Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Antivirus y EFS en Windows Server 2003
 
VSantivirus No. 1057 Año 7, Viernes 30 de mayo de 2003

Antivirus y EFS en Windows Server 2003
http://www.vsantivirus.com/fdc-efs-ws2003.htm

Por Fernando de la Cuadra (*)
Fdelacuadra@pandasoftware.com



La Criptografía es una ciencia muy antigua, tanto que incluso ya los espartanos, 400 años antes de Cristo, utilizaban un sistema secreto de escritura que consistía en un cilindro al cual se colocaba un papiro en forma de espiral. Se escribía entonces el texto en cada una de las vueltas del papiro, pero de arriba hacia abajo. Una vez desenrollado, sólo se podía leer una serie de letras aparentemente inconexas. Para descifrar el mensaje era necesario colocar el papiro exactamente en la misma posición en la que había sido escrito. 

Desde la aparición de los ordenadores personales las técnicas de cifrado han evolucionado de una manera realmente espectacular. Si antes el principal obstáculo para descifrar un mensaje cifrado con alguna técnica matemática era la necesidad de realizar muchísimos cálculos, la informática consiguió que se realizaran automáticamente. A su vez, estos mismos ordenadores se encargaban de perfeccionar los sistemas de cifrado para hacerlos más complejos.

En la actualidad no se concibe que una transmisión de información que tenga cierta relevancia no se realice sin haber sometido los datos a un proceso previo de cifrado, que les salve de intrusiones o miradas indiscretas. Por desgracia, cuando se piensa en una transmisión de información únicamente se piensa en Internet, cuando hay muchos sistemas más que permiten hacerlo y que también necesitan sistemas de cifrado.

De un tiempo a esta parte, los ordenadores portátiles han pasado a ser un elemento de uso habitual para aquellas personas que tienen que desplazarse. Toda la información que hay en estos ordenadores también se desplaza y, por tanto, debe tener algún sistema de protección. Las contraseñas pueden suponer una pequeña barrera, pero insuficiente para alguien con verdadero interés por la información almacenada, que podrá conseguirla sin grandes esfuerzos.

Para evitar esos problemas Microsoft incorpora en sus sistemas operativos un sistema de cifrado de información en disco que impide el acceso sin derechos adecuados. Este sistema, llamado "Encryption File System" (EFS), ofrece la posibilidad de cifrar archivos y carpetas. De esta forma, si alguien no autorizado consigue obtener acceso a un archivo después de sustraer, por ejemplo, un portátil o un disco, no podrá descifrar el archivo y ver su información.

EFS incorpora varias capas de cifrado para incrementar la seguridad. Cada archivo cuenta con una clave de cifrado de archivo única indispensable para poder descifrar los datos del archivo. Esta clave, que también está cifrada, sólo está en posesión de los usuarios que tienen autorización para ver los datos. Además, EFS está integrado en el sistema de archivos, lo que dificulta aún más cualquier acceso no autorizado y, al mismo tiempo, facilita la administración por parte de los usuarios. El proceso de cifrado y descifrado de datos es totalmente transparente y en la práctica no requiere intervención por parte del usuario, que sólo debe elegir el archivo que desea cifrar.

Uno de los grandes problemas que implica establecer un sistema de cifrado de archivos es el uso posterior de esos archivos no sólo por los usuarios que lo cifraron, sino por otras personas, como los administradores de la red o los superiores de los propietarios de los archivos. Si el propietario de la contraseña no está localizable en un determinado momento, los responsables de sistemas no podrán recuperar la información cifrada. Para evitar dicha situación, EFS incluido en Windows XP y en Windows Server 2003 permite al administrador recuperar la información cifrada, creando lo que se conoce como "Agentes de Recuperación", que tienen acceso a todas las contraseñas de todos los usuarios.

Si bien el uso de EFS o de cualquier otro sistema de cifrado proporciona un elevado sistema de seguridad, también puede dejarle expuesto ante los virus. Al cifrar un archivo, su contenido se vuelve completamente ininteligible tanto para las personas como para los procesos que no conozcan la contraseña establecida para un fichero, o la genérica de los administradores.

El proceso más afectado por esta limitación es el encargado de buscar código malicioso en el sistema: el antivirus, que debe analizar todos y cada uno de los archivos susceptibles de contener virus e impedir que se ejecuten. Fundamentalmente, debe encargarse de los ficheros ejecutables como "EXE", "COM" o "DLL", más aquellos de datos que puedan contener código ejecutable como los "DOC" o "EXE" y sus macros. En la práctica, son precisamente estos documentos de Word o Excel los que van a ser cifrados con mayor frecuencia, ya que es donde suele almacenarse la información importante: presupuestos, proyecciones de futuro, etc. Si un sistema antivirus no es capaz de analizar estos ficheros cifrados, el virus permanecerá en ellos, lo que conlleva un inmenso peligro. 

La instalación de un antivirus sobre un sistema Windows Server 2003 y EFS debe hacerse comprobando previamente que el sistema antivirus es capaz de analizar los ficheros que puedan contener virus, aunque estos se encuentren en archivos cifrados. En caso contrario, cifrar un archivo supondrá dejar ciego al antivirus ante el código malicioso.

En teoría, para poder analizar los ficheros cifrados el antivirus debería poder acceder a todas y cada una de las claves de cifrado de cada uno de los archivos almacenados. Así, el antivirus debería actuar como un agente de recuperación de la información, con acceso a todas las claves de descifrado. Evidentemente, por el riesgo que puede conllevar, cualquier política de seguridad evitará la creación indiscriminada de agentes de recuperación, por lo que el antivirus no debe utilizar este método que, por lo tanto, debe obrar en otra dirección. En concreto, en cuanto un usuario acceda al fichero cifrado y lo abra, el antivirus debe interceptar ese fichero y analizarlo, haciéndose pasar por el usuario de ese archivo. De esta manera, únicamente los ficheros que vayan a ser utilizados con los derechos apropiados (es decir, por un usuario que disponga de la clave de descifrado) serán analizados, con el consiguiente ahorro de recursos, sin mermar en ningún momento la seguridad del sistema.

El esquema del proceso de análisis y desinfección es el siguiente:

1. El fichero se encuentra almacenado en el disco duro.

2. El usuario hace una petición al servidor para recuperar ese archivo.

3. El sistema del servidor hace la petición al disco con las credenciales del usuario solicitante.

4. El antivirus que se encuentra interceptando la actividad de disco recibe esa solicitud. Como el fichero se encuentra cifrado, para abrirlo hace una llamada al sistema para que lo descifre. Esa llamada la hace con las mismas credenciales del usuario solicitante, haciéndose pasar por él. Una vez que el fichero está descifrado, analiza y, si procede, desinfecta los códigos malignos que encuentre.

5. El antivirus devuelve al sistema el fichero limpio y a su vez, el sistema lo devuelve al usuario..


(*) Fernando de la Cuadra es Editor Técnico Internacional de Panda Software (http://www.pandasoftware.com)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS