Seguros con Windows Vista

Muchas veces encomendamos a los sistemas informáticos la responsabilidad de contener la información que nos permite salvaguardar nuestra calidad de vida. Por fortuna, gracias a tecnologías como TPM y BitLocker nuestra privacidad, quizás uno de los bienes más preciados, está asegurada

Seguros con Windows Vista

11 mayo 2008

En un mundo en el que cada vez es más importante la seguridad de los datos y en el que los robos de información están a la orden del día, es necesario contar con sistemas capaces de protegernos. Por fortuna, existen tecnologías capaces de minimizar el impacto de un suceso de estas características, como BitLocker de Microsoft, incluida en Windows Vista Ultimate y Enterprise, así como en el inminente Windows Server 2008.
Esta innovación facilita el cifrado tanto de nuestros datos como del propio sistema operativo, por lo que, en conjunción con un chip TPM (Trusted Platform Module) y una BIOS compatible con TCG (Trusted Computing Group), añade un plus de seguridad digno de ser tenido en cuenta. Grosso modo, la tecnología TPM comprueba que nuestro sistema operativo se está ejecutando en el ordenador en el que se instaló originalmente y también que ninguno de los componentes de inicio ha sido modificado. De esta forma, podemos evitar los ataques, por ejemplo, de los virus de sectores de inicio y off-line.
Tecnología al servicio de la seguridad
Al arrancar un ordenador, el chip TPM recaba y guarda toda la información de configuración (fabricante del procesador, datos de la placa base, firmware, BIOS, MBR, Windows PE, configuraciones de inicio, etc.) como un conjunto de valores almacenado en los Registros de Configuración de la Plataforma (PCR).
Después, crea un identificador del sistema y lo utiliza para verificar la integridad de esos componentes, lo que le permite averiguar si han sido modificados por un virus de sector de inicio o rootkit, por ejemplo. Si no han sido manipulados y el modo TPM de autenticación configurado es satisfactorio, se libera la clave raíz de almacenamiento (Storage Root Key o SRK), guardada en el chip para descifrar la clave maestra del volumen (Volume Master Key o VMK). Ésta, a su vez, descifra la clave de cifrado del volumen (Full Volume Encription Key o FVEK), que permite interpretar los datos de nuestro volumen e iniciar el arranque del sistema operativo. Si alguno de los componentes del arranque ha sido modificado, el chip TPM no liberará la SRK para descifrar la VMK, y BitLocker no transcribirá el volumen y lo pondrá en modo de recuperación, por lo que tendremos que introducir la clave o llave de recuperación para acceder a nuestro volumen.
Las claves en detalle
La clave raíz de almacenamiento está constituida por un par de claves RSA de 2.048 bits, se aloja en el chip TPM y sirve para cifrar y descifrar la VMK. Además, está «sellada» por los valores de configuración del ordenador (PCR) y sólo se le puede «quitar el sello» si los parámetros actuales coinciden con los guardados. Por su parte, la contraseña propietaria del chip TPM tiene un tamaño de 160 bits y se guarda en el mismo. Es necesario conocerla para obtener permiso de administración.
La clave de recuperación se genera al configurar BitLocker y se utiliza para desbloquear un equipo con el disco en modo de recuperación. Puede emplearse de dos formas: como una contraseña numérica de 48 dígitos dividida en 6 grupos de 8 números, y como una clave guardada en una memoria Flash en un formato que BitLocker puede leer. Además, se puede guardar en una carpeta, en una o más memorias USB y también se puede imprimir.
Por otra parte, la contraseña PIN debe ser introducida cada vez que si inicia el equipo y cuando se despierta del modo hibernación (se almacena como un hash de 256 bits), mientras que la clave de inicio se utiliza para solicitar al usuario la introducción de una contraseña durante el proceso de arranque. Esta última puede ser empleada para habilitar BitLocker en un ordenador sin chip TPM.
La clave maestra del volumen es necesaria para cifrar la FVEK. Está definida por 256 bits con cifrado RSA o AES y solamente existe una por disco. Por su parte, la FVEK sirve para cifrar el volumen del sistema operativo y es una clave de 128 o 256 bits AES. La clave en claro es de 256 bits y se emplea para cifrar la VMK cuando BitLocker está deshabilitado. No está cifrada. Un último apunte: la VMK, la FVEK y la clave en claro se alojan en los metadatos del volumen cifrado.
Aunando fuerzas
La tecnología BitLocker implementada por Microsoft en algunas ediciones de Windows Vista cifra los volúmenes con AES-128 o 256 y emplea un difusor (un método utilizado para dificultar ataques contra el sistema de cifrado). Por su parte, TPM ofrece ventajas ante otros métodos de seguridad debido a que contiene su propio firmware y conjunto de instrucciones, lo que lo protege de ataques por software. Para derribarlo, necesitamos acceso físico a la máquina, las herramientas adecuadas y amplios conocimientos acerca de la arquitectura TPM. Si además contemplamos que solamente se pueden atacar máquinas de una en una, es obvio que el ataque gran esfuerzo para conseguir su objetivo.
La combinación de TPM y BitLocker incrementa la protección frente a ataques off-line debido a que, si arrancamos la máquina con otro sistema operativo, no podremos acceder a las claves de descifrado del volumen con Windows Vista. En cualquier caso, la seguridad de BitLocker puede verse comprometida si cualquier software malicioso obtiene acceso al volumen del sistema operativo. Todos los modos TPM previenen el ataque de software concebido para modificar los componentes de inicio, pero son vulnerables a algunas agresiones hardware. Por esta razón, el modo más seguro de configurar BitLocker es TPM más clave de inicio o PIN. La modalidad que sólo emplea una clave evita los ataques hardware, pero es vulnerable a las pérdidas de llave. Habría que poner una clave en la BIOS para evitar que pueda ser manipulada y configurarla eludiendo ataques por fuerza bruta o de diccionario al introducir el PIN de arranque.
BitLocker cifra todo el volumen del sistema operativo, incluyendo el archivo de paginación, el fichero de hibernación y los volcados de memoria. Además, cuando el sistema operativo lee datos del volumen protegido, descifra previamente los sectores leídos en vez de manipular toda la unidad y luego los cifra antes de escribirlos para que, de esta forma, no exista en el volumen ningún dato sin encriptar.
Los modos de BitLocker
Es importante saber que esta implementación siempre cifra el volumen que contiene el sistema operativo, sin embargo, lo que cambia es el modo en el que el usuario es autenticado antes de proceder al descifrado. En el modo sólo TPM la verificación de la integridad del ordenador se hace transparente al usuario, pues todo este proceso lo hace automáticamente el chip TPM. Sin embargo, si la verificación no es correcta el sistema operativo se pondrá en modo recuperación y solicitará la clave de recuperación.
En la modalidad contraseña de inicio (PIN), además de la autenticación para la verificación de la integridad que hace TPM, se nos requerirá una clave, que puede ser un PIN numérico introducido manualmente o una llave USB con la clave de inicio guardada.
Si utilizamos el modo clave de unidad Flash tendremos que introducir una llave USB con la clave de inicio cada vez que arranquemos. Esta variante es la única que podremos configurar en nuestro ordenador si no disponemos de un chip TPM y una BIOS compatible con TCG. Para habilitar BitLocker en estas condiciones es necesario usar el editor de políticas de grupo y habilitar la interfaz avanzada.
Si usas BitLocker...
Necesitas un ordenador que incorpore una BIOS compatible con TCG, además, debe ser capaz de leer unidades USB flash durante el inicio del sistema y tener un chip TPM 1.2. No olvides que tu sistema operativo debe ser Windows Vista Enterprise, Ultimate o Windows Server 2008 y que tu disco duro ha de tener dos particiones NTFS. BitLocker no funciona con controladores TPM que no hayan sido desarrollados por Microsoft.
Busca el equilibrio
La movilidad resulta un bien muy apreciado en una sociedad tan global y dependiente como es la de los países desarrollados, de hecho, nos brinda la oportunidad de permanecer siempre «conectados». Sin embargo, también se ha convertido en el talón de Aquiles de las empresas en el ámbito de la seguridad y, por tanto, en un importante quebradero de cabeza para los administradores de sistemas, que ven cómo este problema escapa al control que puede ejercerse sobre una red convencional. Por esta razón, los fabricantes de software y hardware están desarrollando sistemas ideados para minimizar este impacto contraproducente.
Algunas de las soluciones que como administrador de sistemas me interesan especialmente son los lectores de huellas dactilares, la funcionalidad Remote Wipe en Active Sync y lo nuevo de Alcatel-Lucent, OmniAccess 3500 Nonstop Laptop Guardian, que asegura tanto el hardware como el software de nuestro portátil a través de 3G. Así que habrá que buscar el equilibrio entre las ventajas que aporta la movilidad y los riesgos que conlleva.