El departamento de Tableau de Guidance Software recientemente lanzó Tableau™ Password Recovery, una solución de hardware y software para acelerar los ataques a contraseñas de archivos protegidos, discos y otros contenedores.
Siempre es divertido jugar con nuevos “juguetes”. Cuando el nuevo juguete es un gigante construido especialmente para romper contraseñas y escalable linealmente, ¿cómo podríamos jugar sin compartirlo? Investigué un poco durante la ejecución de una configuración de Tableau Password Recovery con dos servidores para pruebas en nuestros laboratorios aquí en Pasadena, California, y aunque he encontrado muchas buenas herramientas y tutoriales para el descifrado de contraseñas, hallé difícil diferenciar lo teóricamente posible de lo realmente práctico. Aquí, presento algunas ideas formuladas durante este proceso.
Cada paso dado en la tecnología de la comunicación ha ido acompañado de una tecnología correspondiente para proteger la idea transmitida. Los antiguos griegos utilizaron la escítala, una vara de madera envuelta con una tira de pergamino, para proteger los mensajes en el campo de batalla. Aparentemente, los criptoanalistas de esa era tuvieron que ser moderadamente talentosos en la carpintería.
En la práctica, el problema se descompone en unas pocas piezas:
1. ¿Cómo detectar datos protegidos?
2. ¿Cómo exponer contenidos protegidos para la revisión humana?
3. ¿Cómo escalar y gestionar con eficacia?
Cifrado de discos y archivos
El cifrado completo de discos es muy común, y en muchas organizaciones son la regla, y no la excepción. Sabemos que detectar el cifrado completo del disco es útil para los investigadores, porque uno de los artículos más populares de los blogs de Guidance Software es el artículo Spotting Full Disk Encryption de Graham Jenkins. Graham señala cómo EnCase proporciona visibilidad hacia los datos cifrados en sí, lo que puede informar a los investigadores de los próximos pasos apropiados. EnCase también determina el proveedor del cifrado y pide las credenciales necesarias. La fotografía de abajo se muestra cuando intento previsualizar la unidad encriptada de mi propio disco.
¿Con qué estamos lidiando? Detectando archivos protegidos
Obtener acceso al volumen en sí solo es el primer paso. En EnCase, usamos el análisis de firmas de archivos para examinar las extensiones de archivo, encabezados y pies de archivo para determinar si su aparición en el sistema de archivos es consistente con los datos que realmente representan.
Digamos que tenemos una planilla de Excel 2010 protegida por contraseña. La planilla sigue siendo reconocible por el análisis de firmas como una planilla de Excel, pero si trata de abrir el archivo, éste le pedirá una contraseña. Si examina el contenido de la planilla en la visualización hexadecimal o textual de EnCase, vería datos aparentemente sin sentido.
¿Pero estará este archivo realmente protegido? Si es así, ¿cómo está protegido? Podemos responder a esto ejecutando el Análisis de Archivos Protegidos (Protected File Analysis) en EnCase Processor. EnCase utiliza el Passware Encryption Analyzer para identificar los archivos cifrados y protegidos por contraseña. El análisis de archivos protegidos está disponible en todas las ediciones EnCase, incluyendo EnCase® eDiscovery, donde los archivos protegidos son identificados automáticamente como excepciones durante el procesamiento.
Después del análisis de archivos protegidos, podemos ver cuáles archivos están protegidos y también ver qué método de recuperación de contraseña es requerido para desbloquear sus contenidos.
Incluso solo estos dos datos son suficientes para informarnos de los próximos pasos de nuestro caso.
Mirando al interior: usando Passware con EnCase
Ahora que hemos identificado al archivo como protegido y sabemos específicamente como está protegido, ¡lo único que tenemos que hacer es abrirlo! Desafortunadamente, aquí es donde aparece el tema de que requiere “una mayor cantidad de cálculos de lo que la mayoría de las computadoras pueden tratar con eficacia.” Afortunadamente, tenemos algunas opciones al alcance de la mano.
Podemos descifrar el archivo directamente con Passware Kit Forensic. Passware Kit Forensic es una de las herramientas de recuperación de contraseñas más completa, mejor mantenida y con mayor apoyo disponibles comercialmente. Si usted tiene Passware Kit Forensic instalado en su estación de trabajo, puede exportar el archivo desde EnCase o añadir a Passware como un visor de archivos para accederlo eficientemente simplemente con un clic derecho.
Passware Kit Forensic proporciona capacidades de descifrado para más de 200 tipos de archivos e implementa una amplia gama de ataques, desde el descifrado instantáneo hasta la fuerza bruta. No voy a dar una presentación completa de Passware Kit Forensic, así que échale un vistazo a la página de Passware para obtener mayor información.
Un enfoque que vale la pena mencionar es el ataque de diccionario. Los ataques de diccionario son una solución relativamente inteligente para un problema extenso: Si estamos tratando todas las potenciales permutaciones de una contraseña, ¿dónde empezamos? Convenientemente, los humanos pensamos y nos comunicamos mediante palabras, por lo que las palabras son un punto de inicio sensato a la hora de buscar las claves de descifrado o las contraseñas utilizadas por los seres humanos. Los ataques de diccionario utilizan listas de palabras como insumos para determinar una clave de descifrado.
Después de procesar e indexar la evidencia de un caso, EnCase permite la exportación de las palabras descubiertas en el caso para usarlas en los ataques de diccionario de Passware Kit Forensic. Es aconsejable comenzar con un buen diccionario siempre que sea posible, y Passware Kit Forensic asegura que el diccionario informe el plan de ejecución del ataque.
Adicionándolo todo: eficiente, manejable, escalable
Evidentemente, el principal problema de la recuperación de contraseñas no cae en determinar qué es lo que se puede recuperar, ni en el uso de la técnica correcta. Inevitablemente, cualquier capacidad ubicada para la recuperación de contraseñas necesita hacer que las tareas con alto costo computacional sean eficientes y gestionables.
Tengo dos servidores Tableau Password Recovery en el laboratorio. Trabajando juntos, ellos aceleran los ataques de recuperación de contraseñas por órdenes de magnitud en comparación a la utilización de una sola CPU. Cada servidor viene equipado con cuatro tarjetas PCI de Tableau Accelerator Gen2 (TACC2). Los archivos protegidos, como contenedores de archivos PGP autodescifrables, pueden ser atacados a tasas superiores a 1,5 millones de contraseñas/segundo. Múltiples servidores Tableau Password Recovery pueden funcionar en paralelo con una escalabilidad de rendimiento lineal. Si necesita mayor aceleración, solo tiene que añadir otro servidor.
Tableau Password Recovery ha sido integrado directamente en EnCase, haciendo que la recuperación de archivos protegidos con contraseña esté a sólo un par de clics de distancia. Seleccione los archivos que se recuperarán, envíelos al servidor Tableau Password Recovery y monitoree el estado.
Cuando se ha completado el trabajo, el archivo recuperado puede ser obtenido y automáticamente adicionado al caso, incluyendo la contraseña recuperada y el log de su ejecución para una mayor revisión. El archivo descifrado se vincula automáticamente al archivo protegido original. Es algo menor, pero una cosa a menos que usted necesita rastrear.
Cualquier discusión de recuperación práctica de contraseñas no estaría completa sin mencionar la aceleración basada en la GPU. Las GPU aceleran efectivamente muchos algoritmos de recuperación de contraseñas. Pero este rendimiento conlleva un costo. Las soluciones actuales con tarjetas individuales consumen 300W bajo carga y las configuraciones con múltiples GPU requieren fuentes de alimentación superiores a los 1000W. Un mayor consumo de energía incrementa los costos operacionales por el aumento de los requerimientos de enfriamiento y por el mayor riesgo de fallas en algún componente. Conseguir repuestos compatibles de forma confiable puede ser difícil, creando costos de manutención continua, de prueba u otros costos escondidos. Las GPU sobresalen cuando funcionan con grandes volúmenes de datos, pero esta velocidad máxima no puede ser el único factor de una recuperación de contraseñas práctica.
La tabla de arriba compara contraseñas por segundo Vs. contraseñas por segundo por watt para tres soluciones distintas de recuperación de contraseñas. Las contraseñas por watt son una buena forma de describir no solo la velocidad máxima, sino que también la habilidad inherente y la manejabilidad del sistema. Tableau Password Recovery alcanza una aceleración a la par de la soluciones con múltiples GPU, mientras consume muchos menos energía.
Finalmente, Tableau Password Recovery es completamente un producto forense Tableau. La tecnología de aceleración basada en FPGA no solo permite que el sistema se ejecute a una menor temperatura, sino que también permite futura flexibilidad. Como todos los productos Tableau, Tableau Password Recovery recibirá actualizaciones de software sin costo y sin requerir cambios de hardware. Estas actualizaciones adicionarán nuevo algoritmos aceleradores y aumentarán la eficiencia de los aceleradores existentes.
Si desea mayor información sobre Tableau Password Recovery o cualquier otro producto de Guidance Software, no dude en contactarnos mediante el correo electrónico sales-latam@guidancesoftware.com
Este artículo fue traducido del original Password Recovery Can be Practical por Ken Mizota, Gerente de Gestión de Productos en Guidance Software.
¿Qué golpeó a la OPM? Lo que sabemos hasta ahora
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos
Dé un "Me Gusta" a Nuestra Página en Facebook
Guidance Software anuncia el lanzamiento de EnCase Endpoint Security
No hay comentarios :
Publicar un comentario