Full Disk Encryption: 5 mitos sobre la encriptación y protección de datos

[heading type=1]Full Disk Encryption: 5 mitos sobre la encriptación y protección de datos[/heading]

[image animation=”right-to-left” size=”dont_scale” align=”alignright” alt=”Full disk encryption” title=””]https://www.micromouse.com/wp-content/uploads/2014/07/safend1.jpg[/image]Algunos de los conceptos equivocados relacionados con la protección de datos y el cifrado de disco duro, incluyendo a los que se tienen que enfrentar los responsables de TI son la gestión, rendimiento, despliegue, estabilidad e implementación.

Con los anuncios de vulneración de datos que se producen de manera casi semanal, la encriptación se ha convertido en unos de los temas más cruciales en la agenda de seguridad. En el pasado, Full Disk Encryption (FDE), un software que cifra todo el disco, sector por sector, se consideró la pieza clave de la protección de datos en el disco duro. Era la respuesta lógica de las organizaciones para cifrar todo el disco duro y no tener que preocuparse de nuevo por ello.

¿Por qué tiene que preocuparse un CIO de si cada vez que se guarda un archivo está cifrado? Asuntos como este se utilizan a menudo para proclamar FDE como el Santo Grial de la seguridad de los datos. Pero en este artículo se desbancan algunos mitos a este respecto y se considera que la alternativa del cifrado de todos los datos se basa en un cifrado de sólo los archivos de datos, manteniendo intactos los archivos de programas instalados y de sistema operativo.

Mito 1

El cifrado completo de disco crea menos problemas para el departamento de soporte

La percepción común es que, aunque el cifrado completo de disco puede ser difícil de implementar, es más fácil de gestionar que otros métodos de cifrado. Sin embargo, esto no es el caso. Por ejemplo, una de las incidencias más comunes con las estaciones de trabajo de los usuarios es el re-establecimiento de contraseñas olvidadas. La mayoría de los productos de cifrado obligan al uso de procedimientos específicos, propensos a errores, que requiere formación adicional para los usuarios finales y personal de asistencia.

Además, una solución FDE también requiere que el usuario defina varias contraseñas o tokens, y la necesidad de crear su propio sistema de gestión de usuarios, en caso de que se comparta información en la red. Esto significa tener que crear un CD de arranque de emergencia, por si algo va mal, además de tener que cargar una nueva partición de arranque.

En la actualidad hay productos de cifrado disponibles en el mercado que eluden estas cuestiones, e incorporan gestión y control de dispositivos, así como el cifrado de datos sensibles almacenados en medios extraíbles.

Mito 2

Mientras que Windows tiene muchas vulnerabilidades, el sistema operativo utilizado para la autenticación pre-arranque FDE no

Un sistema basado en la seguridad por medio de la ocultación de datos nunca es una buena medida. Se ha publicado una cantidad considerable de trabajo en torno a Windows y tablas Rainbow (una tabla de búsqueda que optimiza los recursos utilizados en la recuperación de la contraseña en texto plano a partir de un hash de la contraseña) relacionada con los métodos de cifrado de los archivos locales de contraseñas de Win2000. Para almacenar valores hash de la contraseña, Win2000 utiliza trozos de 7 caracteres. Las tablas Rainbow son un ataque por la fuerza bruta sobre los hashes, ya que contienen todos los resultados de permutaciones posibles.

Sin embargo, no existen tales agujeros de seguridad en los actuales métodos de autenticación de Microsoft, a pesar de los intentos constantes en los últimos cinco años. Windows 2003 y 2008 permiten contraseñas más largas, no rompe la contraseña en trozos de 7 caracteres y, además, incorpora SALT (una cadena aleatoria de los datos utilizados para modificar un hash de la contraseña). La combinación de estas medidas ha demostrado públicamente que no es factible realizar ataques de fuerza bruta para averiguar las contraseñas de Windows.

Mito 3

La autentificación pre-arranque es más segura que la autentificación de dominio Windows.

En versiones anteriores de Windows, el mecanismo de autenticación permitía a los usuarios locales autentificarse contra la máquina, y siempre permitía restablecer fácilmente la contraseña de administrador local, de modo que cualquier atacante podría obtener acceso a la máquina en un plazo razonable.

Microsoft ha mejorado el mecanismo de autenticación en nuevas versiones de XP y en los sistemas operativos recientes, de modo que sólo los usuarios de dominio autenticados pueden entrar en el sistema. Un sistema de autenticación basado en servicio de directorio de gestión centralizado es más seguro y útil que un sistema de autenticación local, como PBA.

La capacidad de un administrador para agregar usuarios significa que las contraseñas no se pueden compartir. La revocación central de permisos significa que los usuarios que abandonan la organización no serán capaces de acceder a datos de la organización después de que se hayan ido.

Mito 4

FDE es el método más seguro para administración y actualizaciones

En general se percibe que la encriptación basada en PBA es segura desde una perspectiva de gestión y es cierto que los productos FDE tiene un método muy seguro de la autenticación del usuario final – que requiere una contraseña de usuario local fuera de Windows.

Sin embargo, esta interacción no es parte del sistema operativo Windows y no se puede hacer de forma remota. Por lo tanto, si una organización quiere implementar una nueva pieza de software que requiere reiniciar el equipo, durante dicho proceso tiene que deshabilitar las medidas de seguridad en todas las máquinas protegidas. Si algunos equipos no están disponibles durante el proceso de actualización, será necesario volver a aplicarlo, con el consiguiente perjuicio tanto en tiempo como en dinero. Aunque el administrador no puede reiniciar una máquina remota para instalar software o aplicar los parches, existen alternativas que permiten a un administrador realizar un reinicio de forma remota. Esto conlleva nuevas vulnerabilidades que no estarán expuestos a un sistema que encripta todos los datos, pero permite que el administrador validarse.

Mito 5

FDE basado en PBA es más “amigable”

La realidad es que la cifrado completo de disco basado en PBA no es fácil para el usuario final. Tienen que usar una nueva pantalla de acceso y, como se ha expuesto anteriormente, se convierte en un camino complicado de recuperar el acceso al ordenador, si el usuario olvida su contraseña.

Todas estas cuestiones implican que el usuario final asocie al cifrado los posibles problemas que puede tener. En contraposición, un despliegue silencioso sobre los sistemas que cifre todos los datos, pero no cambie el interface del usuario final será mucho más fácil tanto para el usuario final como para el centro de soporte.

[heading type=3]Más información[/heading]

Información de Safend Protector Suite https://www.micromouse.com/safend-suite/

Información de Safend Encryptor https://www.micromouse.com/safend-encryptor/

[heading type=3]La Compañía[/heading]

MICROMOUSE es una compañía española que, desde hace 25 años, distribuye software con valor añadido en España y Portugal. La compañía dispone de soluciones llave en mano para ahorro de costes en gestión de recursos de almacenamiento en tiempo real para entornos heterogéneos, integración de fax y mensajes SMS con CRM, ERP y correo electrónico, inventario automático y optimización de rendimiento, control de contenidos y gestión de cuotas en servidores de correo. Además, distribuye aplicaciones de alta disponibilidad, backup, fax, integración PC/UNIX/Host y replicación en tiempo real.

Micromouse ofrece a todos los usuarios registrados de sus productos un servicio Hot Line gratuito durante el periodo de garantía, una vez finalizado dicho periodo, el usuario registrado puede contratar soporte telefónico anual. Los usuarios con contrato de mantenimiento reciben actualizaciones gratuitas y nuevas versiones de los programas.