Cómo abrir una unidad cerrada con BitLocker ~ ProfesorPonce (Home)

Cómo abrir una unidad cerrada con BitLocker
Artículo dirigido a personal de Soporte Técnico Nivel IV (Especialistas)

En este artículo aprenderemos las diferentes posibilidades a las que se enfrenta el personal de soporte técnico cuando necesita desbloquear una unidad encriptada con BitLocker, la solución de seguridad criptográfica diseñada por Microsoft.

Para lograr nuestro objetivo claramente, necesitamos sentar algunas bases mínimas de conocimiento que usted puede requerir para entender cuáles son las limitadas posibilidades de éxito que tendrá cuando tenga que desbloquear una unidad BitLocker.

Cuestiones de Diseño de BitLocker

Al momento de desarrollar esta solución Microsoft, en lugar de correr el riesgo de tener problemas de compatibilidad con aplicaciones de cifrado desarrolladas por terceros, optó por un desarrollo "duro" desde cero para integrarlo a sus sistemas operativos Windows. Bitlocker funciona tanto en las versiones hogareñas como en las Professional, Ultimate, Enterprise y Server de Windows. Como resultado de ese diseño y compatibilidad, es popular entre miles de personas y organizaciones de todos los tamaños.

BitLocker utiliza potentes algoritmos AES para generar una clave de 128 o 256 bits para el volumen codificado. Hoy por hoy (esta nota se escribe en diciembre del 2023), y con el inicio de la computación cuántica, el cifrado AES sigue siendo seguro y tan rápido como para ser uno de los sistemas criptográficos más utilizados en todos los niveles. Definitivamente no podrá crackear un disco bloqueado con BitLocker.

Pero a diferencia de otras formas de cifrado de disco completo (FDE), BitLocker utiliza una única clave para proteger todo el volumen. Esa clave evita que partes no autorizadas accedan a datos confidenciales. Cuando se implementa en una computadora, la clave también protege la integridad de los archivos del sistema de Windows, impidiendo ciertos vectores de ataque. Además, BitLocker se puede implementar en medios extraíbles para proteger los datos portátiles.

Como puede apreciar de esto, BitLocker es hasta ahora una joya indiscutible de la seguridad.

Cómo se implementa BitLocker en los equipos

1) Modo de operación transparente: las claves de BitLocker, los procesos de descifrado y cifrado se basan en el Módulo de plataforma segura (TPM) integrado a nivel de hardware en la computadora. Las implementaciones de TPM ofrecen la forma más sólida de protección, ya que se requiere que la computadora funcione para desbloquear el medio de almacenamiento. Este método es transparente para el usuario final porque el proceso no requiere interacción de su parte.

La recuperación depende en parte del usuario, que debe guardar la clave de modo seguro y depende en parte de la computadora, que debe funcionar lo suficiente para comenzar a correr los programas BIOS y encender lo suficiente como para activar el TPM.

2) Modo de autenticación de usuario: el usuario debe ingresar una frase de contraseña o PIN para comenzar el proceso de descifrado. Windows no arrancará correctamente sin la contraseña o el PIN. Aunque no está diseñado para ser portátil, este modo de BitLocker depende menos del hardware de la computadora en comparación con los métodos TPM de hardware.

La recuperación depende exclusivamente del usuario, que debe guardar la clave de modo seguro.

3) Modo de llave USB: el usuario debe insertar un dispositivo de almacenamiento extraíble que contenga una clave de inicio. Este modo no es una implementación de tarjeta inteligente sino un archivo que se puede almacenar en cualquier unidad flash USB. La recuperación depende en parte del pendrive que debe funcionar lo suficiente para permitir leer la clave de inicio. Si el pendrive falla (sobre todo ante la pérdida de su vida útil), el técnico deberá intentar por todos los medios recuperarlo para poder destrabar el equipo.

Es posible combinar varios métodos, como implementar el modo TPM, que también requiere que el usuario ingrese un PIN.

Cualquiera sea el método implementado, el sistema genera una clave de recuperación de Windows que desbloquea la unidad cifrada con BitLocker en caso de falla de la computadora, pérdida de la clave de descifrado o contraseña o PIN olvidado. Por este motivo el personal técnico debe instruir al usuario a guardar la clave de recuperación de modo seguro.

Debido a que el método de cifrado AES es tan sólido y no sufre ninguna vulnerabilidad conocida hasta ahora, la clave de recuperación suele ser la única opción para desbloquear un volumen de BitLocker sin la clave original.

La clave de recuperación de BitLocker es una contraseña numérica de 48 dígitos única que puede usarse para desbloquear el sistema si BitLocker no consigue confirmar con seguridad de alguna otra forma que el intento de acceso a la unidad del sistema esté autorizado.

Encontrar la clave de recuperación de BitLocker

Al momento de activarlo, BitLocker probablemente se aseguró de que se realizara una copia de seguridad segura de una clave de recuperación ANTES de activar la protección.

Existen varios lugares en los que puede estar la clave de recuperación, en función de la opción que se haya tomado al activar BitLocker. Probablemente su cliente NO LO RECORDARÁ, pero ahí están:

1) En la cuenta de Microsoft del usuario que activó la encriptación: Abra un explorador web en otro dispositivo. Vaya a https://account.microsoft.com/devices/recoverykey para encontrar la clave de recuperación.

2) En una copia impresa: Es posible que se haya impreso la clave de recuperación cuando BitLocker se activó. Instruya a su cliente para que busque la clave en el lugar donde guarda documentos importantes relacionados con el equipo, el trabajo o la seguridad de sus datos.

3) En una unidad flash USB: Conecte la unidad flash USB al equipo bloqueado y siga las instrucciones. Si se guardó la clave como un archivo de texto en la unidad flash, use un equipo diferente para leer el archivo de texto.

4) En una cuenta profesional o educativa de su cliente: Si el dispositivo hubiera iniciado sesión en una organización con una cuenta de correo electrónico profesional o educativa, es posible que la clave de recuperación se almacene en la cuenta de Azure AD (Active Directory) de esa organización. Es posible que pueda acceder a ella directamente o que tenga que ponerse en contacto con el soporte técnico de TI de esa organización para obtener acceso a su clave de recuperación.

Muchos clientes puede ser que durante el trabajo en sus empresas o el cursado de estudios desde casa puedan haber recibido una recomendación para iniciar sesión en una cuenta profesional o educativa desde su equipo personal o de la empresa. En esos casos es posible que su trabajo o centro educativo tenga una copia de la clave de recuperación de BitLocker.

5) En custodia del administrador del sistema: Si el dispositivo está conectado a un dominio (normalmente un dispositivo profesional o educativo), su cliente puede pedirle la clave de recuperación a un administrador del sistema.

En un caso ideal, el profesional técnico puede hace que el cliente obtenga por alguno de estos medios su clave de encriptación de BitLocker.

Buscar la "clave clara" o "clear key"

Pero los técnicos sabemos que muchas veces el mundo ideal no existe. Una opción diferente a las clásicas mencionadas, es usar la "clave clara" o "clear key" de BitLocker.

Una vez que BitLocker ha sido activado, la seguridad que ofrece es prácticamente de un 100%, pero su actividad puede ser desactivada o suspendida cuando lo desee el propietario de la información.

El proceso conocido como Decrypt o Deshabilitar elimina por completo la protección de BitLocker y descifra completamente la unidad, pudiendo leer los datos abiertos sin necesidad de usar la clave de BitLocker. Si su cliente desactivó previamente al incidente BitLocker, su trabajo será simple. Podrá llevar el disco a otro equipo y leerlo sin dificultad.

El proceso Suspend o Suspensión de BitLocker mantiene los datos cifrados pero cifra la clave maestra de volumen de BitLocker con una clave clara.

Una clave clara de BitLocker es una clave criptográfica almacenada sin cifrar ni proteger en los metadatos de la unidad de disco. Al almacenar esta clave sin cifrar, la opción Suspender permite realizar cambios o actualizaciones en la computadora sin el tiempo y el costo de descifrar y volver a cifrar toda la unidad. Después de realizar los cambios y cuando el administrador BitLocker habilita nuevamente al software, se volverá a sellar la clave de cifrado con los nuevos valores de los componentes medidos que cambiaron como parte de la actualización, se cambia la clave maestra de volumen, se actualizan los protectores para que coincidan y se borra la clave clara de los metadatos.

Algunos fabricantes de equipos originales envían BitLocker preconfigurado y en ese caso pueden haber dejado a BitLocker suspendido o desactivado (y con la clear key en los metadatos). A veces los usuarios optan por no cambiar esa configuración. Los administradores también pueden desactivar BitLocker. En esos casos, el volumen BitLocker está cifrado, pero contiene una clave de descifrado en metadatos, conocida como clave clara.

Si su cliente Suspendió BitLocker antes del incidente, su dificultad como técnico será la de leer la imagen del disco buscando para rasrear entre los metadastos la "clave clara" para poder destrabar BitLocker. Para encontrar esa clave, deberá usar algún tipo de software forense para leer los datos y encontrar la clear key.

En estos casos (búsqueda de la clear key) para mejorar sus posibilidades de éxito se recomienda:

Paso 1: escanee el medio de almacenamiento y diagnostique fallas potenciales de hardware como como sectores defectuosos o cabezales que no funcionan correctamente.

Paso 2: aborde los problemas identificados para intentar solucionarlos. En ese caso deberá usar alguna herramienta especializadas para reparar los componentes defectuosos y restaurar temporalmente la funcionalidad de la unidad para leer los datos.

Paso 3: conserve el contenido en otros medios. Use software para la creación de imágenes del disco problemático para crear una copia bit a bit del dispositivo. Esto se hace como medida preventiva porque algunos procesos de recuperación de datos puede expandir el daño y potenciar la pérdida de información. Antes de iniciar la lectura de un disco recuperado, haga un backuo de bit a bit de sus datos.

Paso 4: analice el volumen de la unidad. Determine si el sistema de archivos del volumen es NTFS o FAT32 con firmware BIOS o UEFI y trate de identificar el modo de cifrado BitLocker para saber si existe alguna posibilidad de recuperar la clave.

Paso 5: obtenga la clave de recuperación si es posible. Utilice herramientas forenses que permitan leer sector por sector los datos del disco intentando adquirir la clave de recuperación o extraer la clave clara de los metadatos del volumen cifrado.

Paso 6: desbloquee el medio. Si tiene éxito, podrá decodificar los datos almacenados y preservar el contenido de la unidad descifrada con otra imagen forense. Si ha podido desbloquear una unidad NO APAGUE EL EQUIPO hasta extraer los datos a otra unidad de almacenamiento.

Una vez desbloqueado, un volumen BitLocker se puede conservar por completo, a diferencia de otras formas de cifrado de disco completo. Esa preservación significa que la unidad aún se puede escanear en busca de datos eliminados porque la copias de la Tabla de Alojamiento de archivos están preservadas y se pueden buscar tipos de archivos específicos y sectores concretos del disco.

El cifrado de la unidad BitLocker no impide las operaciones de recuperación normales, por lo que los técnicos no deben descartar inmediatamente los medios con sectores defectuoso o la recuperación de datos eliminados accidentalmente. Siempre que la contraseña de recuperación, la clave de recuperación u otro autenticador estén disponibles, las unidades cifradas tienen las mismas perspectivas de recuperación que los dispositivos no cifrados.