USB compartilhado entre os alunos: defina uma senha apenas para escrever

27

Sou professor e gostaria de compartilhar arquivos em um pendrive entre estudantes e outros sistemas operacionais.

Em particular, eu gostaria de definir uma senha para escrever / alterar, enquanto o conteúdo do USB pode ser lido por todos. Isso é para impedir a difusão de malware.

É possível?

usb password security amorvincomni
fonte
6
Não é possível que qualquer pessoa com acesso root em qualquer máquina possa alterar as permissões rw.
Panther
15
Essa é uma daquelas poucas vezes em que as respostas do tipo "compartilhe da nuvem" funcionariam. Você faz com que os alunos "salvem" uma cópia em seu próprio espaço na nuvem, seja o Google Drive, um drive / skydrive, dropbox, etc. e depois compartilhem o link com você.
Criggie
1
@LasVegasCoder Não fornece uma opção somente leitura, como o OP deseja. Além disso, o TrueCrypt também é substituído pelo VeraCrypt agora. O mesmo problema se aplica.
Thomas Ward
2
Algumas respostas sugeriram que você use um DVD. Eu recomendaria que você não - muito poucos estudantes têm um computador antigo o suficiente para poder ler um.
Tim
2
Este é exatamente o caso de uso para o qual a World Wide Web se destinava, duas décadas antes de "nuvem" significar alguma coisa.
dotancohen 12/09

Respostas:

39

Como essa unidade será usada em sistemas que você não controla ou que não são Linux e que não suportam o esquema de permissões do Linux, você está um pouco sem sorte aqui.

Porém, não existe uma maneira real de proteger a senha que você procura em um disco sem equipamento especializado, o que geralmente não é econômico como solução (conforme detalhado abaixo).

Observe que eu sou um profissional de segurança de TI; portanto, se pareço menosprezador ou menosprezo na minha mensagem e resposta aqui, não falo assim, sou apenas hipercrítico quando se trata de segurança, pois é meu trabalho ser maneira.

(Role para baixo até a seção "Se você realmente deseja um método seguro para compartilhar uma unidade flash por aí ..." abaixo, se não quiser ouvir meu discurso retórico sobre todos os riscos à segurança que está apresentando.)

Regra de segurança do sistema 0: NUNCA compartilhe unidades USB, se você quiser limitar o risco de malware!

Eu digo que essa é a regra 0, mas essa é realmente a regra 0B - a regra 0A trata do acesso físico aos sistemas.

Mas, para simplificar, esse é um risco de segurança MAIOR . Ao tentar usar um USB para distribuir dados, você corre imediatamente o risco de não conseguir controlar se o malware é colocado no stick ou não. Isso é parcialmente contornado por pen drives com um interruptor de bloqueio somente leitura, como o Kanguru FlashTrust 3.0 , mas eles podem ser facilmente transformados em leitura / gravação pressionando o interruptor.

Como profissional de segurança, sugiro fortemente que você forneça um método alternativo que não seja o pendrive USB para acessar os itens da sua turma , como uma conta Box ou arquivos veiculados em um site no espaço da web da instituição educacional.

Outra alternativa é um CD / DVD totalmente gravado em, totalmente bloqueado, que funcionaria da mesma maneira e, porque seria totalmente gravado e não teria espaço aberto extra quando você travasse o dispositivo completamente. o disco já seria considerado 'somente leitura'. A menos que você precise compartilhar arquivos enormes, nesse caso, a opção do DVD pode não funcionar bem. Porém, mais e mais dispositivos estão sendo lançados no mercado sem unidades de CD / DVD, o que significa que essa também não é a solução ideal.

Aposto também que, ao distribuir esta unidade flash, você quebra algumas regras sobre "dispositivos autorizados" nos sistemas de computadores da sua escola, mas não posso falar sobre isso.

Se você realmente deseja um método seguro para compartilhar uma unidade flash por aí ...

... você começa a entrar no mundo de equipamentos muito caros, como o Apricorn Aegis SecureKey 3, que é um pen drive criptografado por hardware que permite definir uma senha para o modo administrador, mas também fornecer senhas de usuário somente leitura como códigos secundários em o dispositivo. Dessa forma, o disco está bloqueado no modo somente leitura para não administradores e no modo de leitura / gravação para o usuário do código administrador.

O problema é que é caro - US $ 129US por apenas um pen drive seguro de 16 GB - devido principalmente ao custo de dispositivos criptografados por hardware (mas dispositivos como esses são projetados para um conjunto muito especial de possíveis casos de uso e, como tal, o a disponibilidade de produtos mais baratos é zero devido à falta de demanda da indústria). Portanto, essa geralmente não é uma opção econômica, especialmente se você não confia em seus alunos.

Em última análise, porém, não há realmente nenhuma maneira fácil e econômica de alcançar o que você deseja com apenas um pen drive USB, mantendo a compatibilidade entre sistemas operacionais e, mesmo assim, você não pode garantir a segurança.

O problema é que muitos sistemas operacionais diferentes são usados ​​e em jogo. Mesmo se os sistemas operacionais não fossem um fator, qualquer usuário com rootpoder seria capaz de se dar acesso se fosse um pendrive formatado para Linux com permissões de Linux definidas. Simplesmente não há como alcançar a segurança do stick USB com soluções gratuitas ou de baixo custo.

Porém, esta é uma das poucas vezes em que o compartilhamento via nuvem (Dropbox, Google Docs, Box e até uma instância OwnCloud) é a solução adequada, porque não há risco de infecção por malware apenas baixando o arquivo (a menos que o arquivo em si é um malware). (E a probabilidade de um dos serviços em nuvem mencionados acima estar infectado por um malware que você está tentando proteger é extraordinariamente baixa)

Thomas Ward
fonte
2
Como estudante universitário, não tenho como ler uma unidade de disco. Nenhum dos dispositivos que tenho comigo na Universidade possui um slot de unidade. Este não é um cenário incomum - uma proporção significativa de estudantes usa apenas laptops.
Tim
1
O problema é que muitos sistemas operacionais diferentes são usados ​​e em jogo. ” Não, não é, e a resposta em si explica por que não. O problema é econômico: há uma demanda insignificante por um dispositivo com essas características, para que eles não se beneficiem de economias de escala e sejam caros.
Peter Taylor
1
@PeterTaylor Na verdade, parte disso são os sistemas operacionais - você pode fazer um controle rudimentar se for um disco formatado em Linux e os usuários finais estiverem usando laptops Linux emitidos pela escola sem rootacesso. Nesse ponto, os controles padrão para listas de acesso etc. poderiam funcionar. Como temos que dar suporte a outros sistemas operacionais, torna-se economia
Thomas Ward
4
Observe que uma unidade de US $ 129 protege apenas contra estudantes que não gastariam US $ 129 para pregar uma peça em seus companheiros.
Dmitry Grigoryev
1
@amorvincomni O Windows não consegue ler os formatos de disco rígido Linux ou Mac, mas pode ler formatos compatíveis com várias plataformas (FAT / FAT32 / exFAT); O Linux pode ler todos eles; O Mac pode ler apenas formatos HFS e de plataforma cruzada (FAT / FAT32 / exFAT); você só pode conceder rootacesso restritivo a um determinado disco para um sistema de arquivos compatível (ext4 ou similar). Mas aposto que apenas um subconjunto MUITO MUITO pequeno de seus alunos usa sistemas Linux e não tem privilégios de administrador (se eles têm sudoou superusuário acessam sua etapa de proteção é irrelevante porque eles têm superusuário nesse sistema e nos dispositivos conectados).
Thomas Ward
12

Compartilhe um disco de CD ou DVD.

Discos graváveis ​​são realmente baratos. Drives também são baratos. Compre um gravador de DVD USB externo por menos de US $ 30, ele funcionará em qualquer computador moderno e você poderá emprestá-lo a estudantes que não possuem sua própria unidade.

Todos os discos, exceto os caros, são gravados uma vez; portanto, os dados gravados no disco não podem ser reescritos. Você deve certificar-se de gravar o disco em sua capacidade total, ou o sistema de arquivos no disco pode ser modificado ou substituído, escrevendo mais dados nas regiões vazias. Mesmo que você deixe espaço vazio, há menos malware que se espalhará em um disco óptico do que em uma unidade flash.

A desvantagem disso é que, se você deseja compartilhar dados maiores do que os que cabem em alguns discos (um DVD gravável tem cerca de 4 gigabytes de capacidade), uma unidade flash de grande capacidade é muito mais conveniente do que muitos discos. Não espero que isso se aplique no seu caso.

b_jonas
fonte
Na verdade, ele não funciona em nenhum computador moderno - mesmo que diga que funcionará em pouquíssimos computadores modernos. Dado que os estudantes universitários usam principalmente laptops, muito poucos seriam capazes de lê-lo. Mesmo eu, como estudante de Ciência da Computação, de espírito técnico, não tem como ler um disco.
Tim
3
@ Tim É por isso que eu recomendei explicitamente uma unidade de disco externa que você conecte ao notebook via USB. É barato o suficiente para que você possa razoavelmente comprar um (com cabos) e emprestá-lo aos estudantes. aqua.hu/… é um exemplo de uma unidade desse tipo com preço, mas esse link provavelmente não permanecerá por mais de alguns meses.
b_jonas
@ ZsbánAmbrus Expanda sua resposta, então, sobre isso. Considere também que os dispositivos Mac modernos não têm USB (apenas USB-C), portanto, isso também não é possível.
Thomas Ward
2
@ThomasWard Quanto ao Mac moderno, o OP diz que quer distribuir um pendrive, ele não parece mencionar que teve problemas com Macs modernos que não têm uma porta USB para conectá-los. Mas se isso for um problema, não posso dar bons conselhos, porque não estou familiarizado com os Macs modernos.
b_jonas
@ ZsbánAmbrus: Eu não sei a priori qual sistema operacional ou dispositivo alunos podem ter e como comentado por Tim não é um cenário incomum que nem todo mundo pode ler um DVD
amorvincomni
6

Compartilhar uma mídia física é uma péssima idéia em termos de segurança. Mesmo se você compartilhar um CD somente leitura, seus alunos poderão simplesmente comprar um CD em branco da mesma marca e escrever o conteúdo original + o malware nele. Você precisaria assinar, carimbar ou tornar sua mídia única para evitar isso, e, idealmente, seus alunos devem aceitá-la apenas de suas mãos, não umas das outras. Caso contrário, a mídia original poderia circular entre um grupo de alunos (e você), enquanto uma mídia falsa seria entregue a outro grupo.

Um truque semelhante poderia ser executado em unidades criptografadas com senha de somente leitura: um dos alunos poderia salvar uma imagem de unidade, escrever uma imagem infectada com a mesma senha de somente leitura e circular a unidade entre as demais. A imagem original pode ser restaurada antes que a unidade seja devolvida a você.

Para evitar essas ameaças, seus alunos teriam que obter uma assinatura digital dos dados originais de outro lugar, como um servidor da escola, e saber como verificá-los. De fato, seria muito mais simples armazenar os arquivos que você deseja compartilhar no servidor em que armazenaria a assinatura, tornando o processo de compartilhamento tão simples quanto fornecer aos alunos um link para download.

Dmitry Grigoryev
fonte
Eu acho que vou adotar esta solução.
Amorvincomni 13/09
2

As pessoas já responderam à sua pergunta literal. Deixe-me tentar dar uma facada no problema real .

Suponho que você tenha restrições de Internet que o impeçam de baixar os arquivos.

O que você pode fazer nesse caso é fornecer uma imagem ( .isoarquivo) no USB e, em seguida, instruir os alunos a executarem sha256sumno arquivo e verificarem seu hash com o que você fornece por outros meios antes de abrir o arquivo.

Quem coopera e não faz mais nada não deve pegar um vírus.

Mehrdad
fonte
Eu acho que o OP quer limitar o risco de malware ser adicionado ao pendrive. O uso de um arquivo ISO não apaga esse risco, nem protege contra o que parece que o OP está tentando proteger. (Eles estão em uma escola, o meu palpite é que a escola pode fornecer uma ampla largura de banda ou espaço de armazenamento para armazenar o arquivo se eles pedirem)
Thomas Ward
@ ThomasWard: O malware não é um problema se nunca for executado. O ponto aqui é que, se eles executarem as etapas que eu listei, eles terão a garantia de nunca executar nenhum malware, por isso certamente protege contra o que o OP deseja proteger, não é?
Mehrdad
2
@Mehrdad O problema é que, em alguns sistemas operacionais - incluindo algumas versões do Windows - o OP não pode realmente impedir que o malware seja executado automaticamente quando o dispositivo está conectado . Parece que o dispositivo pode ser usado em tais sistemas. Com isso dito, esta resposta pode ser útil. A verificação de um hash SHA-256 conforme recomendado pode pelo menos ajudar a atenuar os riscos, especialmente se os alunos forem aconselhados a desativar a "execução automática" nos sistemas operacionais afetados.
Eliah Kagan 11/09/17
1
@Mehrdad Na minha opinião, a questão está no tópico porque, pelo menos na minha opinião, o objetivo é preparar a mídia de armazenamento no Ubuntu. As pessoas geralmente têm dúvidas sobre qual propriedade e permissões de arquivo no Ubuntu podem ou não fazer. As permissões no estilo Unix costumam estar (com razão) entre os benefícios do Ubuntu e de outros sistemas GNU / Linux, mas algumas vezes as pessoas esperam / pensam que as permissões podem resolver problemas que realmente só podem ser resolvidos em níveis diferentes. Se o fecharmos, suspeito que receberíamos mais perguntas como essa, feitas por outros usuários do Ubuntu que desejam controlar os dispositivos que distribuem.
Eliah Kagan
1
@ Mehrdad: Eu esqueci de escrever que seu problema real é muito bom. é claro que a questão real é que nem todas as famílias têm a capacidade de baixar algo usando o serviço da instituição, e eu não posso usar um serviço diferente. O uso de dispositivos físicos compartilhados me ajudaria a alcançar todos os alunos.
Amorvincomni 14/09/17
0

por que você simplesmente não carrega o material em algum site e o compartilha com uma senha?

se você estiver na mesma rede, torne o site local, caso contrário, os sites de upload gratuito são muitos

Mente Gorda
fonte
Esta é a solução que estou usando. Infelizmente, nem todos os alunos (eu sou professor do ensino médio) podem baixar os arquivos. Além disso, estes estudantes são os que devem ler o material ....
amorvincomni