Foro de elhacker.net

hola

Sí, ya se que solo tengo que entrar en Google y tipear "chip TPM". Pero las explicaciones que encuentro son bastante ambiguas o limitadas a decir en resumen que almacena las contraseñas pero ni palabra de los perjuicios claros que esto pueda tener para los usuarios si lo borrar por error o  por ignorancia.


Por ejemplo supongamos que mi Windows tiene contraseña para entrar y dicha contraseña está almacenada en el TPM. Si se borra el TPM  no podría entrar en Windows, ¿Qué ocurriría?

Saludos y gracias

Veo que tu pregunta va más dirigida al Bitlocker, pues la contraseña de Bitlocker que protege la unidad del sistema se almacena en el TPM (si previamente han activado bitlocker claro está) y tengo entendido de que TPM solo está disponible cuando usas UEFI y me parece que también SecureBoot, he visto que algunas personas desactivan SecureBoot o ponen BIOS Legacy en lugar de UEFI, entonces el TPM se desactiva automáticamente y en el peor de los casos limpia las contraseñas almacenadas en él y pierdes el acceso al Disco del sistema por no tener la contraseña salvo que tengas una copia de contraseña o clave de recuperación. Bitlocker suele sugerir bastante el guardar copias de la clave de recuperación en el correo, usb, archivo aparte, etc.

Muchas gracias por tu ayuda. Te explicaste de maravilla aunque tengo que admitir que en estos temas soy de padawan para abajo  :xD ya que yo nunca he usado este tipo de tecnología de seguridad y me suena un poco a chino y sin traductor. Sí que he oído o visto estas cosas de SecureBoot, UEFI (en lugar del viejo BIOS), aunque desconocía totalmente la implantación del chip TPM. En fin estas cositas que obliga a tener Microsoft justificándolas con la seguridad y esas cosas si quieres usar sus nuevos y cada vez más engorrosos OS.

Te explico. A mis manos ha llegado un portátil Toshiba, el cual no podía acceder al disco duro porque tenía una contraseña. Como nunca he usado un Toshiba desconocía como funciona exáctamente, incluso abrí un post en este foro para pedir ayuda y no recibí respuesta. Entonces busqué y busqué en Internet, cuyos modelos respecto al tema eran otros. Descubrí que todos las "ayudas" que encontraba realmente eran referidas a la contraseñas del bios (UEFI en realidad) y que la contraseña del laptop era del disco duro.  Cuando esto ocurre estos laptops de Toshiba no dejan hacer absolutamente nada ni acceder al UEFI ni nada. Así que todos esos truquillos que veía en Internet no valían para nada. Entonces se me ocurrió quitar el disco duro y entonces al encenderlo ya pude acceder al bios (UEFI) y en el apartado de Seguridad  tuve la estúpida idea de trastear en este apartado y activé la contraseña "Bios password" esto provocaba que cada vez que prendía pidiera la contraseña del Bios y en el intento frustrado de quitarla reseteé el chip TPM para luego descubrir que los lumbreras de los fabricanes y Microsoft se les ocurrió que era buena idea que por "seguridad" guardar las contraseñas en ese chip.

(https://wiki.edu.gva.es/lliurex/tiki-download_file.php?fileId=4258&display)

Para quitar la contraseña del BIOS seguí este tutorial y la quité:
https://support.dynabook.com/support/viewContentDetail?contentId=108503

Pero ya era tarde había reseteado el chip TPM  :-\

Ahora mi duda es si consigo desbloquear la contraseña del disco duro que no pueda acceder a la cuenta que Windows que tenga activada. Ignoro ademas si tiene Windows 10 u 11 o qué sistema de seguridad tenía activado, de seguro era de dynabook que es lo que usa el Toshiba.

QUE ES EL TPM 2.0 Y COMO SABER SI TU COMPUTADORA LO TIENE BIEN EXPLICADO 💻🖥💻🖥

Ed2_-fro6nQ

---

Las consecuencias claras son las mismas que si pierdes una contraseña... siempre y cuando tu sistema haya utilizao el TPM para almacenar contraseñas, claro está.



Dicho esto, cabe mencionar que no necesitas tener TPM activado si así lo deseas, ni siquiera para instalar y posteriormente utilizar Windows 11 (se puede omitir el requisito del TPM en la instalación de Windows 11 de forma muy sencilla editando cierto archivo).

---

No creo que se pueda ya que se supone que eliminaste todo rastro del contenido criptográfico protegido en el TPM. Pero tampoco pierdes nada por intentarlo mediante estas indicaciones:

 -  Is there a way to unlock a bitlocked hard drive using TPM in command prompt? (https://superuser.com/a/1553873)
 - Recover drive locked by bitlocker w/o access to old TPM (https://answers.microsoft.com/en-us/windows/forum/all/recover-drive-locked-by-bitlocker-wo-access-to-old/d980eef4-00da-4cdc-93e1-e062d6d48792)

-Enjuto Mojamuto "rey de los frikis" a su disposición para futuras dudas.

wow muchas gracias por la ayuda. Que gran aporte. No se me ocurrió tirar por el camino de bitlocker.

Como comentario personal creo que el chip TPM es un error a juzgar por los problemas que está causando a infinidad de usuarios. Se supone que está por seguridad no para que por la razón que sea los datos acaben siendo inaccesibles incluso para sus propios propietarios.

Saludos

Lo que pasa es que la gente no entiende los procesos de cifrados. De seguro y les dicen, activa esta opción y listo, estás completamente seguro. La realidad es que el cifrado requiere una llave en específico y que esta llave necesita estar almacenada en algún lugar (generalmente seguro, sino para que hacer todo esto).

No puedes dejar la llave en el mismo medio cifrado porque entonces no la puedes leer, ya que necesitas esta misma llave para poder leer el disco, entonces habrá que ponerla en algún lado.

El chip entonces cumple su cometido, de almacenar la llave de manera segura. Técnicamente, no hace falta ponerla en el TPM, estoy seguro que hay equipos que no tienen TPM y podrías ponerla en una USB por ejemplo. Otra cosa es que Windows no lo permita...

Realmente solo es un problema si el modulo falla o si el usuario maneja mal la contraseña. Al final, la llave de cifrado es información que debe ser respaldada. Cualquier dato es propenso a perderse, ya sea que la guardes en tu cabeza o en cualquier otro tipo de memoria.

Y ese es el problema, la seguridad tiene un costo. El costo es que tiene que gestionar la llave de manera segura y la gente tiene muy mala practicas de gestión de la información. La solución simplemente es... no pagar por seguridad que no puede costear.

Claro que en tu caso, la culpa la has tenido 100% tú. Esto no fue culpa del sistema operativo, ni de la UEFI, ni de Microsoft. Tu has utilizado incorrectamente el sistema por tu propio desconocimiento. Y espero que tu contacto haya tenido respaldo de su información o al menos tenga una copia de la llave de bitlocker, porque sino te has cargado toda la info de tu contacto.

Pero hombre llevo trasteando con ordenadores desde hace ya 30  34 años desde el Spectrum pasando por el commodore, un Sharp de esos con cassete luego w95, w98, WMe, y hasta hoy. Como voy a imaginar que cambiando un valor el el Bios de 1 a 0 (que no recuerdo si por defecto estaba a 1)  se vaya a borrar datos concernientes al sistema operativo o al disco. Como mucho piensas que pueda haber alguna incompatibilidad, obvio no tocaría cosas que pensase que pudiera dañar el ordenador como voltajes y cosas así, si estuvieran esas opciones. Si desactivas la cámara no funcionará pero solo es volver a activar y listo. Nada grave. Como voy a imaginar siquiera que darle Clear TPM borre contraseñas  :-\

De todos modos y tras mucho analizar el disco creo que está vacío, por alguna razón no se porqué está bloqueado según hdparm desde Linux. Debería decir 'not locked' pero pone:

Como puede verse seguridad permitida y bloqueada. Sin embargo desde el principio al conectarlo no tiene partición, ni volumen, ni asignación. Nada. Aunque estuviera bloqueado debería tener volumen y letra al conectarlo como externo en otro ordenador ¿me equivoco? sin embargo no es así. Desde Windows no puedo usar este comando:

manage-bde -status c:

Porque no tiene letra alguna y no se puede asignar. Ni tampoco desde linux por cierto lo que pasa que en linux si que puedo hacer referencia con /dev/sde (en micaso)

Si acaso podrías argumentar que la interface debería haber sido más clara acerca de las cosas que se almacena en el TPM y/o quizás proteger la opción más... Pero el hecho es que el modulo sirve un propósito que tu desconocías y activaste una opción sin saber lo que hacia. El que tu hayas pensado que no puede existir una opción que dañe la información del sistema no significa nada. Realmente, el sistema no se ha vuelto inutilizable. Pero vas a necesitar formatear ese disco duro.


No está vacio, el sistema tiene un seguro ATA.

https://en.wikipedia.org/wiki/Parallel_ATA#HDD_passwords_and_security

El nivel de seguridad está en máximo. Si el usuario no recuerda la contraseña entonces el disco duro no se puede leer a menos que hagas un borrado de seguridad, que se carga la info del disco duro. Aunque técnicamente hay formas de obtener la contraseña:


https://security.utexas.edu/education-outreach/BreakingATA

Yo le pediría al dueño del disco duro la contraseña si es que se acuerda y la ha puesto el. Desconozco si BitLocker pone un seguro ATA encima del cifrado sobre el disco. Me resulta redundante pero puede ser que añada esa protección extra. Yo no creo que estés tratando con BitLocker, por lo tanto la contraseña no debe estar en el TPM (esta la puso el usuario lo mas probable).

En un disco bloqueado no hay comunicación con el dispositivo prácticamente. 0 I/0. Yo creo que en la lista de Hardware de Windows deberías poder ver que el HDD sigue apareciendo, pero obvio que no verás las particiones.

muchas gracias, menos mal que puedo hablar con alguien que sabe algo del tema

No es un HDD, sino un SSD 2.M SATA. En cuanto al dueño, es algo imposible. Se trata de una compu que ha pasado de una persona a otra, la actual propietaria desconoce cual es la contraseña porque es una compu de empresa y ni idea de quien le puso la contraseña. Lo suyo seria borrarlo y punto pero entiendo que al ser un disco de portátil este tendrá el recovery para restaurarlo de fábrica. Por otro lado el hecho que esté bloqueado hace pensar que obviamente que quien se tomó tantas molestias escondía algo, ya que no se limitó a la típica contraseña de Windows de inicio de sesión.

No no fue con Bitlocker si no con una aplicación de Toshiba creo que podría ser HDD Protection Utility. No esta es una extraña aplicación no se muy bien para qué:

(https://support.dynabook.com/content/support/bulletins/su3368363/HDD_1.jpg)

Si la partición de recuperación está en otro disco entonces quizás si puedas restaurarlo de fabrica. Pero usualmente, esa partición está dentro del mismo disco duro. Habrá herramientas de Toshiba quizás puedan restaurar el sistema de fabrica pero lo mas probable es que tengas que hacer un borrado seguro para dejar el disco utilizable.

He entrado en la página de soporte de dynabook (toshiba, absorvida por Sharp y ahora llaman dynabook), pues me encuentro que dice los siguiente:


 :xD

---

Encontré la aplicación que quizás se utilizó. Igualmente tanto en el manual de ésta como en el del portátil dicen que si se pierde la contraseña será totalmente inaccesible.

HDD Password Tool
https://toshiba.semicon-storage.com/content/dam/toshiba-ss-v3/master/en/storage/support/security-advisories/english_users_manual_1.40.pdf (https://toshiba.semicon-storage.com/content/dam/toshiba-ss-v3/master/en/storage/support/security-advisories/english_users_manual_1.40.pdf)

¿Que marca de SSD es?

Prueba con la contraseña maestra del fabricante:

hdparm --user-master m --security-disable PASSDELFABRICANTE /dev/sde

La contraseña maestra del fabricante vas a tener que buscarla en internet. Si es un SSD de toshiba, la clave maestra son 32 espacios en blanco.

Aunque tengo entendido que esto solo funciona en seguridad HIGH y no MAXIMUM.

Puedes usar esta contraseña para borrar el disco y dejarlo como nuevo:

hdparm --user-master m --security-erase PASSDELFABRICANTE /dev/sde

Asegurate que /dev/sde sea el disco duro que quieras abrir.

gracias amigo agradezco la ayuda ya lo probé el 'erase' obviamente no, de momento. El único que encontré es que para el HDD de Toshiba( esa es la marca) es 32 espacios.

El método a seguir en el caso que sepamos la contraseña sería:

Desbloquear

Desactivar seguridad:


Si es al master password del fabricante pues usar m en lugar de u como as posteado
Desbloquear

Desactivar seguridad:

pero siempre me da el siguiente mensaje al final:


Literalmente faltan datos de sentido. Según he leído por algún que otro foro es por conectarlo en modo externo, algo así como que en el proceso de información entre tu ordenador, el controlador de externo y el disco de produce un error. Sugieren conectarlo directamente a una placa. Algo para mí totalmente inviable. A no ser que comprar un adaptador especial, si es que hay para conectarlo como disco interno en la placa de mi torre. Que además igual para nada. Ya he probado usarlo con un Live de linux en el propio portátil y el sistema de bloqueo impide el arranque de Linux, si saco el disco Linux arranca pero al conectar el disco como externo  incluso en el propio laptop lanza el mismo mensaje. Estoy investigando sobre esto.
(añado he probado con USB3 Y 2)

---

Podría ser que la solución sería cambiar la forma en que Linux se comunica con el dispositivo pero ahí no  llego  :-\. Ni idea de que debería modificar o qué parámetros.

https://github.com/raspberrypi/linux/issues/3335 (https://github.com/raspberrypi/linux/issues/3335)

El SSD tiene que estar conectado por SATA (el comando es propio de la interface). Lo puedes hacer desde el propio portátil, usas una distribución linux y listo.

Lo he comentado arriba, he metido un live de linux, y el SSD lo he conectado como externo y la respuesta es la misma. No lo puedo conectar por sata porque nada mas arrancar pide la contraseña y no lanza el boot del pendrive. No hay forma ni pulsando F12, la cual es para mostrar los dispositivos desde el que se desea arrancar, ni el F2 para le Bios. Absolutamente nada, solo introducir la contraseña. Desde el Bios está puesto para que primero lea el pendrive. Incluso he probado de conectarlo en caliente una vez a arrancado Linux, pero lógicamente al hacer esto no detecta el disco ya que el bios debe reconocerlo inicialmente.

Entonces no queda de otra, necesitas un equipo que permita conectarse por SATA.

Yo dejaría el sistema en modo legacy/BIOS y tratar de arrancar desde ahí. Si eso no funciona, quitaría todas las entradas EFI de la laptop e intentaría arrancar desde UEFI. No se que tan reciente sea la laptop pero si tiene una lectora de CD puedes poner ahí el disco duro con candado e instalar en otro disco duro el sistema operativo sin candado.

Ojo que obviamente importa como estes flasheando tu distro live. Quizás le estas dando prioridad a USB por UEFI y tu distro está flasheada con legacy. Eso provocaría que arranque el sistema desde la BIOS con otro orden de booteo.

Lo más sencillo claro, es conectarlo a otro equipo...

Aunque podría ser también que esa sea una medida de seguridad estándar de todas las UEFI/BIOS, que requieran abrir el disco sin importar que no sea el disco a arrancar. Ahí sería más jodido porque el sistema congelaría el disco duro siempre y no estoy seguro si se puede hacer el descongelado sin reiniciar el equipo. Ahí ni con otro equipo te salvas... y necesitas encontrarte una manera de interactuar con el HDD en directo con hardware especial.

Pues al final el tema se pone interesante  :laugh:

Ahora lo que he hecho es usar el comando sdparm (tuve que instalarlo)

Hice lo siguiente:

WP=1 quiere decir que la escritura está protegida.

Ahi dice /dev/sdd no /dev/sde...

No creo que el sdparam te sirva.

oh no tranqui compa, sdX va cambiando según conecte 1 o más discos duros a la PC. Si ya hay un /sde, Linux le asigna el /sdd al conectarlo.

Al final lo que voy a hacer es dejar el tema en espera (standby como dicen en inglés). Quizás en un futuro descubra algo, o se me ocurra algo o por casualidad encuentre una solución en algún foro o algún programa de estos alemanes, yo que se, lo que sea y retome el trabajo.

Me he comprado un disco idéntico de segunda mano por 20 €. Estaba formateado pero le hicieron un pase rápido y al pasarle un 'recovery file'  tenía un montón de archivos, informes, datos en *.xlsx y .docx además de fotos de trabajo y algunas familiares que resultó lo habían extraído de un Dell y era de un bufete de abogados o algo similar.  Una vez le haga una limpieza y lo deje limpio como una patena, lo pondré en el laptop y le meteré Windows 10, pero viendo lo tisquismiquis que es esta compu a saber si me da problemas con esto también.

He pillado el COVID y ya llevo una semanita con esto, de momento le meto el W10, le bajo todos los programas y drivers, para dejarlo lo más parecido a de fábrica y listo.  Con el tiempo quizás descubra como recuperar le disco sin borrarlo o bien se lo doy a la dueña y que haga lo que crea conveniente con él.

---

Quiero hacer un inciso. Tras mucho leer e investigar he descubierto que no se debe usar el master password del modelo de tu HDD/SSD para desbloquear si la seguridad está al máximo ya que esto borraría los datos. ¿ok?

Si haces esto lo desbloquearía pero borrarías los datos.
(PASS es el master password del disco)

Por suerte no pude, de haber podido se hubiera borrado.
Estos so los casos posibles:



Otra cosa que he descubierto y volviendo al tema del hilo es que el TPM en este caso no pinta nada. El password queda guardado en el disco duro, de hecho se puede obtener con programas de hacking o cracking no se bien cual sería la expresión correcta.

Por último cuando se trabajan con discos duros bloqueados hay que hacerlo conectados directamente a placa ya que los programas  sea desde consola o con GUI creados para comunicarse  con el disco reciben información conjunta [adaptador USB+HDD/SSD] y la comunicación se ve comprometida.

Aquí dejo algunos enlaces y vídeos de interés al respecto:

4-bU945-k1I
Aquí puedes bajar el programa al que se usa en el vídeo.:
http://files.hddguru.com/download/Software/SeDiv/ (http://files.hddguru.com/download/Software/SeDiv/)
He encontrado varios del mismo tipo, lo interesante es que no se pueden comprar directamente, tienes que contactar con los creadores del programa directamente y hacer el pedido ( y ni idea del precio).


Victoria (software)
https://www.usbdev.ru/files/victoria/ (https://www.usbdev.ru/files/victoria/)

Este programa es una pasada. Desde Windows y preferiblemente con XP, sí en serio, podéis encontrar mucha información del HDD/SSD, si está congelado, si está bloqueado, nivel de seguridad, vendor, serial, etc.  así como una opción de desbloqueo que podéis encontrar en el menú, se abre un cuadro y trabaja de forma idéntica a hdparm pero con botones y ventana podéis elegir el tipo de desbloqueo sea usuario o master y con elevación de seguridad alta o máxima. Podéis ademas hacer un chequeo con lectura o escritura(ojo con esto).
(https://static.filehorse.com/screenshots/benchmarking/victoria-ssd-hdd-screenshot-01.png)


HDPARM  Y SDPARM en LINUX
http://www.w3big.com/es/linux/linux-comm-hdparm.html#gsc.tab=0 (http://www.w3big.com/es/linux/linux-comm-hdparm.html#gsc.tab=0)

https://linux.die.net/man/8/sdparm (https://linux.die.net/man/8/sdparm)

Algunos programas de Linux que pueden ser útiles:
https://www.digitalocean.com/community/tutorials/top-best-linux-data-recovery-tools (https://www.digitalocean.com/community/tutorials/top-best-linux-data-recovery-tools)


Aquí un poco de cultura general que os puede ser útil sobre el tema, UEFI, BIOS, modos de entrada UEFI/BIOS según la marca y modelo de tu compu, particionado, firmware, MBR, GPT, NVRAM, etc. Aquí el glosario:

Algo que se me ocurrió pero que ya está hecho por @mrtcode. Crear un script que envíe solicitudes de desbloqueo con hdparm desde Linux al disco duro creando una código que vaya alternando diferentes contraseñas hasta dar con la correcta y que se desbloquee. En mi caso no puedo usarlo porque tras unos 30 intentos, no los he contado, el disco se desconecta solito.
https://github.com/mrtcode/ssd (https://github.com/mrtcode/ssd)


Por último como he comentado y es algo que todavía tengo que comprobar aunque todo parece indicar que así es y según lo que he leído en algunos foros, parece imprescindible una conexión directa del disco a la placa base y no hacerlo desde USB 2.0/3.0. Por bajo precio podéis encontrar este tipo de adaptadores para conectarlo al puerto directo de la placa.

(https://ae01.alicdn.com/kf/HTB1qnPPSFXXXXbTaXXXq6xXFXXXL/NGFF-M-2-B-Key-SSD-2230-2242-2260-2280-a-SATA-Serial-ATA-adaptador-tarjeta.jpg_Q90.jpg_.webp)


No uséis de este tipo de aquí abajo, personalmente lo he probado y aunque van bien si quieres un disco externo para aprovechar un SSD de alguna compu vieja que encontraste. Los programas de hacking para discos duros como SeDev (solo funciona con XP) para resetear la contraseña no lo detecta si lo conectas desde USB. Detectará el que tienes en la placa base sin problemas. En cambio Victoria sí detectará tu disco duro pero también de forma independiente el adaptador como si de otro disco duro se tratara. He probado el Victoria con el USB para desbloquearlo con contraseña(que no la tengo), así que supuestamente podría si quisiera y tuviera la contraseña de usuario desbloquearlo y con la  maestra del disco duro, bueno el disco sólido en mi caso,  entonces podría desbloquearlo pero borrando lo datos.
 
(https://m.media-amazon.com/images/I/71nBhpf92vS._AC_SX425_.jpg)

De momento dejo el tema en espera, sin consigo desbloquearlo os informo... ;)


Saludos