Cómo abrir una unidad cerrada con BitLocker

No hay comentarios

 

Cómo abrir una unidad cerrada con BitLocker
Artículo dirigido a personal de Soporte Técnico Nivel IV (Especialistas)


En este artículo aprenderemos las diferentes posibilidades a las que se enfrenta el personal de soporte  técnico cuando necesita desbloquear una unidad encriptada con BitLocker, la solución de seguridad  criptográfica diseñada por Microsoft.

Para lograr nuestro objetivo claramente, necesitamos sentar algunas bases mínimas de conocimiento que usted puede requerir para entender cuáles son las limitadas posibilidades de éxito que tendrá cuando tenga que desbloquear una unidad BitLocker.


Cuestiones de Diseño de BitLocker

Al momento de desarrollar esta solución Microsoft, en lugar de correr el riesgo de tener problemas de compatibilidad con aplicaciones de cifrado desarrolladas por terceros, optó por un desarrollo "duro" desde cero para integrarlo a sus sistemas operativos Windows. Bitlocker funciona tanto en las versiones hogareñas como en las Professional, Ultimate, Enterprise y Server de Windows. Como resultado de ese diseño y compatibilidad, es popular entre miles de personas y organizaciones de todos los tamaños.

BitLocker utiliza potentes algoritmos AES para generar una clave de 128 o 256 bits para el volumen codificado. Hoy por hoy (esta nota se escribe en diciembre del 2023), y con el inicio de la computación cuántica, el cifrado AES sigue siendo seguro y tan rápido como para ser uno de los sistemas criptográficos más utilizados en todos los niveles. Definitivamente no podrá crackear un disco bloqueado con BitLocker.

Pero a diferencia de otras formas de cifrado de disco completo (FDE), BitLocker utiliza una única clave para proteger todo el volumen. Esa clave evita que partes no autorizadas accedan a datos confidenciales. Cuando se implementa en una computadora, la clave también protege la integridad de los archivos del sistema de Windows, impidiendo ciertos vectores de ataque. Además, BitLocker se puede implementar en medios extraíbles para proteger los datos portátiles.

Como puede apreciar de esto, BitLocker es hasta ahora una joya indiscutible de la seguridad.


Cómo se implementa BitLocker en los equipos

1) Modo de operación transparente: las claves de BitLocker, los procesos de descifrado y cifrado se basan en el Módulo de plataforma segura (TPM) integrado a nivel de hardware en la computadora. Las implementaciones de TPM ofrecen la forma más sólida de protección, ya que se requiere que la computadora funcione para desbloquear el medio de almacenamiento. Este método es transparente para el usuario final porque el proceso no requiere interacción de su parte.


La recuperación depende en parte del usuario, que debe guardar la clave de modo seguro y depende en parte de la computadora, que debe funcionar lo suficiente para comenzar a correr los programas BIOS y encender lo suficiente como para activar el TPM.         

2) Modo de autenticación de usuario: el usuario debe ingresar una frase de contraseña o PIN para comenzar el proceso de descifrado. Windows no arrancará correctamente sin la contraseña o el PIN. Aunque no está diseñado para ser portátil, este modo de BitLocker depende menos del hardware de la computadora en comparación con los métodos TPM de hardware.


La recuperación depende exclusivamente del usuario, que debe guardar la clave de modo seguro.     

3) Modo de llave USB: el usuario debe insertar un dispositivo de almacenamiento extraíble que contenga una clave de inicio. Este modo no es una implementación de tarjeta inteligente sino un archivo que se puede almacenar en cualquier unidad flash USB. La recuperación depende en parte del pendrive que debe funcionar lo suficiente para permitir leer la clave de inicio. Si el pendrive falla (sobre todo ante la pérdida de su vida útil), el técnico deberá intentar por todos los medios recuperarlo para poder destrabar el equipo.

Es posible combinar varios métodos, como implementar el modo TPM, que también requiere que el usuario ingrese un PIN.

Cualquiera sea el método implementado, el sistema genera una clave de recuperación de Windows que desbloquea la unidad cifrada con BitLocker en caso de falla de la computadora, pérdida de la clave de descifrado o contraseña o PIN olvidado. Por este motivo el personal técnico debe instruir al usuario a guardar la clave de recuperación de modo seguro.     

Debido a que el método de cifrado AES es tan sólido y no sufre ninguna vulnerabilidad conocida hasta ahora, la clave de recuperación suele ser la única opción para desbloquear un volumen de BitLocker sin la clave original.

La clave de recuperación de BitLocker es una contraseña numérica de 48 dígitos única que puede usarse para desbloquear el sistema si BitLocker no consigue confirmar con seguridad de alguna otra forma que el intento de acceso a la unidad del sistema esté autorizado.


Encontrar la clave de recuperación de BitLocker

Al momento de activarlo, BitLocker probablemente se aseguró de que se realizara una copia de seguridad segura de una clave de recuperación ANTES de activar la protección.

Existen varios lugares en los que puede estar la clave de recuperación, en función de la opción que se haya tomado al activar BitLocker. Probablemente su cliente NO LO RECORDARÁ, pero ahí están:

1) En la cuenta de Microsoft del usuario que activó la encriptación: Abra un explorador web en otro dispositivo. Vaya a https://account.microsoft.com/devices/recoverykey para encontrar la clave de recuperación.

2) En una copia impresa: Es posible que se haya impreso la clave de recuperación cuando BitLocker se activó. Instruya a su cliente para que busque la clave en el lugar donde guarda documentos importantes relacionados con el equipo, el trabajo o la seguridad de sus datos.

3) En una unidad flash USB: Conecte la unidad flash USB al equipo bloqueado y siga las instrucciones. Si se guardó la clave como un archivo de texto en la unidad flash, use un equipo diferente para leer el archivo de texto.

4) En una cuenta profesional o educativa de su cliente: Si el dispositivo hubiera iniciado sesión en una organización con una cuenta de correo electrónico profesional o educativa, es posible que la clave de recuperación se almacene en la cuenta de Azure AD (Active Directory) de esa organización. Es posible que pueda acceder a ella directamente o que tenga que ponerse en contacto con el soporte técnico de TI de esa organización para obtener acceso a su clave de recuperación.

Muchos clientes puede ser que durante el trabajo en sus empresas o el cursado de estudios desde casa puedan haber recibido una recomendación para iniciar sesión en una cuenta profesional o educativa desde su equipo personal o de la empresa. En esos casos es posible que su trabajo o centro educativo tenga una copia de la clave de recuperación de BitLocker.

5) En custodia del administrador del sistema: Si el dispositivo está conectado a un dominio (normalmente un dispositivo profesional o educativo), su cliente puede pedirle la clave de recuperación a un administrador del sistema.

En un caso ideal, el profesional técnico puede hace que el cliente obtenga por alguno de estos medios su clave de encriptación de BitLocker.


Buscar la "clave clara" o "clear key"

Pero los técnicos sabemos que muchas veces el mundo ideal no existe. Una opción diferente a las clásicas mencionadas, es usar la "clave clara" o "clear key" de BitLocker.

Una vez que BitLocker ha sido activado, la seguridad que ofrece es prácticamente de un 100%, pero su actividad puede ser desactivada o suspendida cuando lo desee el propietario de la información.

El proceso conocido como Decrypt o Deshabilitar elimina por completo la protección de BitLocker y descifra completamente la unidad, pudiendo leer los datos abiertos sin necesidad de usar la clave de BitLocker. Si su cliente desactivó previamente al incidente BitLocker, su trabajo será simple. Podrá llevar el disco a otro equipo y leerlo sin dificultad.

El proceso Suspend o Suspensión de BitLocker mantiene los datos cifrados pero cifra la clave maestra de volumen de BitLocker con una clave clara.

Una clave clara de BitLocker es una clave criptográfica almacenada sin cifrar ni proteger en los metadatos de la unidad de disco. Al almacenar esta clave sin cifrar, la opción Suspender permite realizar cambios o actualizaciones en la computadora sin el tiempo y el costo de descifrar y volver a cifrar toda la unidad. Después de realizar los cambios y cuando el administrador BitLocker habilita nuevamente al software, se volverá a sellar la clave de cifrado con los nuevos valores de los componentes medidos que cambiaron como parte de la actualización, se cambia la clave maestra de volumen, se actualizan los protectores para que coincidan y se borra la clave clara de los metadatos.

Algunos fabricantes de equipos originales envían BitLocker preconfigurado y en ese caso pueden haber dejado a BitLocker suspendido o desactivado (y con la clear key en los metadatos). A veces los usuarios optan por no cambiar esa configuración. Los administradores también pueden desactivar BitLocker. En esos casos, el volumen BitLocker está cifrado, pero contiene una clave de descifrado en metadatos, conocida como clave clara.

Si su cliente Suspendió BitLocker antes del incidente, su dificultad como técnico será la de leer la imagen del disco buscando para rasrear entre los metadastos la "clave clara" para poder destrabar BitLocker. Para encontrar esa clave, deberá usar algún tipo de software forense para leer los datos y encontrar la clear key.

En estos casos (búsqueda de la clear key) para mejorar sus posibilidades de éxito se recomienda:

Paso 1: escanee el medio de almacenamiento y diagnostique fallas potenciales de hardware como como sectores defectuosos o cabezales que no funcionan correctamente.

Paso 2: aborde los problemas identificados para intentar solucionarlos. En ese caso deberá usar alguna herramienta especializadas para reparar los componentes defectuosos y restaurar temporalmente la  funcionalidad de la unidad para leer los datos.

Paso 3: conserve el contenido en otros medios. Use software para la creación de imágenes del disco problemático para crear una copia bit a bit del dispositivo. Esto se hace como medida preventiva porque algunos procesos de recuperación de datos puede expandir el daño y potenciar la pérdida de información. Antes de iniciar la lectura de un disco recuperado, haga un backuo de bit a bit de sus datos.

Paso 4: analice el volumen de la unidad. Determine si el sistema de archivos del volumen es NTFS o FAT32 con firmware BIOS o UEFI y trate de identificar el modo de cifrado BitLocker para saber si existe alguna posibilidad de recuperar la clave.

Paso 5: obtenga la clave de recuperación si es posible. Utilice herramientas forenses que permitan leer sector por sector los datos del disco intentando adquirir la clave de recuperación o extraer la clave clara de los metadatos del volumen cifrado.

Paso 6: desbloquee el medio. Si tiene éxito, podrá decodificar los datos almacenados y preservar el contenido de la unidad descifrada con otra imagen forense. Si ha podido desbloquear una unidad NO APAGUE EL EQUIPO hasta extraer los datos a otra unidad de almacenamiento.

Una vez desbloqueado, un volumen BitLocker se puede conservar por completo, a diferencia de otras formas de cifrado de disco completo. Esa preservación significa que la unidad aún se puede escanear en busca de datos eliminados porque la copias de la Tabla de Alojamiento de archivos están preservadas y se pueden buscar tipos de archivos específicos y sectores concretos del disco.

El cifrado de la unidad BitLocker no impide las operaciones de recuperación normales, por lo que los técnicos no deben descartar inmediatamente los medios con sectores defectuoso o la recuperación de datos eliminados accidentalmente. Siempre que la contraseña de recuperación, la clave de recuperación u otro autenticador estén disponibles, las unidades cifradas tienen las mismas perspectivas de recuperación que los dispositivos no cifrados.

Descarga gratis el libro "Horizontes Educativos"

Articulos relacionados:


Por Ricardo Ponce

 

 
Links de Interés:

 
 
Servicio de consultas técnicas gratuito

Servicio Técnico en Sistemas, Redes y CiberSeguridad
Márketing en Internet y Redes Sociales

Su Aula Virtual en Internet
Su Taller en Internet
Su empresa en Internet


Share:
Read More

Mantenga segura su red

No hay comentarios



Mantenga segura su red

Mantener segura una red LAN (o Red de Área Local) es fundamental por diversas razones, ya que la seguridad de la red tiene un impacto directo en la integridad, confidencialidad y disponibilidad de la información.

De una manera u otra, todas las redes LAN almacenan y procesan datos sensibles, como información personal de empleados y clientes, datos financieros, registros médicos, propiedad intelectual, entre otros. Mantener la seguridad de la red ayuda a prevenir el acceso no autorizado y el robo de esta información.

Una red segura evita que personas no autorizadas accedan a sistemas, archivos y recursos. Esto es crucial para proteger contra intrusiones maliciosas que podrían comprometer la integridad de la red y sus datos.

La seguridad de la red contribuye a prevenir ataques que podrían interrumpir los servicios y operaciones normales. Esto incluye ataques de denegación de servicio (DDoS) que pueden sobrecargar la red y hacerla inaccesible.

Si bien países subdesarrollados como Argentina se pueden considerar "flojo de papeles" en cuanto a normativas jurídicas y controles, muchas organizaciones multinacionales están sujetas a regulaciones globales propias de la misma empresa y exigen a sus filiales seguir una estricta normativa de seguridad. 

Por otra parte, existen sucursales que en algunos países deben cumplimentar leyes rigurosas que exigen medidas de seguridad específicas para asegurar la protección, la privacidad y la seguridad de la información. Y los administradores de seguridad informática estamos obligados a seguir esos altos estándares de seguridad.

Una red segura debe proteger a la organización y sus miembros evitando la alteración no autorizada de archivos, configuraciones y software. También debe proteger contra la interceptación y el acceso no  autorizado a datos que se transmiten a través de la red.

Un entorno de red seguro implementa medidas para prevenir la propagación de malware, virus y otras amenazas. 

La seguridad de la red también tiene implicaciones en la reputación de la organización. Incidentes de seguridad pueden dañar la confianza de los clientes y socios comerciales. Contribuye a la continuidad del negocio al evitar interrupciones significativas y pérdida de datos críticos.

La recuperación de incidentes de seguridad puede resultar costosa en términos de tiempo, recursos y dinero.

La inversión en seguridad proactiva puede ayudar a reducir estos costos.

En resumen, la seguridad de una red LAN es esencial para proteger los activos de información, garantizar la continuidad de las operaciones y cumplir con requisitos normativos, contribuyendo al éxito y la integridad de una organización.


Dispositivo Firewall

El firewall es un componente de seguridad fundamental en redes de computadoras que se utiliza para controlar el tráfico de red, permitiendo o bloqueando la comunicación basada en un conjunto de reglas predefinidas. El objetivo principal de un firewall es proteger una red privada o un sistema informático de accesos no autorizados y amenazas externas.

Hay dos tipos principales de firewalls:

  • El firewall de Hardware que es un dispositivo físico que se coloca entre la red interna y la conexión a  Internet. El fin de este componentes es proporciona una barrera física entre la red interna y el mundo exterior. Ejemplos de firewall hardware: Cisco ASA, Fortinet Fortigate, Juniper, NetGear, etc.
  • El firewall de Software es un programa o aplicación que se ejecuta en un servidor o dispositivo específico. Se instala en sistemas operativos y controla el tráfico de red a través de reglas configuradas. Puede ser parte de un sistema operativo (como el Firewall de Windows) o una aplicación de seguridad independiente que a veces puede venir incorporada al antivirus.

Las funciones clave de un firewall incluyen examinar los paquetes de datos que entran o salen de la red y decide permitir o bloquear según las reglas establecidas.

También trabaja como un intermediario entre los usuarios y los servicios en línea (Proxy), ocultando la dirección IP interna y mejorando la privacidad y seguridad.

Monitorea el estado de las conexiones activas y permite o bloquea el tráfico en función del estado de la conexión.

Define reglas para autorizar o negar el acceso a determinados servicios o recursos de red.

Modifica las direcciones IP de los paquetes de datos para ocultar la topología de la red interna (NAT).

El firewall es una parte esencial de la estrategia de seguridad de red y se utiliza para proteger contra amenazas tales como ataques de hackers, malware, y otras actividades maliciosas. Configurar adecuadamente un firewall es crucial para el administrador porque garantiza la seguridad y el funcionamiento eficiente de una red.

 

Click en la figura para agrandar


Dispositivos 
IDS (Sistema de Detección de Intrusiones)
IPS (Sistema de Prevención de Intrusiones)

Estos términos hacen referencia a dos tecnologías de seguridad relacionadas pero que trabajan de modo diferente.

La función principal de un IDS (Sistema de Detección de Intrusiones) es detectar actividades anómalas o maliciosas en la red. Para eso, un IDS monitorea el tráfico y lo que sucede en la red (eventos) buscando  patrones de conductas o comportamientos de la información que puedan indicar intrusiones o amenazas de seguridad. Se comporta de un modo parecido a la tecnología heurística (análisis de comportamiento de los antivirus), pero aplicada al comportamiento de la red.

Los sistemas IPS o Sistema de Prevención de Intrusiones, tienen la capacidad de tomar medidas preventivas inmediatas al momento de detectar un patrones de conductas o comportamiento sospechoso dentro de la red.

Puede bloquear o filtrar el tráfico que se identifica como malicioso, con el objetivo de prevenir activamente ataques antes de que afecten la red.

Un IDS notifica al administrador o equipo de seguridad cuando detecta actividades sospechosas, pero no interviene directamente en la red. La responsabilidad recae en el personal de seguridad para investigar y responder a las alertas generadas.

Un IPS, además de generar alertas, tiene la capacidad de bloquear o modificar el tráfico  automáticamente. Puede tomar medidas correctivas según las reglas predefinidas para mitigar amenazas en tiempo real.

Los IDS se centran en la monitorización y análisis del tráfico para identificar posibles amenazas, pero no tienen la capacidad de modificar o bloquear el tráfico de manera automática.

El enfoque de los IPS va más allá de la detección al permitir acciones activas para prevenir o contener amenazas, como el bloqueo de direcciones IP y la modificación de reglas del firewall, entre otros.

Los IDS pueden generar falsos positivos (es decir alertas incorrectas de intrusiones) y falsos negativos (no detectar intrusiones reales).

Los IPS, al tener la capacidad de bloquear o modificar el tráfico, pueden generar el riesgo de causar interrupciones no deseadas del tráfico legítimo de la red, sobre todo si el administrador lo configura de manera demasiado agresiva. También puede experimentar falsos positivos y negativos.

Baste decir que si usted es un buen administrador de seguridad su enfoque debe ser muy agresivo y siempre debe mantener control humano sobre las novedades reportadas por estos dispositivos.

Los IDS se implementan en modo de escucha pasiva, porque monitorea el tráfico y alertan ante cualquier anormalidad, pero no lo modifica. Los IPS se implementan en modo activo, ya que ante cualquier eventualidad tienen la capacidad de tomar medidas correctivas o preventivas en tiempo real.

Mientras que un IDS se enfoca en detectar y alertar sobre intrusiones, un IPS va un paso más allá al tomar medidas activas para prevenir o mitigar esas intrusiones. Ambos desempeñan un papel crucial en la seguridad de la red, y a menudo se implementan de manera complementaria para proporcionar una defensa integral contra amenazas.


Implemente la seguridad de su red

Un administrador de seguridad debe implementar diversas estructuras y medidas para mitigar riesgos. Aquí tiene un resumen de algunas de las principales estructuras de seguridad para una red LAN:

  • Programe adecuadamente su Firewall, IDS y/o IPS configurando adecuadamente las reglas para permitir o bloquear conexiones basadas en direcciones IP, puertos, protocolos, aplicaciones, sitios web y flujo de información.
  • Divida la red en segmentos para limitar la propagación de amenazas. Programe sus switchs usando VLANs (Virtual LANs) para aislar grupos de dispositivos y contener los posibles ataques.
  • Implemente políticas duras de autenticación con contraseñas robustas. Configurar niveles de autorización adecuados para usuarios y dispositivos. Desestime las órdenes de su supervisor administrativo si esas órdenes bajan el nivel de seguridad. El responsable de la seguridad es usted.
  • Aplique cifrado para proteger la confidencialidad de la información. Utilice VPNs (Redes Privadas Virtuales) para asegurar la comunicación entre ubicaciones remotas. Si no sabe cómo hacerlo, capacítese ¿que está esperando?
  • Mantenga sus sistemas operativos, aplicaciones y dispositivos actualizados con los últimos parches de seguridad. No sea flojo. Si lo es, automatice el proceso de actualización.
  • Establezca un sistema de registro y monitoreo estricto de eventos para identificar posibles amenazas.
  • Recuerde que las principales amenazas a la seguridad son internas. No lo olvide. No sea perezoso y analice regularmente los registros de eventos en busca de patrones anómalos. Para eso le pagan.
  • Establezca políticas claras de uso de red y recursos. Comuníquelas a los usuarios y hágaselas firmar para asegurarse legalmente de responsabilidades. Si su jefe inmediato superior quiere relajar la seguridad, pídale un memo por escrito y en la bitácora deje aclarado que se opone a la medida. Respáldese legalmente y saque copias de todas las órdenes escritas que impacten negativamente en la seguridad. Resguarde esas copias en un medio seguro y personal.
  • Supervise entrenamientos periódicos de concientización sobre seguridad. Use boletines internos y memos con comunicados sobre normas de seguridad, novedades y actualizaciones de políticas y medidas.
  • Sea un excelente administrador de seguridad y recorra todas las oficinas de la empresa y verifique personalmente los comportamientos de los empleados de la organización. Estudie cómo se usan los pendrives, como se incorporan los smartphones a la red, determine la integración de whatsapp web y aplicaciones sincronizadas a su red, verifique si la conexión de equipos externos a la red física proviene de empleados o agentes externos a la empresa. Este es el punto flojo de los admin de seguridad y el más crítico de todos.
  • Implemente medidas de control de acceso físico y lógico duras. Restringir el acceso a áreas críticas de la red y a recursos sensibles no es una posibilidad, es una obligación.
  • Haga copias de seguridad periódicas de todo los datos críticos de la organización. Establezca un plan de recuperación ante desastres para minimizar el tiempo de inactividad en caso de incidentes.
  • Utilice filtros y bloquee contenido malicioso y sitios web no deseados, sin importar las quejas. No le pagan para ser simpático con el personal.
  • Monitoree y audite el tráfico web para identificar posibles amenazas. Si identifica alguna anomalía investíguela y ante la sospecha, genere una regla en el Firewall, IDS o IPS.


Estas estructuras de seguridad deben ser parte de una estrategia integral que evolucione con las amenazas cambiantes y las necesidades específicas de la organización.

La colaboración con otros equipos y la evaluación continua de la postura de seguridad son su responsabilidad y la clave para mantener una red LAN segura.



Videos relacionados:

 

Web relacionada:


Por Ricardo Ponce

 

 
Links de Interés:

 
 
Servicio de consultas técnicas gratuito

Servicio Técnico en Sistemas, Redes y CiberSeguridad
Márketing en Internet y Redes Sociales

Su Aula Virtual en Internet
Su Taller en Internet
Su empresa en Internet
Share:
Read More

Buscar

Popular

  • Entrenamiento en Beeps del POST
      SonidosPost v2.20220707 Programa freeware   Programa Freeware para entrenamiento en sonidos POST ·        Este progra...
  • Kit de Emergencia Educativa para el Profesor Virtual
    Kit Educativo Básico para Docencia Virtual Debido al tema de la necesidad de muchos docentes de implementar rápidamente sistemas de a...
  • Contacto
    Usa el contacto EFICIENTEMENTE .  Si tienes una consulta, por favor, SE ESPECIFICO . Si te comunicas por un curso, ACLARAME DE QUE CUR...

Vistas de página en total