es ¿para qué es útil el chip TPM entonces? El almacenamiento de la clave de Bilocker es sólo una de las funciones del chip, pero su principal función es garantizar el arranque seguro de la plataforma. En las conferencias de Blackhat de 2006 se demostró que era posible crear un rootkit con las funciones de la BIOS, de tal forma que una vez arrancado el ordenador éste ya estaba comprometido. El chip TPM no arrancará el sistema y no descifrará la VMK si ha sido manipulada la plataforma. ¿Y si se rompe la placa no podré acceder a la información si tengo la clave en el chip TPM? Para esos entornos el sistema permite descifrar la información con una clave de recuperación. Ésta clave puede ser almacenada en el Directorio Activo junto con la información de la cuenta de la máquina, de tal forma que la empresa siempre pueda recuperar los datos.

La tecnología Bitlocker y el chip TPM ayudan a proteger el equipo para conseguir un arranque seguro y confiable, pero si el equipo ya está arrancado el sistema de protección no recae sobre él. Es decir, si un portátil es arrancado y posteriormente es suspendido temporalmente, el chip TPM ya ha liberado la clave y el disco está descifrado y por tanto, la seguridad de la plataforma recae en la seguridad que tenga el sistema para volver a ser despertado.



Imagen 2: Clave de Recuperación en Bitlocker



A finales de Febrero de 2007 un grupo de investigadores de seguridad han publicado un documento en el que dicen haber conseguido saltarse estas protecciones si el sistema está suspendido. Imaginemos que un usuario está trabajando y en lugar de apagar el equipo simplemente suspende su portátil. En esta situación el sistema ya ha sido arrancado y la clave de cifrado ha sido liberada. Para poder acceder al equipo hay que conseguir la contraseña de bloqueo que está en memoria. Lo que proponen realizar es bajar la temperatura de la memoria RAM a – 50 grados Celsius. A esta temperatura la memoria se congela y puede ser quitada del equipo e incrustada en un equipo que permita analizar su contenido. Una vez analizado, y extraída la información de la clave, la memoria es devuelta al ordenador original y se despierta el equipo. Curioso cuanto menos.

User Account Control (UAC)

Una de los problemas de seguridad que tenía Windows XP es la necesidad de usar cuentas privilegiadas para poder realizar algunas de las tareas que para muchos de nosotros son normales. Pinchar una cámara o un escáner USB, conectarse a una red inalámbrica o cambiar la dirección IP de una tarjeta de red son acciones que implican cambios en la configuración del sistema operativo y, por lo tanto, deben ser hechas por usuarios privilegiados. Este hecho ha llevado a que gran parte de los usuarios utilicen su ordenador con cuentas de administradores del sistema por simple comodidad.

Si la cuenta que se está utilizando es de administración también tendrá los mismos privilegios todo programa ejecutado por ella. Así, cuando se arrancar un navegador para conectarse a Internet este lleva asociados los privilegios de la cuenta. Si la seguridad del programa fuera comprometida por un ataque entonces quedarían expuestos los privilegios de administración del sistema, como ha sucedido muchas veces.

Para evitar esta situación en Windows XP SP2 se recomendaba la opción de «Ejecutar como». Esta solución es una solución «de más a menos». Es decir, trabajas por defecto como administrador y cuando vas a ejecutar determinados programas eliges otra cuenta del sistema con menos privilegios. En Windows Vista se ha cambiado el enfoque y ahora, aunque un usuario tenga privilegios de administración, estos no son utilizados por defecto, quedando relegado a ser un usuario no privilegiado.

En el caso de que el sistema requiera estos privilegios se solicitará al usuario «EXPLICITAMENTE» el uso de estos mediante un cuadro de dialogo bloqueante que informa detalladamente de cuál va a ser el uso que se va a dar a esos privilegios. Ahora bien, si un troyano pide privilegios y el usuario se los concede entonces no hay protección que valga.



Imagen 3: Opciones que necesitan privilegios están marcadas con un icono especial


 

2 comentarios sobre “Tecnologías de Seguridad en Windows Vista (II de IV) por Chema Alonso”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *