Encriptación (cifrado) de la unidad BitLocker™ y saneamiento del disco


¿Qué les sucede a los datos en el disco duro cuando un PC llega al final de su vida útil?. Esta es una pregunta muy importante para muchas empresas y es una preocupación creciente entre los expertos en seguridad y los ejecutivos corporativos. Los datos almacenados en los activos tales como PCs a menudo son considerablemente más valiosos para una empresa que el activo en sí, y la pérdida, robo o divulgación indeseada de los datos puede ser muy dañina.





Han surgido normas gubernamentales recientes que se enfocan en la protección y la privacidad de los datos. Esta legislación tiene un fuerte impacto en las políticas de desmantelamiento de activos para los PCs de una organización. Algunas de las normas más importantes de Estados Unidos incluyen las siguientes:

• Ley de responsabilidad y portabilidad de la información de salud

• Ley de Sarbanes-Oxley

• Ley de protección a la información personal y documentos electrónicos

• Ley Gramm-Leach-Bliley

• Proyecto de ley 1386 del Senado de California

• Norma 17ª de la SEC

Estas leyes son complejas y difíciles de interpretar, y existen serias consecuencias para la divulgación no regulada de los datos que cubre cada ley o política. Algunas de las normas exigen severas multas y el potencial para condenas de prisión para los ejecutivos infractores.

"Cartas, currículos, hojas de cálculo, número de teléfono y direcciones de correo electrónico se encontraron en almacenes de hardware que compró y analizó la firma legal Disklabs". 1

Métodos de saneamiento del disco

De manera que ¿cómo están las organizaciones abordando los problemas de desmantelar en forma más segura un activo de PC y, específicamente, con el saneamiento de los discos duros? Dos métodos comunes son la destrucción física y la sobreescritura de datos en el disco.

La destrucción física implica tratar el disco de manera que no se pueda leer fácilmente. Los métodos incluyen lavados con ácido, fuerte magnetización y hacer perforaciones a través del disco. Este método es muy seguro, pero el disco no se podrá reciclar o utilizar nuevamente, además de ser costoso.

Sobrescribir es cambiar algunos o todos los bits a algo diferente. Existen programas comerciales para sobrescribir los datos comerciales y liberar espacio con bits seudo-aleatorios. Sin embargo, se ha afirmado que un individuo puede recuperar datos “eliminados” al detectar los rastros magnéticos de los bits originales. Mientras más veces se sobrescriba en un disco, será más difícil recuperar los datos. El Departamento de Defensa recomienda sobrescribir un disco al menos siete veces. Por supuesto, esto consume mucho tiempo y, nuevamente, es costoso.

El arrendamiento es otro método que algunas compañías consideran para la administración de activos de PC. Utilizan el proceso de retorno de activos como una estrategia de disposición. Sin embargo, una organización aún puede ser responsable por los datos que residen en el equipo devuelto.

La encriptación de unidad BitLocker ofrece una alternativa

La encriptación de unidad BitLocker es una función de protección de datos disponible en Windows Vista Enterprise y Windows Vista Ultimate para PCs cliente y en Windows Server “Longhorn.”

BitLocker

BitLocker ayuda a evitar que un ladrón que inicie otro sistema operativo o ejecute una herramienta para piratear el software logre violar el archivo de Windows Vista y las protecciones al sistema o realice vistas fuera de línea de los archivos almacenados en la unidad protegida. Esto se logra al encriptar el todo el contenido del volumen protegido. Con BitLocker, todos los usuarios y archivos del sistema se encriptan, incluyendo los archivos de cambio e hibernación. Se requiere una clave para acceder al contenido encriptado del disco.

 

BitLocker utiliza el Estándar avanzado de encriptación, con longitudes clave de 128 bits y 256 bits, y su algoritmo para encriptación. También ofrece la opción de utilizar un algoritmo adicional, llamado Elephant, que aumenta los atributos de seguridad de tal manera que los datos en el disco estén encriptados de manera segura. Esta es una práctica recomendada.

Entonces, ¿qué tiene todo esto que ver con el saneamiento del disco?

Si BitLocker elimina las claves que se requieren para acceder a los datos encriptados en el disco, el texto cifrado que está todavía en el disco deberá ser inaccesible excepto para alguien con acceso a la clave de recuperación previamente depositada. BitLocker tiene varias opciones de depósito, incluyendo la opción de depositar una clave de recuperación el servicio de Active Directory.

BitLocker ofrece llamadas a Windows Management Instrumentation (WMI) así como una aplicación de línea de comando que puede usar un administrador para eliminar el material clave citado anteriormente, y así ayudar a sanear rápida y eficazmente el disco. Este método para saneamiento del disco requiere de acceso administrativo y se deberá abordar con precaución. A continuación se ofrece un ejemplo de los pasos que se requieren al usar la herramienta de línea de comando.

La herramienta de línea de comando se llama Manage-bde.

El comando que aparece abajo coloca a la máquina en un "modo de recuperación", en el cual el material requerido para acceder el disco se elimina del mismo pero las manchas de recuperación permanecen. En el siguiente reinicio, aparecerá la consola de recuperación BitLocker y se solicitará al usuario que proporcione la contraseña de recuperación. El volumen protegido no se puede acceder a menos que se suministre la clave de recuperación.

Manage-bde –forcerecovery C:

Este mismo comando se puede utilizar en un PC remoto al utilizar el parámetro ComputerName (o cn) parameter.

Manage-bde –ComputerName OldPayrollPC –forcerecovery C:

El comando Formato se ha modificado en Windows Vista para que esté consciente de BitLocker. Si se formatea un PC que está protegido con BitLocker, entonces el Formato destruye específicamente los datos clave, proporcionando un método de eliminación de datos mucho más seguro.

También existen métodos WMI que permiten funcionalidad similar para los desarrolladores. Por ejemplo:
Método DeleteKeyProtector de la Clase de volumen Win32_Encryptable.

El método DeleteKeyProtector elimina un protector clave dado para el volumen.

Para obtener más detalles sobre el uso de WMI, consulte la Documentación WMI de BitLocker.

Nota importante
Este documento no ofrece asesoría legal u orientación sobre cómo cubrir los requisitos legales sobre la protección de datos o la disposición adecuada de la información confidencial. De hecho, los lectores deben analizar sus propias necesidades únicas con el consejo legal antes de proceder con dichos esfuerzos de cumplimiento. Sin embargo, se alienta a los encargados de tomar decisiones a utilizar la información proporcionada en este documento para considerar e implementar las soluciones adecuadas que cumplan con los requisitos de aseguramiento de su empresa.

1 Fuente: Artículo de BBC News http://news.bbc.co.uk/1/hi/technology/4229550.stm

Fuente:
Por Russ Humphries, Gerente de Productos Senior, Seguridad de Windows Vista
http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/NewsOctubre06/st1006.mspx



Otras noticias de interés:

Las redes del U.S. Army, fácilmente hackeables, según una consultora
Se suponía que las computadoras militares eran completamente inaccesibles. Suposición incorrecta. Miles de computadoras del Ejército de EE.UU. con información sensible están accesibles desde Internet. Técnicas militares codificadas, misivas ent...
Dos boletines de seguridad de Microsoft en diciembre (MS05-054 - MS05-055)
Como cada segundo martes, Microsoft ha publicado sus boletines de seguridad. Este mes, para finalizar el año se han publicado dos nuevos boletines (MS05-054 y MS05-055). El primero de ellos referente a Internet Explorer y el segunda al kernel de ...
Intento de revival de los virus de macro
spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90. ...
Fue lanzado Kanotix Linux 2006-01 RC1 Live-CD
Es una versión GNU/Linux que deriva de las conocidas Knoppix y Debian, pero intenta optimizar un par de cosas realmente importantes: la cantidad de información (programas, datos) que existe en el CD y la frescura de los programas incluidos (todos...
Política de privacidad de Google, no es bien vista
Desde el jueves pasado, Google ya inicio el funcionamiento de una nueva política de privacidad, con la que a juicio de esta corporación, intenta hacer que el usuario navegue por Internet con una mayor facilidad, lo cual se simplifica en que mantend...
TabNabbing, una nueva y peligrosa forma de phishing
La mayoría estará familiarizado con el phishing, una técnica de ingeniería social que busca obtener datos sensibles (personales, tarjetas de crédito, etc) de su víctima, convenciéndola de ingresarlos en un formulario aparentemente benigno. Los...
Nueva vulnerabilidad en QuickTime y el protocolo RTSP
Apple QuickTime contiene una vulnerabilidad del tipo desbordamiento de búfer, la cuál puede permitir a un atacante remoto provocar una denegación de servicio, con posibilidad de ejecución arbitraria de código. ...
Nuevo gusano para servidores web con PHP
Este nuevo espécimen puede infectar cualquier sitio web PHP que contenga ciertos errores de programación. Al igual que Santy, también utiliza motores de búsqueda para localizar webs potencialmente vulnerables, en esta ocasión Google Brasil y Y...
Nuevos estándares para la evaluación de riesgos
La automatización se ha apoderado de diversos aspectos dentro de las empresas modernas; esta tendencia no solo apunta hacia las áreas operativas, sino que además se filtra a los departamentos administrativos y organizativos, impulsando la aparici...
Cinco nuevos boletines de seguridad de Microsoft
Microsoft ha publicado cinco actualizaciones para sus productos. La primera de ellas, según se informa en el Microsoft Security Bulletin MS06-013, es la esperada actualización para el navegador Internet Explorer y que corrige graves vulnerabilida...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • bitlocker
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • disco
  • encriptacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • saneamiento
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • trade
  • troyanos
  • tware
  • ubuntu
  • underground
  • unidad
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra