22 dic 2012

Elcomsoft dice que descifra BitLocker, PGP y TrueCrypt ¿qué hay de cierto?

Aunque parezca nuevo esto ya había sido anunciado en 2008 y 2009 por LostPassword y seguramente este tipo de sensacionalismos seguramente seguirán apareciendo.

Todos conocemos herramientas como BitLocker, PGP y TrueCrypt que permiten cifrar particiones y/o discos enteros y que nos ofrecen una protección sólida y fiable para nuestros datos con una perfecta implementación de una criptografía fuerte.

Normalmente para acceder a los datos de estos contenedores cifrados debemos introducir una contraseña que debe ser larga y compleja para que no sea adivinable o fácilmente obtenible por medio de un ataque de fuerza bruta. Precisamente esto alimenta su única debilidad: el factor humano. Es decir, nadie va a andar escribiendo una contraseña cada vez que tenga que leer o escribir en un contenedor cifrado, y menos si ésta es larga y compleja.

Esto significa que las claves usadas para cifrar y descifrar datos tienen que poder ser leídas de la memoria del equipo y, obviamente, una herramienta de terceros podría llegar a capturarlas.

Elcomsoft Forensic Disk Decryptor dice que puede obtener estas claves analizando un volcado de memoria realizado a través de una herramienta forense o adquirido mediante un ataque FireWire (herramientas de Forensics Wiki), incluso si el equipo está hibernado y no se han desmontado los volúmenes cifrados antes. Para ello utiliza algoritmos que localizan las áreas donde se encuentran las claves, analiza secuencias de bytes e incluso la estructura interna de los contenedores cifrados. Una vez obtenida la clave, puede descrifrar completamente el volúmen protegido o hacerlo en tiempo real montando una unidad en el sistema y permitiendo acceder a los datos de una forma más rápida y eficaz.

Nota importante: esto no es exactamente "cracking" de BitLocker, PGP y TrueCrypt. Como la mayoría de las herramientas forense, Passware Kit Forensic requiere el acceso a un archivo de imagen de memoria física del equipo analizado antes de poder extraer todas las claves de cifrado. O sea, si un analista forense o atacante tiene acceso físico a un sistema en funcionamiento, siempre fue posible aprovecharse de este hecho de otras maneras.

Como dije, esta no es la primera vez que aparecen estos comentarios y no será la última. Symantec y Microsoft ya se han pronunciado al respecto y han llegado a la conclusión de que "Esta afirmación es falsa. Cuando un sistema es cifrado con PGP (u otra herramienta), no es posible tener acceso a las claves de cifrado del archivo de hibernación cuando el sistema se encuentra en estado de hibernación o apagado. PGP cifra todo el disco, incluyendo cualquier archivo de hibernación. En una situación ideal, se podrían recuperar las claves cuando el sistema está encendido. Pero a estas alturas ya se tiene acceso al sistema. ¿Para qué molestarse en recuperar las claves si simplemente puede copiar los datos sin cifrar allí mismo?

Todos los sistemas de cifrado de volumen completo deben tener la clave de descifrado disponible en memoria. Y no, no se puede proteger por completo como algunas personas afirman. Es importante señalar que ninguna herramienta de cifrado de unidad está diseñado para proteger los datos de un disco cuando el equipo se inicia, y alguien con privilegios administrativos tiene acceso a la máquina. Lo importante es proteger la información de ataques off-line, cuando la computadora es robada por ejemplo.

En cambio un sistema desatendido, sí es vulnerable a las herramientas y ataques mencionados pero si está preocupado acerca de este tipo de ataque, simplemente hiberne o apague el sistema cuando no esté físicamente delante del mismo. Una vez más y como también Elcomsoft dice, "el ser humano es el eslabón más débil".

Fuente: Hackplayers, Symantec y Microsoft

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!