"Security & Pure Forensics"

.

jueves, 3 de diciembre de 2009

Jugando con Bitlocker


O como Bitlocker juega conmigo.

Desde hace unos días tengo en mi puesto de trabajo a Windows 7 Enterprise y he decidido mirar por encima a Bitlocker  y sus posibilidades en el entorno forense (que por cierto son bien pocas).

BitLocker es una característica de encriptación completa de disco, incluido en las versiones Ultimate y Enterprise de Windows Vista y Windows 7 así como la de Windows Server 2008. Está diseñado para proteger los datos al proporcionar encriptación para volúmenes enteros. Por defecto se utiliza el algoritmo de encriptación AES en modo CBC con una clave de 128 bits. La última versión de BitLocker, incluido en Windows 7 y Windows Server 2008 R2, añade la habilidad de encriptar las unidades extraíbles.

Tan solo decir que si tenemos que analizar un disco con Bitlocker la tarea es virtualmente imposible y nos delegará a utilizar trucos o chapucillas. Todas las consideraciones son evidentemente con acceso físico al PC

Supongamos que disponemos de una partición de 100MG con cifrado Bitlocker y que deseamos obtener toda la información con objeto de descifrar su contenido para posteriormente analizarlo. Para ello se encuentra desde el panel de control la utilidad 'Bitlocker' que nos informara del estado de forma gráfica




Otra forma de hacerlo es utilizando el comando "manage-bde.exe". Utilizando el parámetro status:

c:\>manage-bde -status

Observaremos que la información que muestra nos indica que el volumen lógico "E" esta cifrado con BitLocker con una clave y una contraseña numérica. Esto nos da pistas de que debe haber un fichero con una contraseña en alguna parte.




NOTA: Se puede configurar Bitlocker para que la contraseña este en un 'pendrive' o tarjeta inteligente.

Si tuvieramos acceso al fichero de contraseña veriamos ocho grupos con seis números en cada grupo, tales como:

"047729-051392-045397-093071-568942-581757-717277-419606".


EMPEZAMOS

Una vez llegado a este punto el analista tiene que decidir cómo obtener este volumen para un posterior análisis.  Hay varias opciones (igual de malas) disponibles en este momento.

A) El analista (con privilegios de administrador) puede utilizar alguna herramienta en modo 'live'  y hacer una imagen de la unidad lógica siempre y cuando el sistema este funcionando ya que al utilizar la API de Windows los datos estarán descifrados. Si se realiza con el equipo apagado con un CD LIVE  el resultado final será una imagen completa del disco duro en su estado encriptado, y como ya os podéis imaginar hay que tirar de crakeadores y descifrados, tarea casi imposible.

B) Otra solución es desactivar BitLocker. Esta operación no descifra los datos, pero por el contrario nos permite reconstruir y almacenar la clave en el disco para que pueda ser descifrado la próxima vez o bien quitar la contraseña .Pero Oh!! problema, tenemos que ser administradores.








C) La mejor
alternativa que veo yo es realizar una copia bit a bit y luego conectarlo a un equipo en el que se ha instalado Windows 7con BitLocker activado. Windows verá el disco como un volumen externo  y pedirá la contraseña de recuperación.  Una vez introducido, Windows 7 montará el volumen y asignará una letra con la unidad descifrada.

D) Otra forma sería la siguiente:
  • Iniciamos con el DVD de Windows 7 y avanzamos hasta el momento en el que la instalación nos muestra el disco
  • En ese momento hacemos Shift+F10 y obtendremos una consola y nos mostrará la unidad  X:\ que es la letra que se le asigna al DVD en tiempo de instalacion.
  • Nos movemos a X:\windows\system32 y ejecutamos:
c:\>manage-bde -unlock D: -RecoveryPassword 047729-051392-045397-093071-568942-581757-717277-419606

D: es la unidad a abrir y los numeros que siguen a –RecoveryPassword es la clave de acceso
  • Una vez realizado, tendremos acceso al disco y podremos acceder a los datos pero aún nos queda desactivar BitLocker para ello ponemos:
c:\>manage-bde -off e:





Una vez desactivado podemos proceder al análisis sin ningún problema, os recuerdo que para realizar este procedimiento deberemos de disponer de la contraseña

COMPLICANDO LAS COSAS

Alternativamente, se puede configurar BitLocker con el TPM y una unidad flash USB, lo que significa que el proceso se puede complicar ya que el disco duro debe estar en la máquina original y el dispositivo flash conectado para que el usuario pueda arrancar el sistema. .Ademas necesitaremos la contraseña de recuperación.

Si la contraseña no se dispone o esta en un pendrive podemos despedirnos del disco duro mientras no la encontremos.

CONCLUSIONES

Nos encontramos con una solución bien acertada y madura que nos proporciona Microsoft para el cifrado de dispositivos. De esta forma podremos garantizar  al igual que otras soluciones como TrueCrypt que ante una pérdida de un pendrive o robo de un portátil nadie accederá a los datos.

Esto plantea un grave problema ante un análisis forense dado que si no disponemos de la clave de cifrado poco podremos hacer. En el caso de una empresa siempre podremos recurir a los administradores y que por medio del agente de recuperación nos podran dar acceso al análisis de los datos.

En el caso de un pedófilo con los suficientes conocimientos cifrará todos los discos extraibles (siempre que tenga la versión de Windows 7 adecuada o TrueCrypt) haciendo imposible su análisis (lógicamente tras requerimiento judicial) y ahí nos encontraremos en la encrucijada ¿podrá obligar un Juez a que un presunto pedófilo, revelé su clave? ¿Torturaremos al presunto hasta que grité la contraseña?

El tiempo lo dirá.

3 comentarios:

Muy buen post. Aunque me sigue gustando mucho más TC por sus características (diferentes modos de cifrado, multiplataforma, posibilidad de particion oculta ... etc)

Con esto último de la partición oculta (con su conveniente partición falsa "pública") si el pedófilo es (aún más) avispado puede que consiga llevarse los datos a la tumba.

Aún así es una herramienta muy acertada por parte de MS, acercando el cifrado de datos a un mayor público.

Un saludo.

A mi también me gusta, pero desgraciadamente no dispongo de la versión Ultimate (¿?) de Windows7 para jugar con BitLocker. Aún así me gustaría saber si alguien ha hecho pruebas con Linux. O con MAC.

Las herramientas de cifrado son útiles siempre y cuando puedas acceder a la información cuando quieras, y para los usuarios de un OS direfente a w7, creo que de momento lo tenemos curdo. Alguien lo ha probado?

Saludos!

hola q tal muy interesante tu blog, y me atrajo la atencion de esto de bitlocker pues tengo un gran problema, resulta que puse a cifrar la unidad D:\ en donde tengo muchos archivos mas que nada para no llenar demasiado la unidad C:\ pero en el proceso se desconecto mi laptop y se apago ya que la tenia conectada directamente sin la bateria, el problema es que el proceso no se realizo correctamente debido a esto, y al querer accesar a la unidad no puedo desboquearla me dice q no se puede realizar la solicitud por un error del dispositivo E/S y tampoco me da la opcion de desactivarlo :(, q puede hacer?? tengo archivos muy importantes, te agradeceria mucho tu ayuda, gracias.