dimecres, de maig 03, 2006

Nova tecnologia per a Vista podria dificultar l'accés a les dades de Windows des de Linux o altres sistemes

La tecnologia BitLocker Drive Encryption proporcionarà encriptació de sistemes de fitxers per tal d'assegurar les dades en cas de pèrdua o robatori de l'ordinador, però dificultarà o impossibilitarà l'accés a la informació de determinades formes.

Imaginem el següent escenari: anem pel carrer amb el nostre ordinador portàtil carregat d'informació personal i/o de l'empresa, quan un lladre professional en l'exercici de la seva professió decideix scollir-nos com a "client", assaltant-nos i robant-nos la nostra màquina. Desconsolats, anem a denunciar els fets a la comissaria de policia més propera mentre pensem en el valor monetari que ens va costar l'ordinador quan reflexionem: "¡i les dades!". El problema ja no és si disposem o no de backup per a recuperar-les, el veritable problema resideix ara en el profit que el lladre en pot treure d'elles. Li interessarà el darrer projecte en el què estàvem treballant a l'empresa? o els codis secrets de les targes de crèdit que tinc emmagatzemats en un fitxer? Bé, en realitat no importa, perquè les meves dades estan fora de perill ben protegides per la contrasenya del Windows... o no?

La contrasenya d'usuari és un obstacle fàcilment salvable per a un atacant si té accés físic a la màquina -i en aquest cas, després del robatori, té tot l'accés que pugui desitjar-; només necessita un CD Live de Linux o una altra eina similar, arrencar la màquina amb ell (fins i tot si tenim la BIOS protegida per contrasenya i no configurada per arrencar des de CD es pot saltar), muntar la unitat de disc dur, i llegir el contingut. Cal, doncs, una eina més potent: el xifrat de particions, de forma que ningú des de fora del sistema pugui llegir el contingut del disc dur.

Això és precisament el que proposa Microsoft per a Windows Vista, una capa d'encriptació de les particions de dades mitjançant una combinació de maquinari i programari. És el que anomena BitLocker Drive Encryption.

Aquest nou sistema pot funcionar en una plataforma Trusted Computing que disposi d'un xip TPM (Trusted Platform Module), element destinat a desar contrasenyes i claus d'encriptació. Tot i això, no cal la presència d'aquest maquinari, malgrat que en aquest darrer cas Microsoft adverteix que la protecció no serà tan segura.

Quan s'arrenca el sistema, i un cop comprovada la integritat d'aquest, el TPM allibera la clau de desencriptació per poder accedir a les dades. Si no es disposa de TPM, ha de ser l'usuari qui proporcioni la clau, que haurà creat amb anterioritat (probablement en el moment de la instal·lació).

Conseqüències per a la indústria

Probablement els usuaris finals trobaran en la seva immensa majoria avantatges en aquest nou subsistema del Windows, però al professional de la informàtica se li posaran les coses més difícils.

En primer lloc, és molt probable que qualsevol programari o maquinari que ajudi a o permeti la desencriptació d'una partició protegida amb BitLocker Drive Encryption, sigui considerat il·legal, pel què si perdem les claus d'encriptació o no podem accedir al nostre sistema per problemes amb el programari, el tècnic encarregat de la reparació suarà força per accedir a les dades i realitzar un backup abans de reinstal·lar el sistema.

Molts tècnics empren per a això distribucions Live de Linux, però aquestes sense el programari apropiat per a llegir particions protegides, són inútils.

De moment no tenim noticies en el sentit de què Microsoft vagi a disponibilitzar eines per a l'accés a les esmentades particions, el que evidentment també seria un contrasentit, ja que vulneraria total i absolutament tota la seguretat amb la qual es pretén dotar a les dades.

Una altra especialitat que es podria veure parcialment afectada és la de l'anàlisi forense, ja que malgrat que es disposa d'eines que poden funcionar sota Windows, és molt habitual treballar des de CD's Live de Linux per a realitzar còpies de discos i anàlisis diversos d'un sistema Windows.

Més informació:

Información técnica preliminar de BitLocker Drive Encryption
http://www.microsoft.com/technet/windowsvista/library/help/b7931dd8-3152-4d3a-a9b5-84621660c5f5.mspx?mfr=true

posted by Guillem @ 2:38 p. m.