Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
enero
(Total:
52
)
- Configuración MariaDB (MySQL) Gestor Base de Datos
- Instalar WSL2 en Windows 10 para ejecutar Linux de...
- Análisis BackBlaze de los discos duros mecánicos m...
- Tecnologías grabación disco duro mecánico HDD: dif...
- Europol desmantela Emotet: la botnet de malware má...
- Obtener IP de un contacto mediante una llamada en ...
- Nomenclatura de la BIOS/UEFI: ErP Ready, CSM, VRM,...
- Vulnerabilidad en sudo presente desde 2011 permite...
- Seguridad en SSH: uso de llaves privadas y multifa...
- Securizar una RaspBerry Pi
- Convierte tu Raspberry PI en un analizador de red ...
- Optimizar módulo PHP FPM y opciones de seguridad e...
- Los mejores HoneyPots: ejemplos, tipos, caracterís...
- SMiShing: ¿Por qué son tan efectivos los engaños p...
- Vulnerabilidad en "Enviar a Kindle" por e-mail per...
- Utilizan Windows RDP (Escritorio Remoto) puerto 33...
- Secuestran mediante phishing la cuenta de Instagra...
- Google indexa de nuevo datos privados de WhatsApp ...
- Arbitrium-RAT: troyano de acceso remoto multiplata...
- Un exempleado interrumpe el envío de suministros d...
- Los 10 mejores sitios web descarga de Torrent de 2021
- La Policía Nacional detiene en Valencia varón 25 a...
- La policía británica borra por error 400.000 histo...
- Guía configuración y optimización Apache (MPM, suE...
- Administración de Trump añade a Xiamoi a lista de ...
- Comprobar la capacidad real de espacio en un pendr...
- Error en Windows 10 corrompe tu disco duro al ver ...
- Empresa china filtra 200 millones de datos de usua...
- Expertos alertan potente y peligroso RAT llamado R...
- nVidia presenta la serie GeForce RTX Serie 30 y AM...
- Intel agrega a procesadores capacidades de detecci...
- Archivan todas las publicaciones de Parler elimina...
- Fuga de datos privados de la ONU: trabajadores de ...
- Muchas otras redes sociales se unen al veto de Twi...
- SolarWinds contrata una nueva empresa de cibersegu...
- Compartir la ubicación de Telegram no es tan priva...
- HackTools v0.3.0 : la extensión todo en uno para W...
- FBI advierte a empresas sobre ataques del ransomwa...
- Estados Unidos condena ruso a 12 años de cárcel po...
- Aumentan las descargas de Signal y Telegram ante p...
- Condenan a Vodafone a devolver 20.380 euros a un c...
- La aplicación KeyDecoder permite usar el teléfono ...
- Comprendiendo el cifrado TPM con BitLocker y métod...
- Descubre contraseñas escuchando las pulsaciones de...
- Grupo Ransomware DoppelPaymer roba y publica datos...
- Apple compara cuántos metadatos recoge Whatsapp Vs...
- Nintendo pide $15 millones de daños de un sitio we...
- Crecen los ciberataques a los bancos a raíz del co...
- iptables Vs FirewallD: diferencias, ejemplos práct...
- Desactivar scripts PowerShell para evitar ataques ...
- Fallo en Facebook SDK permitía robar cuentas vía o...
- ¿Se atreverá Twitter banear a Donald Trump cuando ...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Comprendiendo el cifrado TPM con BitLocker y métodos de ataque
La investigación de un disco duro cifrado con BitLocker puede ser un desafío, especialmente si las claves de cifrado están protegidas por la protección de hardware de la computadora, el TPM. En este artículo, hablaremos sobre la protección que brindan los chips TPM a los volúmenes de BitLocker y analizaremos las vulnerabilidades que se encuentran en los módulos TPM actuales.
Protección TPM de BitLocker
La protección que brindan los chips TPM a los volúmenes de BitLocker y analizaremos las vulnerabilidades que se encuentran en los módulos TPM actuales.
¿Qué es TPM?
Trusted Platform Module (TPM) es un estándar para un criptoprocesador seguro, un microcontrolador dedicado diseñado para proteger el hardware a través de claves criptográficas integradas. A nivel físico, el TPM puede implementarse como un chip integrado, un módulo adicional que se puede instalar en una ranura de la placa base del escritorio o como un emulador virtual (la tecnología Intel PTT).
Ejemplos:
- Fichas Infineon Optiga TPM:
- Módulo TPM independiente para placas base Asus
La plataforma consta de un criptoprocesador seguro y una pequeña cantidad de memoria incorporada. Las principales funciones de TPM son la generación, almacenamiento y gestión segura de claves criptográficas; en particular, las claves de BitLocker. El sistema operativo debe proporcionar API para que los desarrolladores accedan al TPM y usa TPM para administrar las claves de cifrado.
Cuando los desarrolladores de Windows estaban diseñando el esquema de cifrado de disco, intentaron contrarrestar las siguientes amenazas:
- Iniciar sesión en la cuenta del usuario sin credenciales de autenticación válidas
- Mover el disco duro a un sistema diferente para su análisis
- Alterar la configuración de la computadora para obtener acceso a los datos
- Ejecutar un sistema operativo alternativo para obtener acceso a los datos
Sin embargo, la máxima prioridad era que la protección fuera lo más transparente y discreta posible para el usuario. Idealmente, el usuario nunca notaría el cifrado; este objetivo se ha logrado. Para aquellos que necesitan protección adicional contra amenazas adicionales, los desarrolladores permitieron especificar un código PIN previo al inicio o agregar otros tipos de protectores (por ejemplo, una tarjeta inteligente física o una unidad USB).
Cómo funciona BitLocker
BitLocker utiliza cifrado simétrico. De forma predeterminada, AES-128 se usa para cifrar datos en modo XTS (nuevo) o CBC (heredado-legacy). Los datos están encriptados con VMK (Volume Master Key), que a su vez se puede obtener de una de las siguientes formas:
- Descifrado con la contraseña de cifrado del usuario, si este protector está habilitado para un volumen determinado.
- Descifrado con una clave de recuperación. La clave de recuperación se genera automáticamente una vez que se habilita el cifrado por primera vez. Luego, la clave se almacena en un archivo, se carga en la cuenta de Microsoft del usuario o se guarda en Active Directory.
- Extraído del módulo TPM cuando se cumplen determinadas condiciones.
Así es como Bitlocker se comunica con TPM:
El principio básico de TPM es muy similar al blockchain. Durante el arranque, el sistema crea una cadena de confianza, que se almacena en los registros PCR (Platform Configuration Register).
- Encendido. SRTM (raíz de confianza estática para medidas) es el primer módulo de confianza que se carga. Este módulo se almacena en la ROM de la computadora y no se puede modificar. Una vulnerabilidad en este módulo rompe todo el esquema de protección, lo cual fue claramente demostrado por los desarrolladores del exploit checkm8 para dispositivos iOS. SRTM inserta el primer registro en la cadena de confianza calculando el valor hash del BIOS de la computadora. El hash se almacena en un registro de PCR.
- Cargas UEFI BIOS. El BIOS analiza la configuración de la computadora, incluida la partición del disco duro, el MBR (Master Boot Record), el cargador de arranque y muchos otros parámetros, incluidas las sumas de comprobación de firmware de ciertos componentes (por ejemplo, lectores de huellas dactilares o lectores de tarjetas inteligentes). En particular, el valor del registro de PCR anterior se utiliza para calcular nuevos valores hash, lo que significa que cualquier modificación de un solo registro de PCR rompe toda la cadena.
- Después de completar varios registros de PCR, BIOS carga el cargador de arranque desde el MBR. El cargador de arranque inserta algunos registros más.
- Finalmente, se inicia el kernel del sistema operativo. El núcleo sigue aumentando la cadena de confianza.
Cifrado Bitlocker
- Todos los registros de PCR se ponen a cero.
- El sistema sigue los pasos 1 a 4 descritos anteriormente.
- El kernel del sistema operativo intenta desbloquear el volumen cifrado y solicita la VMK del módulo TPM. El módulo TOM, a su vez, analiza la cadena de confianza comprobando los registros de PCR. Si la cadena de confianza está dañada, la VMK no se libera; el kernel del sistema operativo que muestra un mensaje solicitando al usuario que desbloquee el volumen con una clave de recuperación.
Omitiendo (bypassing) TPM
Extracción de la clave maestra de volumen de la RAM
Arranque en frío y ataques FireWire / Thunderbolt
El ataque del modo de sueño (Sleep Mode)
Interceptar señales de TPM
Conclusión
Fuente:
https://blog.elcomsoft.com/2021/01/understanding-bitlocker-tpm-protection/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.