Be geek my friend : Bitlocker

Bricolaje: Video de cómo romper la encriptación de volúmenes y por supuesto también como evitarlo con Bitlocker.

dmatey — Sun, 30 Mar 2008 14:40:00 GMT

Las técnicas de enfriamiento de memoria no son nuevas y otras técnicas de lectura de la memoria han sido usadas por la informática forense desde hace tiempo.

Evidentemente este tipo de ataques supone un problema si pensamos en que hay situaciones en las que los secretos pueden estar en la memoria.

En el siguiente video podéis ver como se aplican estas técnicas para “hackear” un equipo encriptado y como la memoria mantiene sus valores durante un periodo de tiempo que puede ser alargado enfriándola.

Bitlocker y Windows a través de las GPO nos permiten de mitigar estos riesgos evitando la suspensión de los equipos usando la configuración de gestión de energía de las GPO, otras GPO nos permiten controlar el comportamiento de los secretos con respecto a la memoria y finalmente el uso de un PIN evitara que alguien pueda acceder al equipo después de una hibernación, interrumpiendo de esta forma el arranque y la copia a la RAM.

Firmado:

El cansino del Bitlocker.

"Jubilando" un disco duro de forma segura con Bitlocker.

dmatey — Sun, 30 Mar 2008 14:33:00 GMT

Bitlocker es un arma fantástica para mitigar algunos de los riesgos relativos a la seguridad de la información comunes en toda organización.

Uno de los procesos que no debe ser olvidado es aquel que tiene lugar cuando un disco duro tiene que ser “jubilado”.

Un simple formateo o un formateo a bajo nivel puede tener riesgos y un formateo en profundidad que llene el disco para garantizarse que la información ha sido sobrescrita es lento y además teóricamente también hay técnicas que permiten indagar en el disco y recuperar información de un estado anterior.

Bitlocker nos permite asegurarnos de que quien tenga que acceder al disco lo hará teniéndose que saltar la encriptación que puede ser hasta AES-CBC 256 Bits con Difusor lo cual está muy pero que muy difícil a día de hoy pensar que este algoritmo es usado por múltiples organismos militares para la información considerada como clasificada.

El siguiente comando permite forzar que siempre sea solicitada la contraseña de recuperación en el arranque:

Manage-bde –forcerecovery C:

Lo cual evitaría que un atacante pudiera usar el disco incluso desde otros sitemas o intentar ataques en remoto.

El comando Format ha sido modificado para ser compatible con Bitlocker, el formateo de una unidad destruye también las claves del volumen.

Existe también un método WMI denominado DeleteKeyProtector dentro de la clase Win32_EncryptableVolumeClass que puede ser usado para los mismos propósitos.

Mantener vuestra información segura!!!

Cambiar la clave de recuperación o el PIN de usuario en Bitlocker

dmatey — Sun, 30 Mar 2008 14:12:00 GMT

Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.

Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.

Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:\Windows\system32.

No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.

Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:

manage-bde –protectors –delete c: -type RecoveryPassword

Para crear una nueva clave de recuperación usaremos el siguiente comando.

manage-bde –protectors –add c: -rp

Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación.

Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.

El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.

Bitlocker y el Directorio Activo.

dmatey — Sun, 16 Mar 2008 13:45:00 GMT

El Directorio Activo tiene una importancia tremenda en la implantación de bitlocker en las empresas.

El AD nos permite asegurarnos de que todas las claves de recuperación de las maquinas que tienen bitlocker activado han sido guardadas y que podremos acceder a ellas de forma rápida y segura.

Modificando las GPO conseguiremos que durante el proceso de activación de bitlocker la clave de recuperación sea guardada dentro del objeto de la maquina en el AD.

Para poder guardar esta información debemos extender el esquema del AD (Windows 2003) para ello usaremos un script LDIF que podemos encontrar al igual que todos los recursos que veremos en este articulo en este enlace .

En la siguiente imagen podéis ver la extensión del esquema a través de LDIFDE.

Después de esto, podremos usar el adsiedit o el editor de esquema para ver como se han incluido nuevos atributos.

Para que los usuarios puedan escribir en ese atributo hay que modificar los permisos del AD, esto lo haremos con otro script que también viene incluido en el enlace que os he comentado antes y que podéis ver en la siguiente imagen.

Ahora tendremos que configurar varias GPO.

(Open Computer Configuration, open Administrative Templates, open Windows Components, and then open BitLocker Drive Encryption)

(Open Computer Configuration, open Administrative Templates, open System, and then open Trusted Platform Module Services)

Ahora cada vez que activemos bitlocker en una maquina tendremos su clave de recuperación guardada en el AD.

En caso de que un equipo no pueda arrancar por alguna de las siguientes razones:

-Al usuario se le ha olvidado el PIN (si se ha escogido esa configuración).

-Se ha cambiado de placa madre o se ha cambiado el disco duro de ordenador.

-Al usuario se le ha olvidado o ha perdido el pen drive (si se ha escogido esa configuración)

Entonces el usuario vera una pantalla como la siguiente:

Entonces llamara a soporte y quien le atienda si tiene los permisos adecuados podría mirar la clave de recuperación en el AD y decírsela al usuario para que pueda entrar en su máquina.

Si estamos hablando de una empresa con contrato premier, entonces se podrá instalar la herramienta Bitlocker Recovery Password Viewer, que permite buscar en el AD las claves de recuperación de una forma rápida a través de la consola de usuarios y computadoras del Directorio Activo.

Tenéis mas información sobre esta herramienta en:

http://support.microsoft.com/?kbid=928202

¿Probar Bitlocker con Virtual PC/Server o Hyper-V?

dmatey — Sun, 16 Mar 2008 13:09:00 GMT

En este articulo vamos a ver cómo podemos probar Bitlocker en una maquina virtual.

Desgraciadamente aun no existe una emulación del chip TPM por lo que tendremos que usar otro método para guardar la clave.

Para que el método que usemos sea válido para los tres productos de virtualización de maquinas de Microsoft nosotros nos vamos a basar en un disquete virtual para guardar la clave.

Es muy importante que configuréis la bios de la maquina virtual de forma que no arranque desde disquete.

Crear el disquete virtual es muy sencillo, asi que no lo explicare.

El paso más importante es el de preparar bien los discos para poder instalar bitlocker después.

Como sabéis bitlocker requiere dos particiones una para el sistema y otra para el “arranque”, es importante que instaléis Windows en la de sistema pero que la activa sea la de “arranque”.

Para hacerlo lo mejor es pulsar mayúsculas + F10 cuando Vista o Windows Server 2008 nos pidan que indiquemos el disco duro en el que queremos instalar el sistema operativo.

Cuando pulsemos esa combinación de teclas, nos aparecerá una ventana de MS-DOS en la que tendremos que poner exactamente los comandos que veis en las capturas de pantalla.

Después de esto instalamos el sistema operativo normalmente.

Antes de activar bitlocker tendremos que modificar las GPO para permitir al equipo usar bitlocker sin chip TPM.

Y listo, ya podréis activar bitlocker en vuestra maquina virtual usando el siguiente comando:

cscript c:\Windows\System32\manage-bde.wsf -on C: -rp -sk A: