Preferiría que nadie, ni siquiera yo, pudiera cifrar mis archivos. No tengo ningún uso para ello, y no lo quiero.
¿Hay alguna forma de desactivar permanentemente cualquier tipo de cifrado en el nivel del sistema operativo?
Si no, ¿es esta una posible mejora que un sistema de archivos futuro podría incorporar? ¿O es fundamentalmente imposible de prevenir?
Los sistemas de archivos de solo lectura no pueden escribirse por definición (al menos no digitalmente. Lo que haga con un perforador y un imán de neodimio es su propio negocio). Ejemplos:
Los sistemas de archivos de versiones serían más prácticos, pero no son comunes. Dichos sistemas podrían incluir fácilmente opciones para escribir de manera transparente cada versión de un archivo (o su diferencia con la versión anterior) en un dispositivo WORM o en un almacenamiento protegido.
Ambos resuelven el problema subyacente: no perder los datos originales en caso de cifrado por software malicioso.
No, eso es imposible, a menos que cambies la definición de un archivo.
Un archivo es datos arbitrarios. Los datos arbitrarios pueden ser datos encriptados.
Incluso si solo permitimos datos estructurados, los datos estructurados pueden, si no asumimos limitaciones de espacio, se pueden utilizar para almacenar todos los datos arbitrarios * (citación necesaria). Lo que nos lleva al punto de partida.
Puedes tener éxito parcial, si introducimos restricciones. Un ejemplo sería si no desea que los archivos se cifren después de escribirlos, puede usar una escribir una vez (o incluso el sistema write only ). O si desea combatir los ataques de ransomware, podría tener un sistema de archivos que conserve las copias originales de los archivos modificados durante un cierto período de tiempo.
* Por ejemplo, un formato de texto restrictivo que solo permite las palabras "Fizz" y "Buzz" puede representar todos los datos binarios al reemplazar 0 con "Fizz" y 1 con "Buzz".
Las cargas de los sistemas de archivos no tienen soporte de cifrado de nivel de sistema de archivos nativo. Sin embargo, los archivos cifrados por software se pueden almacenar en cualquier sistema de archivos, al igual que cualquier otro archivo. El sistema de archivos no puede distinguir la diferencia entre los datos aleatorios y los datos cifrados.
¿Hay alguna forma de desactivar permanentemente cualquier tipo de cifrado en el nivel del sistema operativo?
No siempre que el código pueda ejecutarse y escribir archivos en el disco.
¿O es fundamentalmente imposible de prevenir?
Sin sacrificar la funcionalidad básica, sí.
Sin embargo, has etiquetado tu pregunta ransomware. Lo que puede estar buscando es información sobre sandboxing de aplicaciones o detección de ransomware basada en heurística.
Parece que hay una idea errónea entre el cifrado y los sistemas de archivos.
Los dos son independientes, uno puede hacer el cifrado sin tener un sistema de archivos, y uno puede tener un sistema de archivos sin el cifrado.
Por ejemplo, los sistemas de archivos FAT16 / FAT32 tradicionales no "admiten" el cifrado nativo como lo hace NTFS con su subcomponente EFS. Eso no significa que, sin embargo, uno no pudo cambiar los datos ya confirmados, ni escribir datos en el sistema de archivos cifrado.
Es completamente posible tener un sistema de archivos de "solo escritura" o "solo lectura", pero esto no impide que alguien copie los datos, los cifre y luego los guarde en otro lugar. Sin duda, puede evitar que se eliminen y se sobrescriban los datos que ya se encuentran en el disco (los archivos en Windows se pueden bloquear mediante un proceso activo).
Un sistema de archivos es básicamente un proveedor de servicios para el sistema operativo (por ejemplo, proporciona una manera de almacenar y recuperar datos permanentemente en los medios de almacenamiento subyacentes), y el sistema operativo ofrece este servicio a cualquier programa que se ejecute en la computadora.
No se encuentra en la descripción básica del trabajo de un sistema de archivos para encargarse del cifrado, y si bien hay algunos sistemas de archivos que ofrecen cifrado nativo, generalmente hay otras capas que lo cuidan.
Sin embargo, al ransomware no le importa nada de eso. Incluso si tiene un sistema de archivos que no hace cifrado nativo, e incluso si ha eliminado algún software adicional que proporcione una capa de cifrado (como Truecrypt, Veracrypt, etc.), el código de ransomware utilizará la interfaz que proporciona el sistema operativo para acceder a los archivos en el sistema de archivos y cifrarlos. No hay nada que lo proteja de manera confiable, excepto una copia de seguridad diligente de sus datos, para que pueda recuperarlos si es necesario.
Idealmente, los datos cifrados no deben distinguirse de los datos aleatorios . Esto no es una cuestión de "ocultar" si los datos encriptados están presentes o no (eso es esteganografía; más sobre esto más adelante), sino de asegurarse de que un atacante no pueda encontrar patrones en los datos que, a su vez, puedan usarse para averiguar la clave para descifrarlo.
Esto causa problemas para su sistema deseado, porque los datos aleatorios podrían, en teoría, contener cualquier secuencia de bits . No es necesariamente probable que una cadena de bits aleatoria resulte ser, digamos, un JPEG aleatorio, pero ha sucedido . Combine esto con la esteganografía, donde los datos se ocultan dentro de otros datos (a menudo se usan para ocultar datos cifrados dentro de otros datos no cifrados), y la situación se ve más sombría para su escenario.
Debido a esto, realmente no hay una manera de saber si un dato determinado está encriptado o no, o si contiene otro dato que podría estar encriptado . Lo más cerca que puede acercarse a un sistema de archivos que no puede contener datos encriptados es que no puede contener ningún tipo de datos, y hay muy pocos usos para un sistema de archivos como ese.
Como han dicho otros, no se puede evitar el cifrado a nivel del sistema de archivos, pero la alternativa más cercana que no he visto mencionada es Control de acceso obligatorio .
Básicamente, puede configurar permisos adicionales para que las aplicaciones que tienen acceso a Internet tengan un acceso extremadamente limitado a su disco. Su navegador web, por ejemplo, podría configurarse para que solo pueda escribir en su configuración, caché y un directorio de descargas. Cualquier intento de ese proceso de escribir fuera de esas carpetas sería denegado por el sistema operativo.
Entonces, lo que sucede si se explota una vulnerabilidad es que en lugar de que todo su disco se cifre, solo se puede cifrar su directorio de descargas. Por supuesto, no es 100% seguro (no hay nada), pero es otra capa que los atacantes no suelen esperar.
La desventaja es que es difícil de configurar e inconveniente de mantener, y se siente inútil después de un tiempo cuando los ataques de alto perfil dejan el ojo público.
Supongo que su razonamiento se debe a la preocupación de ser vulnerable al ransomware. Si ese no es el caso, entonces mi respuesta también se convierte en "por qué"? Todos los sistemas de archivos que admiten el cifrado ofrecen opciones para no utilizarlo. Por lo tanto, no tiene la sobrecarga que ralentiza el acceso a sus archivos, y no tiene que preocuparse por la corrupción del disco que hace que todo su sistema de archivos sea ilegible.
No creo que ninguna de las variedades de ransomware aproveche las capacidades de cifrado de los sistemas de archivos. Ellos hacen lo suyo, por lo que deshabilitar el cifrado en el nivel del sistema de archivos no ayudará.
Para evitar que el ransomware pueda encriptar los archivos, deberías hacer que tu sistema de archivos sea de solo lectura, o jugar con los permisos. Podría quitar su capacidad de escribir / modificar / eliminar sus archivos de datos y, específicamente, darse esos derechos solo cuando desee actualizar un archivo. No es muy factible. Hice una pequeña prueba de concepto recientemente con un tipo de aplicación de caja de seguridad, que eliminaría todos los permisos de cambio a una carpeta, haciéndolo solo para usted, administradores, etc. la carpeta.
Realmente no fui mucho más lejos porque todavía no veo que eso sea factible desde la perspectiva del usuario.
La mejor protección contra ransomware sigue siendo hacer copias de seguridad frecuentes de sus archivos. Windows 7/10 tiene la funcionalidad de "versiones anteriores" que está bien porque mantiene un historial de los archivos a medida que cambian. Entonces, si sus archivos se encriptaron, borraron, etc. hace una semana, pero no se dio cuenta hasta hoy, aún encontrará las versiones que no están dañadas.
Podría instalar Windows 7/10 para activar UAC cuando sus archivos de datos se modifican si coloca esos archivos en la carpeta "Archivos de programa".
Si la preocupación es acerca de evitar que los archivos se vuelvan inaccesibles, un sistema de archivos versionado (como el VMS), configurado para eliminar las versiones antiguas no es trivialmente posible, probablemente esté entre sus mejores opciones.
Lea otras preguntas en las etiquetas encryption ransomware file-system