Mitos y Leyendas: Cifrado EFS en Windows


Además de Bitlocker para Vista, Windows XP y 2000 ofrecen una seguridad integrada, aceptable y sencilla con respecto al cifrado de la información. Se llama EFS (Encrypted File System), y es una forma nativa de Microsoft que hace el trabajo del usuario mucho más cómodo. De hecho, resulta absolutamente transparente para él. Aunque existen herramientas públicas que, aparentemente, afirman poder romper el cifrado EFS, puede suponer una importante barrera para atacantes no expertos.





Cómo funciona

EFS es un sistema de cifrado transparente (que sólo puede usarse bajo NTFS y no en XP Home) para Windows. Desde las propiedades de archivos o carpetas, opciones avanzadas, es posible acceder a un menú donde se le puede indicar al sistema que el directorio o unidad será empleado para almacenar archivos cifrados (con lo que todo lo que se almacene en él se cifrará) o se puede indicar también el cifrado de un archivo, cosa poco recomendable. También es posible utilizar la herramienta de línea de comando cipher.exe con el mismo efecto.

Una vez marcada una unidad o directorio como cifrado, todo lo que se almacene en él quedará cifrado (incluso para el administrador del sistema), pero no lo que ya hubiese dentro. El usuario no tendrá que preocuparse de nada más. Cada vez que inicie sesión, los datos estarán ahí para poder ser manipulados, pero una vez cerrada la sesión o si otro usuario diferente se presenta en el sistema (incluso con otro sistema operativo leyendo el disco duro) los datos aparecerán inaccesibles. En el explorer los archivos y carpetas cifrados se colorearán de verde.

Es posible añadir la opción de "cifrar" y "descifrar" en el menú contextual añadiendo en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

una clave DWORD con valor 1 y nombre EncryptionContextMenu

EFS se basa en una mezcla de criptografía simétrica y asimétrica. Crea certificados digitales para el usuario, que sirven para cifrar y descifrar en base a claves públicas y privadas. Estos se almacenan físicamente en tres sitios distintos del sistema.

C:\documents and settings\<nombreusuario>\application data\microsoft\crypto\
C:\documents and settings\<nombreusuario>\application data\microsoft\protect\
C:\documents and settings\<nombreusuario>\application data\microsoft\systemcertificates\

Con esta clave privada, y para agilizar el proceso, cifra a su vez una contraseña simétrica. En realidad EFS utiliza una contraseña única generada automáticamente para cada fichero cifrado, pero el usuario no lo percibe porque su par de claves pública y privada están trabajando por él. Las contraseñas simétricas automáticas generadas se llaman FEK (File Encryption key), se genera una cuando se cifra un fichero y se almacena físicamente con él. Esta FEK es a su vez cifrada con la clave pública del usuario. Las claves públicas y privadas del usuario se generan de forma transparente para él la primera vez que cifra un archivo. Los certificados son accesibles desde certmgr.msc.

Precauciones

En cualquier caso, antes de utilizar EFS, conviene tener claro que por defecto Windows 2000 utiliza el algoritmo DESx de clave de 56 bits para cifrar la información. Este algoritmo resulta, a estas alturas, inseguro, por lo que no se recomienda. En Windows XP a partir del Service Pack 1, 2003, 2008 y Vista, se utiliza AES de 256 bits por defecto, estándar bastante seguro. Ya no es necesario activar la directiva "Codificación de sistema: use algoritmos compatibles FIPS para codificación, algoritmos hash y firma" en las opciones de seguridad.

Resulta muy conveniente exportar y realizar una copia de seguridad de estos certificados si se utilizan para cifrar archivos. Estos certificados están unidos al SID del usuario, de forma que si este usuario se borra o el sistema se corrompe, los datos se perderán. No importa si se crea un nuevo usuario con igual nombre... si el
certificado (que va con su SID) no es el mismo, estos no podrán descifrar la FEK de cada archivo y los datos no podrán ser recuperados. Además a partir de Windows XP, no existe la figura del "agente de recuperación de datos" a menos que se le indique. Si se crea, este usuario podría recuperar la información de otros usuarios con su certificado.

En cualquier caso, la mejor opción, es exportar y realizar una copia de seguridad de los certificados (clave privada incluida) y guardarlos en un lugar seguro. Con estos certificados, aunque el sistema o el usuario se corrompa, siempre se podrán importar como "agentes de recuperación de datos" en otro Windows y desde ahí se podrán descifrar los archivos perdidos..

Hay que tener en cuenta que las carpetas o archivos de sistema no podrán ser cifradas bajo ninguna circunstancia.

Puntos débiles

EFS es un sistema al que no se le conocen grandes vulnerabilidades. En entornos no profesionales que requieran de una seguridad media-alta, es un sistema cómodo y útil. El claro punto débil es que depende totalmente de la clave del usuario. El usuario se presenta en Windows de forma normal, y con esto tiene acceso a sus certificados (las claves públicas y privadas) para hacer uso de EFS, o sea, descifrar la FEK con la que se almacena el archivo. Por tanto el eslabón más débil es precisamente esa contraseña habitual de Windows con la que iniciamos la sesión. De nada sirve cifrar archivos si la contraseña queda accesible por defecto en el sistema por culpa del LM. Como dijimos, la SAM (Security Account Manager) almacena dos cifrados por contraseña, LM y NTLM. LM es débil e
inseguro por diseño, y la protección que ofrece es virtualmente inútil. LM no aprovecha bien los caracteres de las contraseñas y además comete otra serie de fallos importantes. En Vista y 2008 viene desactivado por defecto.

EFS se ha calificado en ocasiones de inseguro, cuando en realidad no lo es. Usa estándares y no se le han encontrado vulnerabilidades graves en su implementación. Su leyenda viene por depender de la contraseña del usuario que puede llegar a estar almacenada de forma débil. Si el usuario lo tiene en cuenta y usa EFS de forma responsable, esto es, utilizando una contraseña de usuario de más de 15 caracteres o deshabilitando el hash LM en el sistema, la confidencialidad de sus datos puede llegar a ser bastante alta.

Para los más expertos o entornos profesionales, el programa libre y gratuito TrueCrypt es la solución.

Más información:

18/04/2008 Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)
http://www.hispasec.com/unaaldia/3464

TrueCrypt
http://truecrypt.org

Fuente:
Por Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Dictadores, enemigos de las Redes Sociales
Un estudio de la consultora Top Position demuestra la nula o escasa presencia que tienen en ellas. El dictador sirio, Bashar al-Assad, encabeza la lista en Facebook, mientras que Paul Kagame, de Ruanda, lidera en Twitter....
Microsoft publicará 6 boletines de seguridad
Microsoft ha hecho el aviso previo de los parches que serán publicados el próximo martes 12 de junio. Las actualizaciones de seguridad este mes, constarán de seis boletines, 4 de ellos considerados críticos. ...
Explotan fallo parcheado en Windows Media Player
Investigadores de Trend Micro advierten que un fallo recientemente parcheado en Windows Media Player se está utilizando para lanzar malware....
El ciberespionaje corporativo crecerá significativamente este año 2008
La práctica del ciberespionaje, ya habitual en el ámbito gubernamental, se está extendiendo también en la empresa privada a escala internacional, según afirma un reciente informe del Instituto SANS, dedicado a la seguridad de las TI, que asevera...
NUEVO FALLO EN MOZILLA Y NETSCAPE
Mozilla y Netscape 6.1 tienen una vulnerabilidad que permite a un atacante remoto acceder, en modalidad de lectura, a los archivos presentes en el disco duro del usuario. Se trata de un problema que recuerda, en gran medida, a uno descubierto meses a...
Un nuevo protocolo aumenta la velocidad de las redes wireless
No envía datos, sino una descripción de los datos, sacando más partido al ancho de banda, Un nuevo protocolo de comunicación wireless ha sido ideado por investigadores del MIT y de BAE Systems para el ejército norteamericano. ...
Microsoft publicará diez boletines de seguridad
Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 14 de mayo. Un total de diez boletines que cubrirán 33 vulnerabilidades, dos de ellos tendrán un carácter crítico y los ocho restantes est...
El gusano Stration hace crecer los niveles de spam
Expertos de iDefense han hecho comentarios esta semana, sobre detalles del gusano Stration que han pasado inadvertidos hasta ahora para la mayoría. Según estos, el Stration, posee la habilidad de enviar millones de mensajes con publicidad no de...
El dilema SP2 de Windows XP
Tom's Hardware publica hoy un interesante artículo sobre el complicado dilema que deberán afrontar a partir de esta misma semana miles de administradores y usuarios de Windows XP: instalar -o no- SP2....
Un proyecto europeo combate la obesidad del software obsoleto. Se llama Leg2Net y busca una evolución del software más eficiente
Informáticos de la Universidad de Leicester, en el Reino Unido, y de la empresa ATX Software están trabajando en el creciente problema de la evolución y la degradación del software. Ellos lo llaman software “obeso”, usando un símil médico. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • efs
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • leyendas
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mitos
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra