+54 11 4334-2291 / 4345-0917 / +54911 6501 5201 info@datarecovery.com.ar

Soluciones de hardware y software a sus problemas de

DESENCRIPTACIÓN

Servicio de recuperación de datos de dispositivos encriptados

Encriptación

Safe Boot, Safeguard Easy, Bitlocker, EFS, PGP, Truecrypt…

Sistema de archivos

NTFS, EXT2/3, XFS, FAT32, HFS+, Raiser…

Hardware

Disco rígido, RAID, Pendrive, SSD, NAS, Disco virtual…

En el diagrama vemos que los problemas de recuperación de datos de dispositivos encriptados pueden surgir en tres capas: problemas de funcionamiento de hardware, corrupción del sistema de archivos, falla del sistema de encriptación o una combinación de más de un factor. En CompExcell tenemos una amplia trayectoria en esos campos. Los casos con encriptación a nivel de volumen son los más complejos y requieren capacidad analítica y de diagnóstico precisos, realizados con una aproximación científico- teórica.

Problemas Típicos:

 

1) La encriptación aparentemente funciona, pero el sistema operativo no puede cargar adecuadamente. Falla el procedimiento de arranque con diskette o CD auxiliar o de emergencia.

 

2) No se puede ingresar con la clave del usuario. Se intenta una desencriptación total con la clave general corporativa pero el proceso no arranca o bien comienza y se interrumpe.

 

3) Se llevó a cabo una desencriptación total, no se obtiene ningún código de error pero los datos siguen encriptados. No aparece ninguna partición válida o la partición está vacía.

 

4) Falla total o parcialmente el acceso a los datos en bruto. Problema de hardware. No es posible acceder a nada ni tampoco desencriptar.

 

5) Hay completa seguridad de que el dispositivo funciona perfectamente pero por alguna corrupción de datos el proceso de desencriptación falla, se cuelga, da errores.

Si usted no puede acceder a sus datos encriptados le ofrecemos estas alternativas de servicio:

 

1) Solución llave en mano

Accedemos a los datos en bruto de su dispositivo, los desencriptamos, interpretamos y corregimos el sistema de archivos si fuese necesario y le entregamos los archivos listos para devolver al usuario. Este servicio es el más costoso y el cliente tiene que dar a CompExcell precisiones acerca del método de encriptación empleado, versión del programa y claves. Ventaja: le asegura llegar a un buen resultado y paga únicamente contra resultados satisfactorios.

2) Solución de hardware solamente

Accedemos a los datos en bruto del dispositivo con problemas y le entregamos una copia bit a bit volcada sobre otro dispositivo de igual o mayor capacidad para que usted realice el proceso de desencriptación. Este servicio es más económico, tiene la ventaja de que el cliente no tiene que revelar detalles acerca del método de encriptación ni claves. Desventaja: no asegura que el proceso de desencriptación se complete satisfactoria y completamente.

3) Solución forense

No se sabe qué encriptación se empleó, ni las claves. Puede ocurrir cuando una organización es la legítima propietaria del dispositivo de almacenamiento y de los datos pero un ex-empleado codificó la información. También puede surgir este escenario cuando el usuario de la computadora falleció o en contextos penales, dolosos, etc.

Introducción al Problema

Cada día más empresas tienen la política de emplear encriptación de datos, al menos en sus equipos móviles. Las gerencias de sistemas no pueden evitar tomar posición al respecto. La encriptación, como otras decisiones tecnológicas, tiene costos y beneficios. Los beneficios son obvios: se evita que datos de la organización puedan caer en manos no deseadas: competidores actuales o potenciales, clientes, reguladores, empleados o socios desleales, etc. Los datos son un activo y es razonable que destinemos recursos a protegerlos y evitar que se difundan inadecuadamente. La tecnología ofrece numerosas alternativas de encriptación, desde gratuitas y de código abierto apropietarias y pagas. Dentro de los costos que asume una empresa al encriptar, no solamente está el pagado al proveedor de la solución de encriptación. Al igual que ocurre con el software pago o gratuito, hay que tomar en consideración el costo total de propiedad (CTP). Durante años Microsoft argumentó en sus publicidades que su sistema operativo pese a ser pago, termina teniendo un menor CTP que la alternativa gratuita de las distribuciones de Linux. Otros costos asociados con la encriptación son evidentes: la carga de trabajo para la gerencia de sistemas que tiene que encriptar las máquinas, hacer más y mejor mantenimiento de los equipos, eventualmente hacer la desencriptación de un disco que comienza a fallar. Otro costo menos evidente y a veces soslayado es la posibilidad de una pérdida permanente de datos críticos: es claro que al agregar la capa de encriptación, cualquier tentativo de recuperación de datos inaccesibles, sea por problemas de hardware, de software o una combinación de ambos será más engorroso, más costoso y la tasa de éxito será menor. ¿Las gerencias de sistemas sopesan correctamente costos y beneficios? Probablemente subestimen un poco los costos debido a que se asume que el mantenimiento será adecuado y que las copias de respaldo se realizarán periódicamente, en modo disciplinado. Por otra parte, una vez que una empresa decidió encriptar, es difícil que vuelva atrás. Cada vez más procesos entre empresas y entre filiales de una misma corporación exigen estándares de encriptación. Por lo tanto, basándonos en la evidencia actual prevemos que en el futuro la encriptación será la norma, no la excepción.

 

¿Qué ocurre cuando no se pueden recuperar datos de un dispositivo encriptado? Como vimos, los problemas pueden ser múltiples pero salvo en el caso de una inaccesibilidad total a los datos en bruto del disco rígido (el disco no funciona en absoluto, no es detectado por el BIOS o controladora, no gira o produce ruidos anómalos) lo normal es hacer un primer tentativo de recuperación sin recurrir a proveedores externos y solicitar soporte técnico al prestador de la solución de encriptación.

La mayoría de las empresas multinacionales toma una decisión global acerca de qué encriptación emplear y celebran un contrato único que contempla todos los equipos. El contrato global permite reducir costos y estandarizar  el soporte técnico ofrecido. En general el proceso de encriptación se realiza contactando un servidor externo, en otro país, que genera las claves para cada equipo. También el soporte técnico suele brindarse desde un call-center en otro país. Esos soportes técnicos pueden dar a la gerencia local buenas recomendaciones de lecturas de sus bases de conocimientos. Frente a un problema concreto, es probable que quien tiene el problema sepa más del software encriptador que la persona que está del otro lado del teléfono. Por supuesto usted puede enviar un reporte técnico detallado con el problema, en inglés, con capturas de pantalla y códigos de error recibidos y esperar. Nosotros lo hicimos muchas veces.

No sería justo llegar rápidamente a la conclusión de que esas empresas de clase mundial que venden encriptación tienen empleados mediocres e indolentes. Volvamos al diagrama de las tres capas y pongámonos en lugar de un soporte técnico de encriptación. En verdad la falla de acceso a los datos tal vez no se deba a la encriptación. Supongamos que un usuario introduce su nombre y clave de siempre y ya no puede entrar. Podría deberse a un daño magnético muy pequeño e imperceptible en una zona crítica del disco rígido. O una corrupción de software. O bien error humano. Al no tener el escenario completo, los soportes técnicos dan consejos generales: “tome nota del código de error, lea el manual, restaure su último backup válido”. No conocemos ningún proveedor de encriptación que acepte que se le envíe por FTP una imagen bit a bit de la partición encriptada para su análisis y reparación. Si esa puerta se cierra, entonces hay que usar mucho ingenio y emplear técnicas probadas de análisis de fallas para estudiar las encriptaciones más usadas y hallar formas de reparar las estructuras de datos con problemas y los motores de encriptación o kernels.  Eso es lo que venimos haciendo hace varios años en CompExcell, respondiendo a solicitudes de nuestros clientes.

Tipos de Encriptación:

SafeBoot (McAfee-Intel)
SafeguardEasy (Utimaco—Sophos)

Errores típicos: Error 104 currently installed security kernel is inconsistent with disk 4.2.1
No valid security kernel found. Repair aborted.
Error SGE65535 unknown error. The installed kernel failed one or more consistency checks. It may be damaged. Most likely the master boot record has been altered.

EFS Encryption File System (Microsoft Windows)

En realidad no trabaja a nivel de volumen sino que el usuario puede encriptar automáticamente todos los archivos presentes o por crearse de determinados directorios. Es la encriptación que viene con Windows XP, NT, 2000 y trabaja con atributos especiales del sistema de archivos NTFS, por lo tanto solamente puede haber archivos EFS bajo dicho sistema de archivos. En un equipo con Windows, los archivos encriptados EFS se ven de color verde en el explorador de Windows. En el mismo equipo puede haber archivos no encriptados, que se ven de color negro. Los certificados para la desencriptación pueden almacenarse localmente, en el mismo disco rígido en el que residen los archivos encriptados, o más comúnmente en un servidor al cual hay que conectarse para acceder a archivos encriptados. A menudo cuando surgen problemas de hardware o software, se pierde acceso al sistema de archivos. Ejecutar programas automáticos de recuperación de datos pueden reconstruir el sistema de archivos pero generalmente omiten o interpretan erróneamente los atributos de seguridad. Eso lleva a que los archivos no se pueden desencriptar.

Bitlocker drive encryption (Microsoft Windows 7)

Es la solución a nivel de volumen completo disponible con Windows 7.

TrueCrypt open source.

 

PGP Symantec

 

Glosario

Encriptación a nivel de volumen significa que todos los datos del dispositivo están encriptados: el sistema de archivos, los archivos de programas, los archivos del sistema operativo, los archivos generados por el usuario.Es diferente de la encriptación de archivos individuales por la cual a algunos se les asigna una clave de apertura, de sólo lectura, etc.

Todos los sistemas de encriptación mencionados son de este tipo excepto el Encrypted File System (EFS) de Microsoft que permite sin tener las claves ni certificados navegar por los directorios del sistema de archivos y acceder a todos los archivos que no hayan sido expresamente encriptados. Eso mejora la performance, por ejemplo al no encriptar archivos no privados tales como archivos de programas, de sistema operativo, etc.

 

Encriptación on-the-fly: es la encriptación “al vuelo” que tiene lugar durante el funcionamiento normal del equipo. El software de encriptación trabaja en tiempo real encriptando y desencriptando los datos. El objetivo es que todo lo que se graba en el disco esté siempre encriptado, de modo que ante una detención imprevista del sistema, fallo eléctrico, etc. no queden datos expuestos. Antiguamente este proceso bajaba considerablemente la performance del sistema pero se lo consideraba un costo a asumir frente a la ventaja de la seguridad que proporcionaba la encriptación.

 

Desencriptación completa: a diferencia del proceso “on-the-fly”, cuando éste no permite acceder a los archivos, se realiza una desencriptación completa del volumen o partición. Es un proceso que normalmente lleva varias horas.

 

Kernel o motor de encriptación: es el programa ejecutable que la solución de encriptación elegida instala en cada disco . Si el mismo no está accesible o se corrompe, no permitirá acceder a los datos y será necesario recurrir a una copia externa de emergencia o bien restaurar una copia de seguridad del mismo (si disponible) o repararlo artesanalmente.

 

Datos en bruto: son los datos tal como se graban en el dispositivo. El medio puede ser magnético si se trata de un disco rígido o cinta, óptico si es un CD o DVD o bien electrónico si hablamos de un pendrive o disco de estado sólido (SSD). Si un dispositivo encriptado se retira de su equipo original y se conecta a otra computadora, no se podrá acceder a ningún archivo ni aún con programas automáticos de recuperación de datos.

 

Clave ATA: es la clave que define el consorcio T13 en sus normas y que tienen todos los discos rígidos norma ATA o SATA. Esa clave de hardware puede estar activada en los discos rígidos aunque la mayoría de los usuarios ignora su existencia. Es más común que las computadoras portátiles tengan en su BIOS la posibilidad de activarla. En caso de que el usuario no introduzca su clave, no hay acceso al disco. Si es instalado en otro equipo como disco secundario, es detectado correctamente con su modelo de disco y tamaño pero no hay acceso a ningún sector físico del disco. A veces esa clave se activa sola por mal funcionamiento del disco rígido. Dado que cada fabricante implementa la norma a su manera, las técnicas para superar esa clave son diferentes para cada familia y generación de discos.