433 meneos

Crakean la seguridad de BitLocker (cifrado del disco duro) de Windows 7

www.muywindows.com/2009/12/05/crakean-la-seguridad-de-bit... 
por monty_oso el 05-12-2009 19:58 UTC publicado el 06-12-2009 19:30 UTC

Passware Kit Forensic 9.5. Se trata de una utilidad destinada a cuerpos de seguridad e investigadores privados capaz de descifrar el contenido de un disco protegido con BitLocker en cuestíón de minutos (según sus desarrolladores). En otras palabras los archivos protegidos con cifrado (contraseña) con Windows 7 y anteriores no ofrecen ninguna seguridad. Además Microsoft distribuye su propia herramienta forense para equipos informáticos llamada Cofee ¿alguien dijo puertas traseras?

etiquetas: bitlocker, seguridad informática, windows, bug, cifrado, bitlocker
negativos: 12   usuarios: 201   anónimos: 232  
compartir:  twitter  facebook  tuenti  
38 comentarios tecnología, seguridad karma: 628
  1. #1   Bueno, yo dije portones principales :-D

    meneame.net/story/microsoft-niega-existencia-puertas-traseras-windows-
    50  votos: 4   link
    el 05-12-2009 19:59 UTC por pcmaster pcmaster
  2. #2   ¡¡Qué gran noticia!!

    ..ahora a esperar que encuentren la forma de 'liberar' el firmware de PS3.
    34  votos: 3   link
    el 05-12-2009 19:59 UTC por MenteTorcida MenteTorcida
  3. #3   #2 xD xD xD Eso, eso, las cosas por prioridades.
    32  votos: 2   link
    el 05-12-2009 20:28 UTC por diskover diskover
  4. #4   Una razón más para pasarse a Linux...
    -61  votos: 21   link
    el 05-12-2009 21:22 UTC por nekrodomus nekrodomus
  5. #5   Hum, ¿desde cuando Windows y seguridad son lo mismo?
    27  votos: 8   link
    el 05-12-2009 21:30 UTC por panzher panzher
  6. #6   #5 Desde que los de M$ se apropiaron del concepto de seguridad, lo corrompieron y lo ensuciaron para que cumpliera las características de su S.O.
    40  votos: 4   link
    el 06-12-2009 11:33 UTC por albandy albandy
  7. #7   Tal vez en lugar de usar el sistema de cifrado de Windows sea más conveniente utilizar este otro: www.securitybydefault.com/2009/02/truecrypt-cifrado-del-disco-de-siste
    52  votos: 4   link
    el 06-12-2009 12:22 UTC por Raiser Raiser
  8. #8   sistema de cifrado 128 bits AES en modo CBC combinado con un sistema difusor Elephant

    A día de hoy utilizar cifrados de 128 bits (por muy AES que sean) y sentirse seguro es ser un poquito ingénuo.

    Por ese mismo motivo en Francia es ilegal utilizar un cifrado superior a 128 bits, porque impide a las autoridades husmear en tus datos en caso de ser sospechoso de algo.
    154  votos: 17   link
    el 06-12-2009 12:27 UTC por NickEdwards NickEdwards
  10. #10   ¿He oído cifrado de datos? Truecrypt es tu amigo.

    www.truecrypt.org/
    115  votos: 12   link
    el 06-12-2009 14:24 UTC por xenNews xenNews
  11. #11   #4 Te lo dice un linuxero: ¿que tiene eso que ver? Que el cifrado que incorpora "de serie" Win7 sea una bazofia no me parece razón para cambiarse a GNU/Linux, habiendo miles de formas de hacerlo con soft gratuito o libre en la misma plataforma.
    205  votos: 22   link
    el 06-12-2009 14:51 UTC por shinjikari shinjikari
  12. #12   Leyendo la actualización en la noticia de ars technica:

    As pointed out in the comments, this isn't exactly a "crack" for BitLocker. Like most similar digital forensics analysis software, Passware Kit Forensic requires access to a physical memory image file of the target computer before it can extract all the encryption keys for a BitLocker disk. If a forensics analyst or thief has physical access to a running system, it is possible to take advantage of the fact that the contents are in the computer's memory. Other drive encryption programs have similar issues.

    Traducción:

    Según señalan los comentarios, esto no es exactamente un crack para BitLocker. Como la mayoría de software de análisis forense, Passware Kit Forensic necesita acceso físico a una imagen de la memoria del ordenador objetivo antes de poder extraer todas las claves de cifrado de un disco con BitLocker. Si un analista forense o ladrón tiene acceso físico a la máquina, es posible aprovecharse del hecho de que los contenidos estén en la memoria del ordenador. Otros programas de cifrado de disco tienen problemas similares.
    58  votos: 7   link
    el 06-12-2009 17:48 UTC por --86917-- --86917--
  13. #13   #11
    Windows es software privativo.
    Por lo tanto, nunca podrás saber que el software que ejecutes sobre él hará lo que quieras que haga.
    37  votos: 5   link
    el 06-12-2009 18:22 UTC por DZPM DZPM
  14. #14   Varia chapuzas, Mac OS X lleva con sus dmg encriptados desde el 2000 y nadie ha roto todavía su seguridad.
    21  votos: 2   link
    el 06-12-2009 18:57 UTC por el_cucaracha el_cucaracha
  16. #16   #10 y #13 Precisamente, el problema que tienen herramientas de cifrado más potentes (como Truecrypt) es correr sobre software privativo. ¿Qué ocurre con la clave cuando la mecanografías? Aunque se puede emplear un keyfile, para mejorar el tema del teclado y la posibilidad de un keylogger, no sería descartable que la herramienta forense esa fuera capaz de analizar en algún tipo de registro el archivo empleado.

    No es por ser paranoico, porque esta posibilidad también existirá en software abierto, pero creo que sería más difícil colarla. ¿No? Y de todas formas, la seguridad hace falta la justa. Porque al final, te dan unas hostias y tu les das la clave... xD
    14  votos: 2   link
    el 06-12-2009 19:42 UTC por woopi woopi
  17. #17   Lo siento, la noticia es erronea

    si leeis lo que ha puesto #12 el romper esa encriptación parte de que tiene una imagen de la memoria de la maquina cuando está encendida, lo que le pasa a TODOS los sistemas de cifrado de disco

    vamos, que a las mismas yo tambien puedo decir que la seguridad de linux es mala por que puedo entrar (con el requisito previo del post-it donde esté la contraseña

    amarillismo, vamos
    111  votos: 12   link
    el 06-12-2009 19:48 UTC por guillersk guillersk
  18. #18   C&P "En otras palabras los archivos protegidos con cifrado (contraseña) con Windows 7 y anteriores no ofrecen ninguna seguridad."

    Pues como cualquier sistema operativo y casi cualquier sistema de cifrado, y cualquier sistema de contraseñas... y cualquiera con conocimientos y software adecuado revienta lo que sea

    Esta noticia solo es tal porque windows es malo y mata gatitos

    C&P "¿alguien dijo puertas traseras?"

    No

    Saludos
    51  votos: 5   link
    el 06-12-2009 19:52 UTC por Wendigo Wendigo
  19. #19   Por cierto, aprovecho esta oportunidad para hacer una pregunta a los Gnu/Linuxeros.

    ¿Que posibilidad hay que haya un backdoor o código malicioso en los blobs del Kernel?
    17  votos: 1   link
    el 06-12-2009 19:53 UTC por NickEdwards NickEdwards
  20. #20   #19: lo que duraria un caramelo en la puerta de un colegio... millones de miradas lo delatarian
    46  votos: 5   link
    el 06-12-2009 20:16 UTC por Voyager Voyager
  21. #21   #19 Respuesta A: Bastante alta. Hace un tiempo hubo una polémica porque una empresa llenó el kernel de drivers propietarios.

    Respuesta B: Bastante baja: Son muchos los ojos a mirar por código malicioso, tan pronto alguien detecta código raro lo elimina.
    19  votos: 1   link
    el 06-12-2009 20:18 UTC por noop noop
  22. #22   #16 Hacer un keylogger para Linux, Windows, o el sistema operativo que quieras es muy fácil, ejemplos:

    En plan macgyver:
    www.instructables.com/id/Make-your-own-PS2-hardware-keylogger/

    En plan cómodo:
    www.dealextreme.com/details.dx/sku.26098~r.46688971
    www.dealextreme.com/details.dx/sku.26243~r.46688971
    23  votos: 1   link
    el 06-12-2009 20:24 UTC por noop noop
  23. #23   #22 Lo conocía. Por eso ponía el ejemplo. Con la característica que te decía, un keyfile añadido a la clave normal, el invento no vale para nada en truecrypt.
    11  votos: 0   link
    el 06-12-2009 20:29 UTC por woopi woopi
  24. #24   #23 Yo me refería a que con algo de ese tipo, no vale para nada uses software privativo o software libre... estás jodido de todas todas.

    (Bueno, al menos que uses superglue ;)
    9  votos: 0   link
    el 06-12-2009 20:33 UTC por noop noop
  25. #25   #24 Por el keylogger no estás jodido de ninguna forma si usas el keyfile. Lo que quedaría por ver es si durante la autopsia se puede determinar, además de la clave capturada, el archivo empleado en el cifrado...
    11  votos: 0   link
    el 06-12-2009 20:38 UTC por woopi woopi
  26. #26   #25 para este caso no te sirve, el keyfile esta en memoria porque lo necesita el sistema decifrado para poder acceder a disco. Si tienen una imagen de la memoria y la encriptacion no se hace con algun dispositivo externo se puede recuperar la clave.
    10  votos: 0   link
    el 06-12-2009 20:51 UTC por bewog bewog
  27. #27   #19 De meterlos no durarian demasiado...
    6  votos: 0   link
    el 06-12-2009 21:00 UTC por dreierfahrer dreierfahrer
  28. #28   Esto ya es repetitivo.
    Noticia ¡ Fallo de seguridad en Windows !!
    Comentarios .- con Mac/linux esto no pasa
    Joder ya os vale y os lo dice un maquero
    25  votos: 4   link
    el 06-12-2009 21:31 UTC por Puto_parao Puto_parao
  29. #29   #8 ¿cuanto se tarda en romper un cifrado de 128 bits?, no creo que lo hagas en un día, me atrevería a decir meses, peor aún con una herramienta de estas como para que digan "minutos".

    AES es un cifrado seguro que implementan muchos programas , entre ellos el truecrypt que menciona #10 solo que truecrypt lo usa con 256bits, no lo inventó Microsoft. De todas formas, aún siendo 128bits, no es tan fácil como lo pintan así que bien podrían explayarse y decir cómo logran tal prodigio.

    El comentario de #12 aclara el misterio: aprovechar que algo está descifrado en algún sitio, no rompe el cifrado. No hace mucho se habló de la posibilidad de "romper el cifrado" de truecrypt, el método consistía en que programas como p ej openoffice guardan una copia no cifrada del documento cada x tiempo por si se va la luz, etc. esa copia se podría recuperar del disco. Esto ocurre con todos los programas, no solo con windows, de ahí que mejor cifrar el disco completo.

    En la misma noticia hablan de PGP pero veo que aquí nadie lo menciona. Y lo de romper las contraseñas del word... eso es de traca, eso lo hace hasta un niño, no creo que nadie piense que ese es un método seguro de proteger nada porque no fue concebido para ello.

    Cofee es básicamente una herramienta de automatización. cofee ya fue filtrado y mas que seguro que estudiado a fondo y no veo noticias sobre puerta trasera alguna.

    #20 ¿como cuando lo de Debian y los números aleatorios que lo solucionaron tras... años ahí?
    26  votos: 2   link
    el 06-12-2009 21:59 UTC por kadmon kadmon
  30. #30   Si una cuarta parte de los que tanto critican Windows tuvieran un Linux en casa otro gallo nos cantaría. Y en todo caso, se puede ser del Madrid y no ser Anti-Barsa (y recíprocamente)
    7  votos: 0   link
    el 06-12-2009 22:00 UTC por --114816-- --114816--
  31. #31   Vamos, que el titular no se corresponde con la noticia, así que se deduce que el titular es amarillista, y quitado el titular amarillista... ¿Qué nos queda? Spam...

    Vaya mierda de noticia. ¿Cómo ha llegado a portada? Ah, claro, porque Microsoft mata gatitos...
    7  votos: 0   link
    el 06-12-2009 22:03 UTC por HipnoSapo HipnoSapo
  32. #32   #16 Precisamente, el problema que tienen herramientas de cifrado más potentes (como Truecrypt) es correr sobre software privativo.

    Truecrypt es software libre, y puede ser usado perfectamente en sistemas operativos también software libre como Linux. A mi de software privativo no me hables... xD

    ¿Qué ocurre con la clave cuando la mecanografías? Aunque se puede emplear un keyfile, para mejorar el tema del teclado y la posibilidad de un keylogger, no sería descartable que la herramienta forense esa fuera capaz de analizar en algún tipo de registro el archivo empleado.

    No sé exactamente a qué te refieres. La clave nunca va a disco, está siempre en memoria principal así que no hay evidencia en el disco duro jamás, por lo que ninguna herramienta forense que valga es capaz de recuperar información del disco. Eso sí, métodos de saltarse la potencia del cifrado hay muchos, a saber:

    1. Troyano, keylogger o malware en general que pueda registrar pulsaciones del teclado, capturas de pantalla e incluso vídeo en tiempo real.

    2. Analizar la frecuencia de teclados inalámbricos.

    3. Usar cámaras espías apuntando al teclado.

    4. Análisis del sonido de las pulsaciones del teclado.

    5. Incluso hay ataques teóricos que hablan de analizar los residuos eléctricos de las pulsaciones de teclado, por lo que usar un portátil desconectado de la línea al escribir las contraseñas sería más seguro.

    6. Seguro que me olvido de alguno :-P

    Y de todas formas, la seguridad hace falta la justa. Porque al final, te dan unas hostias y tu les das la clave... xD

    Bueno. Truecrypt incorpora algunos mecanismos de denegabilidad plausible, como los volúmenes ocultos. Si no convencen es que, una de dos, o los has usado mal, o tienes detrás a la NSA. Cosa que no suele pasar a cualquier hijo de vecino que use TC por probar, por privacidad, o por seguridad de empresa.

    #29 Cifrado completo del disco y no hay nada que analizar. Nada.
    11  votos: 0   link
    el 06-12-2009 23:04 UTC por xenNews xenNews
  33. #33   #32 Exactamente, con cifrado completo se solventarían la mayoría de los problemas. Digo la mayoría porque hablan de congelar la RAM con nitrógeno para que no se borre y después poder analizarla para recuperar las claves pero eso ya se encuentra en otro nivel.

    Lo de los residuos eléctricos del teclado ¿será como analizar los campos que genera un cable cuando por él pasa corriente?, seguramente habrás oído del programa que hace "cantar" Para Elisa a un CRT donde si pones una radio en AM se escucha el Para Elisa por la radiación que emite el monitor. Con los cables es parecido, se puede analizar esa radiación para saber qué datos pasan por ellos. Eso se puede hacer pero, una vez más, ya está en otro nivel que nos supera con creces.
    10  votos: 0   link
    el 06-12-2009 23:20 UTC por kadmon kadmon
  34. #34   #32 Exactamente, con cifrado completo se solventarían la mayoría de los problemas. Digo la mayoría porque hablan de congelar la RAM con nitrógeno para que no se borre y después poder analizarla para recuperar las claves pero eso ya se encuentra en otro nivel.

    Lo de los residuos eléctricos del teclado ¿será como analizar los campos que genera un cable cuando por él pasa corriente?, seguramente habrás oído del programa que hace "cantar" Para Elisa a un CRT donde si pones una radio en AM se escucha el Para Elisa por la radiación que emite el monitor. Con los cables es parecido, se puede analizar esa radiación para saber qué datos pasan por ellos. Eso se puede hacer pero, una vez más, ya está en otro nivel que nos supera con creces.

    P.D: con keyfile y keyloger creo que se refería a que un keyloger podría capturar la clave y enviarla al que te quiere atacar pero eso sería trabajar con un ordenador que ya está comprometido, algo diferente al análisis forense.
    10  votos: 0   link
    el 06-12-2009 23:24 UTC por kadmon kadmon
  35. #35   #34 Ya, yo hablo de vías de esquivar el cifrado. Generalmente el cifrado es muy robusto, así que es como darse de cabezazos contra la pared, por lo que siempre es más fácil comprometer el factor humano o el sistema.

    Obviamente contra análisis forense basta con tener una buena implementación de cifrado de disco completo y punto.

    congelar la RAM

    secure.wikimedia.org/wikipedia/en/wiki/Cold_boot_attack

    Algunas aproximaciones de cómo defenderte de estos ataques:

    www.blackhat.com/presentations/bh-usa-08/McGregor/BH_US_08_McGregor_Co

    Lo de los residuos eléctricos del teclado ¿será como analizar los campos que genera un cable cuando por él pasa corriente?

    edge.networkworld.com/graphics/2009/0713-data-hack.gif
    www.networkworld.com/news/2009/070909-electrical-data-theft.html?sourc

    No encuentro el paper de blackhat. Ahí te hablan de como funcionan ese y el ataque con láser para captar las vibraciones.
    11  votos: 0   link
    el 06-12-2009 23:54 UTC por xenNews xenNews
  36. #36   Relacionada meneame.net/story/casi-8-apuntes-sobre-noticia-bitlocker-seguridad
    punto a resaltar de la noticia relacionada: "El cifrado no está crackeado (ni roto), únicamente es una implantación de un ataque conocido (Febrero del 2008) y que ha afectado a muchas otras aplicaciones de cifrado bautizado como Princeton Attack. Este mismo ataque afecta a dm-crypt de Linux, TrueCrypt o FileVault, por nombrar unos cuantos."
    11  votos: 0   link
    el 07-12-2009 11:12 UTC por Sethi Sethi
  37. #37   #14 Seguramente ningún hacker forense que se precie tampoco lo ha usado todavía, salvo Kevin Mitnick (que nunca ha brillado con luz propia en ese campo), pero quedó fuera de escena hace demasiado tiempo, en mi opinion es un simple martir.
    La tia de Millenium no cuenta ;).
    6  votos: 0   link
    el 07-12-2009 12:49 UTC por --92089-- --92089--
  38. #38   #32 Claro. Me refería a que la clave es muy fácil de averiguar con cualquiera de los métodos que expones. En TC para mejorar eso se puede emplear un archivo clave a mayores (porque no se teclea) y así te aseguras frente a una posible cámara, el ruido del teclado (mecánico o electrónico), el keylogger, etc... Pero a cambio, tienes que llevar el keyfile o archivo clave en el propio disco duro (puede ser una foto de muchas, por ejemplo) o en un pen externo. Aquí, el SO puede jugarte una mala pasada si hace un log del archivo empleado.

    En lo de las tortas y el volumen oculto de truecrypt, si llegamos a ese extremo no tiene sentido. Te parten la cara y les das la primera clave. Y después continúan sacudiéndote hasta que les das la del volumen oculto... </pesimist mode> :-)

    Bueno. Es un escenario algo fantástico, claro...
    11  votos: 0   link
    el 08-12-2009 19:02 UTC por woopi woopi
comentarios cerrados

menéame