domingo, marzo 30, 2008

Tecnologías de Seguridad en
Windows Vista (II de IV)

***************************************************************************************
Artículo publicado en NEXT IT Specialist Mar'08

Tecnologías de Seguridad en Windows Vista (I de IV)
Tecnologías de Seguridad en Windows Vista (II de IV)
Tecnologías de Seguridad en Windows Vista (III de IV)
Tecnologías de Seguridad en Windows Vista (IV de IV)
***************************************************************************************Bitlocker

Otro de los vectores de ataque en las empresas ha sido el robo de ordenadores portátiles o el arranque en paralelo del sistema. Es decir, llegar a un equipo arrancarlo con otro sistema y acceder a todos los datos que posea. Para evitar esto se utilizan, desde hace tiempo, sistemas de cifrado de disco. Windows Vista y Windows Server 2008 vienen acompañados de una tecnología que permite cifrar todo el volumen del disco llamada Bitlocker.

Toda la información del disco es cifrada con una clave llamada Full Volume Encryption Key (FVEK). Para poder acceder a los datos, es decir, para que se pueda tan siquiera reconocer la estructura del sistema de ficheros es necesario conseguir la FVEK. Esta clave está almacenada en los metadatos del volumen pero cifrada con otra clave, llamada Volume Master Key (VMK).

Cómo conseguir la VMK para poder descifrar la FVEK y poder acceder a los datos es el corazón de la seguridad del sistema. Para protegerla y garantizar un arranque seguro, esta clave es cifrada por uno o varios “protectores de clave” que pueden ser mantenidos en diferentes sitios. Se puede utilizar una memoria USB con la clave de descifrado de la VMK o almacenar en el Directorio Activo una clave que permita el acceso en caso de desastre o también utilizar el famoso chip TPM (Trusted Platform Module) para conseguir tener la clave.

Imagen 1: Bitlocker y el Chip TPM

Chip TPM (Trusted Platform Module)

¿Qué es el chip TPM? Es un chip incluido en los nuevos equipos portátiles con capacidades de almacenamiento criptográfico que permite almacenar claves de forma segura y comprobar que el equipo que está siendo arrancado no ha sido modificado, es decir, que el disco duro, por ejemplo, no ha sido cambiado a otro hardware.

Otra pregunta que podemos realizarnos es si ¿es posible utilizar la tecnología Bitlocker si el equipo no tiene chip TPM? La respuesta es por supuesto que sí. El chip TPM se puede utilizar para almacenar las claves de Bitlocker, pero estas pueden ser almacenadas de otra forma, como por ejemplo en una memoria USB. Procura no llevar el ordenador y la memoria USB en la misma bolsa ya que entonces no va a servir de mucha protección.

Si la clave puede estar almacenada en otros sitios, la pregunta entonces es ¿para qué es útil el chip TPM entonces? El almacenamiento de la clave de Bilocker es sólo una de las funciones del chip, pero su principal función es garantizar el arranque seguro de la plataforma. En las conferencias de Blackhat de 2006 se demostró que era posible crear un rootkit con las funciones de la BIOS, de tal forma que una vez arrancado el ordenador éste ya estaba comprometido. El chip TPM no arrancará el sistema y no descifrará la VMK si ha sido manipulada la plataforma. ¿Y si se rompe la placa no podré acceder a la información si tengo la clave en el chip TPM? Para esos entornos el sistema permite descifrar la información con una clave de recuperación. Ésta clave puede ser almacenada en el Directorio Activo junto con la información de la cuenta de la máquina, de tal forma que la empresa siempre pueda recuperar los datos.

La tecnología Bitlocker y el chip TPM ayudan a proteger el equipo para conseguir un arranque seguro y confiable, pero si el equipo ya está arrancado el sistema de protección no recae sobre él. Es decir, si un portátil es arrancado y posteriormente es suspendido temporalmente, el chip TPM ya ha liberado la clave y el disco está descifrado y por tanto, la seguridad de la plataforma recae en la seguridad que tenga el sistema para volver a ser despertado.

Imagen 2: Clave de Recuperación en Bitlocker

A finales de Febrero de 2007 un grupo de investigadores de seguridad han publicado un documento en el que dicen haber conseguido saltarse estas protecciones si el sistema está suspendido. Imaginemos que un usuario está trabajando y en lugar de apagar el equipo simplemente suspende su portátil. En esta situación el sistema ya ha sido arrancado y la clave de cifrado ha sido liberada. Para poder acceder al equipo hay que conseguir la contraseña de bloqueo que está en memoria. Lo que proponen realizar es bajar la temperatura de la memoria RAM a - 50 grados Celsius. A esta temperatura la memoria se congela y puede ser quitada del equipo e incrustada en un equipo que permita analizar su contenido. Una vez analizado, y extraída la información de la clave, la memoria es devuelta al ordenador original y se despierta el equipo. Curioso cuanto menos.

User Account Control (UAC)

Una de los problemas de seguridad que tenía Windows XP es la necesidad de usar cuentas privilegiadas para poder realizar algunas de las tareas que para muchos de nosotros son normales. Pinchar una cámara o un escáner USB, conectarse a una red inalámbrica o cambiar la dirección IP de una tarjeta de red son acciones que implican cambios en la configuración del sistema operativo y, por lo tanto, deben ser hechas por usuarios privilegiados. Este hecho ha llevado a que gran parte de los usuarios utilicen su ordenador con cuentas de administradores del sistema por simple comodidad.

Si la cuenta que se está utilizando es de administración también tendrá los mismos privilegios todo programa ejecutado por ella. Así, cuando se arrancar un navegador para conectarse a Internet este lleva asociados los privilegios de la cuenta. Si la seguridad del programa fuera comprometida por un ataque entonces quedarían expuestos los privilegios de administración del sistema, como ha sucedido muchas veces.

Para evitar esta situación en Windows XP SP2 se recomendaba la opción de “Ejecutar como”. Esta solución es una solución “de más a menos”. Es decir, trabajas por defecto como administrador y cuando vas a ejecutar determinados programas eliges otra cuenta del sistema con menos privilegios. En Windows Vista se ha cambiado el enfoque y ahora, aunque un usuario tenga privilegios de administración, estos no son utilizados por defecto, quedando relegado a ser un usuario no privilegiado.

En el caso de que el sistema requiera estos privilegios se solicitará al usuario “EXPLICITAMENTE” el uso de estos mediante un cuadro de dialogo bloqueante que informa detalladamente de cuál va a ser el uso que se va a dar a esos privilegios. Ahora bien, si un troyano pide privilegios y el usuario se los concede entonces no hay protección que valga.

Imagen 3: Opciones que necesitan privilegios están marcadas con un icono especial

***************************************************************************************
Artículo publicado en NEXT IT Specialist Mar'08

Tecnologías de Seguridad en Windows Vista (I de IV)
Tecnologías de Seguridad en Windows Vista (II de IV)
Tecnologías de Seguridad en Windows Vista (III de IV)
Tecnologías de Seguridad en Windows Vista (IV de IV)
***************************************************************************************

12 comentarios:

  1. Mañana podias comentar como Vista palmo en el PWN to OWN

    ResponderEliminar
  2. Eso eso... Más info

    Pero no te preocupes que seguro que alguna escusa habrá... siempre la hay

    Ale Vista Power!!! que ha sido el segundo coño!!!!

    Ah y por cierto ya estamos de nuevo con las triquiñuelas??? Más sobre Ooxml, sí ya sé que es de Barrapunto pero el asunto esta hay.

    ResponderEliminar
  3. Hamijo, Vista "palmó" al parecer por un 0day de una aplicación de TERCEROS...
    A ver si aprendemos a leer....
    Pincha aquí anónimo

    ResponderEliminar
  4. Parece que BitLocker va a complicar el "chorar" en la oficina.

    :)

    Yo todavía lo estoy flipando desde que me topé en un XP PRO SP2 con CRYPT 2000...


    Muy buena entrada. Buenísimas capturas.


    Cada vez que suena UAC por Vista, me viene a la cabeza la UAC del videojuego Doom3. Por similitud, imagino. También el otro día, rejugando Half life 2, que es un videojuego del 2003 igualmente, sólo que bastante superior en gráficos -y en todo- que la OpenGl del de ID Software, al cargar la pantalla de partidas guardadas: sorpresa!, ¿a que es igual que AERO de Vista?...

    Me froto las manos esperando TSWV III de IV.

    ResponderEliminar
  5. @juanillo
    Pero palmo que es lo que cuenta, ademas por mucho 0 day del flash, no tenia el navegador del vista un sandbox que era super seguro y noseq.

    De todas formas lo que cuenta es que cayo, y si algun malvado lo hubiera hecho en masa en vez de en un concurso millones de ordenadores del mundo habrian sido comprometidos peligrosamente.

    ResponderEliminar
  6. Interesantes estos posts. En el portátil tengo TPM y para smartcards pero la verdad es que siempre me ha dado mucha perrería enfrascarme a usarlo. Al final he optado por truecrypt.

    ResponderEliminar
  7. Un tema aparte del que se trata, pero me place compartir, es la inminente beta del Windows Live Messenger 9.

    http://www.cronicaviva.com.pe/index.php?option=com_content&task=view&id=21718&Itemid=59

    Tiene muy buena pinta, ¿verdad?.

    :)!

    ResponderEliminar
  8. Perdón anónimo... Me he equivocado... No tienes que aprender a leer... Tienes que aprender a leer el INGLÉS...
    Ni me molesto en explicártelo..
    Pincha aquí anónimo (Otra vez)
    Léete los requisitos del tercer día. Puedes utilizar un traductor.

    ResponderEliminar
  9. Vamos a ver si lo he entendido bien...

    El TPM descifra la VMK si el sistema cumple con lo que el TPM tiene entendido (mismo hardware).

    Una vez superada la parte del VMK, el usuario procede a introducir la FVEK (única interacción del usuario en todo el proceso), la cual ahora sí que puede comprobarse al tener la VMK descifrada.

    ¿Es así como funciona?
    ¿Qué pasaría con un CD/DVD Live? El hardware sigue siendo el mismo, aunqué no el SO, ¿el TPM procedería a descifrar la VMK?

    ResponderEliminar
  10. Al maloso éste no le va mucho eso de responder comentarios por lo visto.

    ResponderEliminar
  11. Perdón por no responder los últimos comentarios, pero el curro me está comiendo literalmente. Intentaré responder a todos esta tarde.

    Perdón por el retraso...

    ResponderEliminar
  12. @Sergio,

    Es una buena reflexión. Creo que sé la respuesta, pero me puedo equivocar, así que dejame que la chequee correctamente.

    ResponderEliminar