lunes, 23 de junio de 2014

TrueCrypt - Tus archivos podrían no estar seguros


TrueCrypt se ha convertido en la herramienta de cifrado de datos a nivel local que más usuarios y empresas ha utilizado hasta la fecha. No obstante, en los últimos meses esta herramienta se ha visto envuelta en una nube de conspiraciones que han acabado con el proyecto. Si hoy en día entramos en su página web, veremos un cartel que nos anuncia:
"WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues"

Seguido de una guía para migrar todo el contenido que tengamos en nuestro TrueCrypt hacia la plataforma de cifrado de Microsoft, BitLocker. La teoría de su caída que más peso ha tomado hasta la fecha es la existencia de backdoors en su código producidos por la N.S.A. y la auditoría realizada a dicha herramienta.

La Unidad de Auditoría y Consultoría de Seguridad TI de Abast Systems ha realizado una prueba de concepto para determinar hasta qué punto es posible acceder a datos encriptados en un ordenador ajeno. Para ello necesitaremos un ordenador en caliente (hibernado, suspendido, en funcionamiento) o una captura de la memoria ram, en caso de que el ordenador se haya apagado. Esta prueba no es posible realizarla si el ordenador se encuentra completamente apagado.

Con un análisis exhaustivo de una captura de RAM es posible detectar programas en funcionamiento, sesiones abiertas a memoria, conexiones establecidas y otro tipo de información que puede complementar o ayudar a detectar nuevas evidencias. Una de las herramientas más potentes para realizar esta tarea es el framework Volatility.

Figura 1 - Volatility descubre un TrueCrypt en uso

Figura 2 - Devicetree de Volatility muestra el contenedor

En las imágenes superiores se puede apreciar la existencia de la herramienta de encriptación de unidades TrueCryp. El alto nivel de seguridad que conlleva esta herramienta está reconocido internacionalmente. No obstante, el hecho de tener una captura de la memoria RAM puede ayudar a descifrar o, al menos identificar qué unidad es la que se encuentra cifrada.

Con el módulo volshell de Volatility abre una consola y se miran las propiedades del Device_object situado en la dirección de memoria 0x856f37a0, que es la que se ha devuelto en la imagen anterior.

Figura 3 - Propiedades del objeto situado en 0x856f37a0

Con estos datos ahora es posible mostrar todo lo que hay en esta parte de la memoria. Se mostrará 1416 (size) unidades de memoria, a partir del offset 0x856f37a0.

Figura 4 - Obtención del "container"/archivo encriptado: Mine

Ahora se intentará obtener la clave de desencriptación del archivo. El próximo paso necesitará de la ayuda del Driver_object del TrueCrypt, mostrado previamente a la imagen de las propiedades del Device_object.

Figura 5 - Información del driver_object

Para realizar esta tarea expulsaremos toda la memoria que hay desde la posición DriverStart hasta DriverStart + DriverSize. El problema de esto es que nos devuelve un trozo demasiado grande como para hacer búsquedas manualmente. Así que, automatizar el proceso restante usando herramientas como CryptoScan (con Volatily1.3), aeskeyfind o alguna más "user-friendly" como Elcomsoft Forensic Disk Decryptor.

Figura 6 - Ejemplo de extracción de keys AES

Con estas claves se permite descifrar el archivo previamente comentado (mine) y montarlo. De esta manera se puede acceder a su interior, y ver toda la información que creíamos tener guardada de manera segura.

jueves, 12 de junio de 2014

Cómo resolver el problema de la ejecución


Uno de los grandes problemas de los CIOs, sino el más importante, consiste en ser capaces de generar cambios en el comportamiento y forma de trabajar de su equipo. Muchas veces, la Dirección de TI se encuentra con la necesidad o el objetivo de implementar metodologías, mejores prácticas que “profesionalicen” el funcionamiento del departamento y permitan hacer un uso más eficaz y eficiente de los recursos de TI.


Estamos hablando, por ejemplo, de proyectos encaminados a mejorar el gobierno y gestión de los servicios de TI que soporta y ofrece el Departamento de TI, o de proyectos asociados a la mejora, también, del gobierno y gestión de la seguridad de TI tanto en el ámbito de riesgos como en el de cumplimiento.

Algunas veces la escasez de personal, otras la exigente operativa diaria y muchas veces la propia resistencia al cambio de las organizaciones, hacen muy difícil la puesta en marcha de estos proyectos de mejora. En estos casos el reto está en la ejecución, es decir, en cómo ejecutar estos proyectos de manera que puedan convivir con el día a día y obtener, a su vez, los resultados esperados.

Al ser este un problema más común de lo habitual he querido compartir con vosotros una aproximación que descubrí hace tiempo y que recuperé últimamente. Se trata de “The 4 Disciplines of Execution” (4DX) de Chris McChesney, Sean Covey y Jim Huling. Al final os dejo un par de enlaces donde podréis encontrar información.

Básicamente 4DX trata de explicar cómo conseguir alcanzar objetivos importantes efectuando el cambio necesario en el comportamiento del personal que permita su consecución. Las 4 disciplinas son:
  1. Focalizarse en lo realmente importante.
  2. Actuar sobre los indicadores de rendimiento (KPIs).
  3. Utilizar un cuadro de mando que garantice el compromiso contínuo.
  4. Crear una cadencia de rendición de cuentas.

http://www.franklincovey.com/tc/solutions/business-execution-solutions