Encriptación (cifrado) de la unidad BitLocker™ y saneamiento del disco


¿Qué les sucede a los datos en el disco duro cuando un PC llega al final de su vida útil?. Esta es una pregunta muy importante para muchas empresas y es una preocupación creciente entre los expertos en seguridad y los ejecutivos corporativos. Los datos almacenados en los activos tales como PCs a menudo son considerablemente más valiosos para una empresa que el activo en sí, y la pérdida, robo o divulgación indeseada de los datos puede ser muy dañina.





Han surgido normas gubernamentales recientes que se enfocan en la protección y la privacidad de los datos. Esta legislación tiene un fuerte impacto en las políticas de desmantelamiento de activos para los PCs de una organización. Algunas de las normas más importantes de Estados Unidos incluyen las siguientes:

• Ley de responsabilidad y portabilidad de la información de salud

• Ley de Sarbanes-Oxley

• Ley de protección a la información personal y documentos electrónicos

• Ley Gramm-Leach-Bliley

• Proyecto de ley 1386 del Senado de California

• Norma 17ª de la SEC

Estas leyes son complejas y difíciles de interpretar, y existen serias consecuencias para la divulgación no regulada de los datos que cubre cada ley o política. Algunas de las normas exigen severas multas y el potencial para condenas de prisión para los ejecutivos infractores.

"Cartas, currículos, hojas de cálculo, número de teléfono y direcciones de correo electrónico se encontraron en almacenes de hardware que compró y analizó la firma legal Disklabs". 1

Métodos de saneamiento del disco

De manera que ¿cómo están las organizaciones abordando los problemas de desmantelar en forma más segura un activo de PC y, específicamente, con el saneamiento de los discos duros? Dos métodos comunes son la destrucción física y la sobreescritura de datos en el disco.

La destrucción física implica tratar el disco de manera que no se pueda leer fácilmente. Los métodos incluyen lavados con ácido, fuerte magnetización y hacer perforaciones a través del disco. Este método es muy seguro, pero el disco no se podrá reciclar o utilizar nuevamente, además de ser costoso.

Sobrescribir es cambiar algunos o todos los bits a algo diferente. Existen programas comerciales para sobrescribir los datos comerciales y liberar espacio con bits seudo-aleatorios. Sin embargo, se ha afirmado que un individuo puede recuperar datos “eliminados” al detectar los rastros magnéticos de los bits originales. Mientras más veces se sobrescriba en un disco, será más difícil recuperar los datos. El Departamento de Defensa recomienda sobrescribir un disco al menos siete veces. Por supuesto, esto consume mucho tiempo y, nuevamente, es costoso.

El arrendamiento es otro método que algunas compañías consideran para la administración de activos de PC. Utilizan el proceso de retorno de activos como una estrategia de disposición. Sin embargo, una organización aún puede ser responsable por los datos que residen en el equipo devuelto.

La encriptación de unidad BitLocker ofrece una alternativa

La encriptación de unidad BitLocker es una función de protección de datos disponible en Windows Vista Enterprise y Windows Vista Ultimate para PCs cliente y en Windows Server “Longhorn.”

BitLocker

BitLocker ayuda a evitar que un ladrón que inicie otro sistema operativo o ejecute una herramienta para piratear el software logre violar el archivo de Windows Vista y las protecciones al sistema o realice vistas fuera de línea de los archivos almacenados en la unidad protegida. Esto se logra al encriptar el todo el contenido del volumen protegido. Con BitLocker, todos los usuarios y archivos del sistema se encriptan, incluyendo los archivos de cambio e hibernación. Se requiere una clave para acceder al contenido encriptado del disco.

 

BitLocker utiliza el Estándar avanzado de encriptación, con longitudes clave de 128 bits y 256 bits, y su algoritmo para encriptación. También ofrece la opción de utilizar un algoritmo adicional, llamado Elephant, que aumenta los atributos de seguridad de tal manera que los datos en el disco estén encriptados de manera segura. Esta es una práctica recomendada.

Entonces, ¿qué tiene todo esto que ver con el saneamiento del disco?

Si BitLocker elimina las claves que se requieren para acceder a los datos encriptados en el disco, el texto cifrado que está todavía en el disco deberá ser inaccesible excepto para alguien con acceso a la clave de recuperación previamente depositada. BitLocker tiene varias opciones de depósito, incluyendo la opción de depositar una clave de recuperación el servicio de Active Directory.

BitLocker ofrece llamadas a Windows Management Instrumentation (WMI) así como una aplicación de línea de comando que puede usar un administrador para eliminar el material clave citado anteriormente, y así ayudar a sanear rápida y eficazmente el disco. Este método para saneamiento del disco requiere de acceso administrativo y se deberá abordar con precaución. A continuación se ofrece un ejemplo de los pasos que se requieren al usar la herramienta de línea de comando.

La herramienta de línea de comando se llama Manage-bde.

El comando que aparece abajo coloca a la máquina en un "modo de recuperación", en el cual el material requerido para acceder el disco se elimina del mismo pero las manchas de recuperación permanecen. En el siguiente reinicio, aparecerá la consola de recuperación BitLocker y se solicitará al usuario que proporcione la contraseña de recuperación. El volumen protegido no se puede acceder a menos que se suministre la clave de recuperación.

Manage-bde –forcerecovery C:

Este mismo comando se puede utilizar en un PC remoto al utilizar el parámetro ComputerName (o cn) parameter.

Manage-bde –ComputerName OldPayrollPC –forcerecovery C:

El comando Formato se ha modificado en Windows Vista para que esté consciente de BitLocker. Si se formatea un PC que está protegido con BitLocker, entonces el Formato destruye específicamente los datos clave, proporcionando un método de eliminación de datos mucho más seguro.

También existen métodos WMI que permiten funcionalidad similar para los desarrolladores. Por ejemplo:
Método DeleteKeyProtector de la Clase de volumen Win32_Encryptable.

El método DeleteKeyProtector elimina un protector clave dado para el volumen.

Para obtener más detalles sobre el uso de WMI, consulte la Documentación WMI de BitLocker.

Nota importante
Este documento no ofrece asesoría legal u orientación sobre cómo cubrir los requisitos legales sobre la protección de datos o la disposición adecuada de la información confidencial. De hecho, los lectores deben analizar sus propias necesidades únicas con el consejo legal antes de proceder con dichos esfuerzos de cumplimiento. Sin embargo, se alienta a los encargados de tomar decisiones a utilizar la información proporcionada en este documento para considerar e implementar las soluciones adecuadas que cumplan con los requisitos de aseguramiento de su empresa.

1 Fuente: Artículo de BBC News http://news.bbc.co.uk/1/hi/technology/4229550.stm

Fuente:
Por Russ Humphries, Gerente de Productos Senior, Seguridad de Windows Vista
http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/NewsOctubre06/st1006.mspx



Otras noticias de interés:

Vulnerabilidad XSS en Google Search Appliance
Google Search Appliance es un producto enfocado a las empresas que necesitan indexación y búsqueda ágil de grandes volúmenes de documentos, y está basado en la conocida interfase del buscador de Google. ...
Nuevas versiones de Java Runtime Environment corrigen diversas vulnerabilidades
Sun ha publicado nuevas versiones de Java Runtime Environment (JRE) que solventan múltiples vulnerabilidades...
Microsoft alerta: Nuevo gusano que roba contraseñas
Microsoft y varias compañías de seguridad han detectado un nuevo gusano diseñado para secuestrar servidores pobremente protegidos, utilizando para ello conexiones RDP desde PC ubicados en la misma red para conseguir credenciales de acceso. ...
Vulnerabilidad 0-day siendo utilizada para propagar malware
Hace pocas horas se comenzó a detectar el inicio de un nuevo ejemplo de malware que aprovecha lo que parecería ser una vulnerabilidad 0-day hasta ahora desconocida públicamente. ...
Vulnerabilidad en Safari
El navegador web del sistema operativo 'más seguro del mundo', MacOS X, tiene un fallo que puede ser aprovechado por los hackers para infiltrarse en este tipo de máquinas....
La Fundación Mozilla libera la primera alpha de Thunderbird 2.0
Nuevo sistema de extensiones más seguro y la substitución de la funcionalidad Labels por la de Tags conforman las novedades más llamativas del futuro Thunderbird 2.0 ....
Ataques BlackHat SEO
Todos los días, se realizan millones de búsquedas en Internet a través de los buscadores más populares con el propósito de encontrar información sobre diferentes temas, especialmente aquellos que tienen una gran trascendencia a nivel global com...
Problemas con Windows Vista o XP? Utiliza gratis Microsoft Fix It
Microsoft ofrece gratuitamente Fix It, una herramienta muy útil heredada de Windows 7, que permite solucionar problemas que aparezcan con el tiempo en equipos con sistemas operativos anteriores, véase Windows Vista o XP....
Smartphones amenazas de seguridad para empresas
Ya es conocido que los teléfonos celulares inteligentes (smartphones) incorporan cada vez más funcionalidades que le permiten al usuario poder contar con un amplio abanico de herramientas. Pero también existe el riesgo de que diferentes empleados ...
PuTTY 0.59 beta, Nueva versión del 24-01-2007
PuTTY, el cliente Telnet/SSH de código abierto, tiene nueva versión (0.59 beta) después de casi 2 años. Algunas novedades interesantes:...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bitlocker
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • disco
  • encriptacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • saneamiento
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • trade
  • troyanos
  • tware
  • ubuntu
  • underground
  • unidad
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra