"CIFRA TU DISCO DURO"
cabe destacar que esta sera una entrada chica, es decir una investigacion acerca de como podemos cifrar nuestro disco duro sin afectar la carga del sistema operativo por supuesto.
he visto que miles de corporaciones o usuarios no cifran sus datos, puesto que no saben ni que es eso para algunos, pero para nosotros como auditores, tenemos que buscar la forma de que nuestra informacion no caiga en las manos de terceros o en algunas supuestas agencias.
para mi como investigador en seguridad cibernetica, el cifrado aun a mas de 2 decadas mas seguro que existe, es el pgp, y porque? pues porque el mismo snowden nos lo dijo, que ni la nsa con sus criptografos expertos lo habian podido quebrantar, posiblemente esto se deba a que este cifrado utiliza bloques de cifrado de flujo matematicos muy largos para poder dar con la llave en un nivel probabilistico.
 a dia de hoy se han desarollado, muchos estandares sobre pgp,  varias versiones del mismo, mas fuertes y menos fuertes,  varias especificaciones , etc.

pgp se puede utilizar para cifrar los emails, para cifrar el disco duro como veremos mas adelante e incluso para cifrar particiones con sistemas de archivos.
tendremos que tener mucho cuidado al cifrar nuestro disco duro, pues podemos corromper la inicializacion y la carga de nuestro propio sistema operativo.
pueden ocurrir varios destinos si no ciframos nuestro disco duro, puede ser que nos roben la computadora y toda la informacion misma quede expuesta a terceros, es por ello que vuelvo a recalcar la importancia delk cifrado.
 existe mucho software que encripta , ya es de nuestra eleccion irnos por el que nos agrade mejor, solo debemos asegurarnos de que ese software de encriptado sea reciente y no viejo, ya que si no tiene actualizaciones corremos el riesgo de que no implemente bien el cifrado.
yo usare un windows xp en una maquina virtual para esta prueba, encriptare el disco duro virtual de esta maquina.

vamos a ello, primeramente nos descargaremos el software, ademas cabe destacar que mas adelante , cifraremos con bitlocker el disco duro y activaremos el modulo TPM del hardware.
he aqui un ejemplo de un vistazo del modulo de plataforma confiable de las motherboards en cuestiones de seguridad y cifrado de datos.
este modulo de plataformas confiable es el que utiliza principalmente el cifrado de windows 7 en adelante, es un cifrado algo robusto, puesto que las llaves que se utilizan son mas o menos fuertes para una seguridad casera u hogareña, pero creo que no es suficiente para una corporacion multinacional o para una institucion guebernamental o militar en todos los casos.

hay que recalcar que a partir de ahora en adelante, el hardware sera protegido mayormente con este modulo ya que en este mismo modulo se incluyen hashes , numeros aleatorios , llaves, certificados, etc, cada especificacion tiene su modo de funcionamiento en su pagina oficial se detalla mas a fondo su funcionamiento interno en cuestiones de seguridad.

 el funcionamiento TPM es bastante interesante, puesto que incluye algoritmos criptograficos seguros como RSA, SHA, entre otros, no es el  objetivo de esta investigacion explicar el funcionamiento a fondo de este modulo, pues el mismo lo dejaremos para otra investigacion en este mismo blog, estad al pendiente!.
volvamos a nuestra experimentacion con el cifrado del disco o una parte del disco.


Una vez descargado, nuestro veracrypt, no os recomiendo el truecrypt puesto que ya no se actualiza y esto podria poner en peligro nuestra seguridad.
seleccionamos particion y discos duros de la ventana superior.
seleccionamos el modo normal, hidden es para los que no quieran que el software encriptador no realize ningun tipo de backup o archivo de rescate en caso de perder nuestra password.
tendremos que guardar la imagen .iso que nos generara para el rescate del sistema operativo en caso de que la unidad se corrompa por el cifrado previamente seleccionado.
deberemos montar el .iso en una unidad externa segura como un dvd/cd o un usb con daemon tools.
ahora, deberemos quemarl el rescate, esto  para estar seguros de nuestra infomacion misma.

si hemos guardado nuestra imagen de rescate en un lugar muy seguro, ahora procederemos ala siguiente ventana que nos pide si deseamos una tecnica para prevenir que alguien quiera desencriptar los datos, con varias tecnicas como por ejemplo la extraccion magnetica, entre otras, le diremos que no.
con esta tecnica se hace aun mas dificultoso la extraccion de datos por firmware u otra tecnica avanzada muy utilizada por algunas agencias de investigacion alrededor del mundo.
al utilizar esta tecnica cabe aclarar que el cifrado aumenta de tiempo, es decir, podria llevar horas o semanas encriptar el disco duro.
nos saldra otra pantalla que nos dira si estamos seguros de esto, le diremos que si,  aceptamos terminos y conficiones y por ultimo , reiniciamos el ordenador.
al reiniciar el ordenador , podremos observar algo como esto:
si ingresamos nuestra password bien, tendremos nuestro sistema operativo,  pero esto es solo un test para verificar si se ha completado correctamente el demo, entonces,  para poder cifrar en realidad, le daremos que si ala ventana que se nos vuelve a desplegar tras el reinicio.
dependiendo del algoritmo criptografico que seleccionamos en la guia de instalacion del programa,  es lo que se tardara el programa en si mismo para efectuar el completo cifrado del disco.

en mi caso dice que va atardar mas de 95 minutos, por lo que esperare a que veracrypt realice su trabajo, podemos ir por un refresco o ir a ver nuestra serie favorita, mientras se encripta completamente nuestro disco duro.

 podremos combinar esta tecnica de cifrado con el seteo de password del bios, para impedir el arranque del sistema operativo, ademas esto le da una capa extra de seguridad a nuestra computadora.
el ladron o cracker, no podra ni ver los archivos puestos que estan encriptados si no tiene la password correcta, y si no tiene tampoco la password de la bios, no podra incluso ni siquiera arrancar el MBR.

ahora veremos como activar el TPM en la bios para poder encriptar mediante el bitlocker en las versiones de windows 7 en adelante.
reiniciamos ala bios y nos adentramos en la bios, especificamente en la seccion de seguridad.
 cabe destacar que bitlocker tambien es compatible completamente con UEFI,  UEFI es una version de la bios pero mucho mas amigable e intuitiva, lo que hace que podamos movernos mas rapidamente por los menus de navegacion.

luego de haber guardado los cambios, vamos a irnos a windows y buscamos en la ventana bitlocker y le ponemos activar bitlocker, le ponemos siguiente y reiniciar.

tendremos que insertar una usb para guardar el archivo de seguridad y de inicializacion ahi mismo, en caso de que ocurriera un problema tecnico, este archivo nos podra salvar la vida.
una vez insertada la usb y guardada la llave de seguridad, retiramos la usb y nos ponemos a reiniciar, ya que la guia del programa nos indicara si queremos reiniciar ya o mas adelante, nosotros le ponemos reiniciar ahora mismo.
tras volver del reinicio, nos iremos al panel de control para verificar que ya esta listo.
podemos observar como ya tenemos el candado, pero ahora nos falta configurar el entorno, esto quiere decir que ,  nos falta poner los permisos alos usuarios, las acciones que pueden efectuar sobre el sistema de archivos,  las particiones, carpetas, entre otras utilidades del sistema operativo.
las configuraciones remarcadas de rojo son las mas importantes, tendremos que ir viendo y practicando con una a una para ver que dice la accion a realizar en dado caso, denegarla o aceptarla.

esta es la ventana para administrar nuestro TPM, por lo que debemos estudiar cada parte del mismo, desde aqui podemos cambiar la password, entre otras cosas mas, cabe destacar que si cambiamos la password, deberemos nuevamente guardar la nueva llave de configuracion en un lugar seguro o en una usb como hicimos anteriormente.

ahora nos vamos al editor de las directivas de windows para cambiar ciertas caracteristicas del cifrado bitlocker,  el nivel de cifrado,  que podemos cifrar, los archivos, etc.
podemos denegar el acceso a usb que no esten protegidas o que no sean confiables.
tendremos que tomarnos un tiempo para tener que estudiar cada valor y detalle de las directivas, para efectuar su correcta configuracion.

antes de continuar con nuestras configuraciones voy a hacer una pausa, para recomendarles algo,  cuando vayan a asegurar  o hacer hardening en alguna corporacion o cliente, lo importante no es asegurar un solo entorno, si no todos los entornos posibles, como?, realizando una seguridad en capas como ya lo he venido diciendo en multiples ocasiones , si pueden empezar por el hardware, colocando una cerradura en el stack de servidores o switchs,  la otra capa colocando un candado al servidor para impedir el acceso ala bios fisica, UEFI,  o a la rom misma, ya que existen herramientas como binwalk para extraer la imagen del firmware y tratar de decodificar su informacion.
la otra capa es asegurar la bios con una password, y la otra seria cifrar el disco duro con un algoritmo criptografico fuerte que no sea posible romper mediante fuerza bruta.
he aqui una imagen:
ahora volvamos nuevamente alas configuraciones del bitlocker,  si queremos que se desactive el bloqueo por medio de usb lo tendremos que especificar en la guia del mismo bitlocker.