USB dzielone między studentów: ustaw hasło tylko do pisania

27

Jestem nauczycielem w szkole i chciałbym udostępniać pliki w pamięci USB uczniom, a tym samym innym systemom operacyjnym.

W szczególności chciałbym ustawić hasło do zapisu / zmiany, podczas gdy zawartość USB może być czytelna dla wszystkich. Ma to na celu zapobieganie rozprzestrzenianiu się złośliwego oprogramowania.

Czy to możliwe?

usb password security amorvincomni
źródło
6
Niemożliwe, aby każdy z dostępem do konta root na dowolnym komputerze mógł zmienić uprawnienia rw.
Panther
15
Jest to jeden z tych stosunkowo niewielu razy, w których odpowiedzi typu „udostępnij z chmury” będą działać. Poproś uczniów, aby „zapisali” kopię do własnego miejsca w chmurze, niezależnie od tego, czy jest to dysk Google, jeden dysk / skydrive, Dropbox itp., A następnie udostępniają link z powrotem.
Criggie,
1
@LasVegasCoder Nie zapewnia opcji tylko do odczytu, tak jak chce OP. Również TrueCrypt jest teraz zastępowany przez VeraCrypt. Dotyczy to tego samego problemu.
Thomas Ward
2
Kilka odpowiedzi sugerowało użycie DVD. Radziłbym, żebyś nie miał - bardzo niewielu uczniów ma wystarczająco stary komputer, aby móc go odczytać.
Tim
2
Jest to dokładnie przypadek użycia, do którego przeznaczona była sieć WWW, dwie dekady zanim „chmura” nic nie znaczyła.
dotancohen

Odpowiedzi:

39

Ponieważ ten dysk będzie używany w systemach, których nie kontrolujesz lub które nie są Linuksem i nie obsługują w inny sposób schematu uprawnień Linuksa, nie masz tutaj szczęścia.

Nie ma jednak realnego sposobu na zabezpieczenie hasłem, którego szukasz na dysku bez specjalistycznego sprzętu, i to zwykle nie jest opłacalne jako rozwiązanie (jak wyszczególniono poniżej).

Pamiętaj, że jestem specjalistą ds. Bezpieczeństwa IT, więc jeśli wydaje mi się poniżający lub krytykujący moją wiadomość i odpowiedź tutaj, nie mam na myśli tego w ten sposób, jestem po prostu hiperkrytyczny, jeśli chodzi o bezpieczeństwo, ponieważ moim zadaniem jest być droga.

(Przewiń w dół do sekcji „Jeśli naprawdę potrzebujesz bezpiecznej metody udostępniania dysku flash w okolicy ...” poniżej, jeśli nie chcesz słyszeć mojej wypowiedzi na temat wszystkich wprowadzanych zagrożeń bezpieczeństwa).

System Security Rule 0: NIGDY nie udostępniaj dysków USB, jeśli chcesz ograniczyć ryzyko złośliwego oprogramowania!

Mówię, że jest to reguła 0, ale tak naprawdę jest to reguła 0B - reguła 0A dotyczy fizycznego dostępu do systemów.

Mówiąc najprościej, jest to GŁÓWNE zagrożenie bezpieczeństwa. Próbując użyć USB do dystrybucji danych, natychmiast ryzykujesz, że nie będziesz w stanie kontrolować, czy złośliwe oprogramowanie jest umieszczone na patyku, czy nie. Jest to częściowo omijane przez pamięć USB z przełącznikiem blokady tylko do odczytu, takim jak Kanguru FlashTrust 3.0 , ale można je łatwo zmienić do odczytu / zapisu, przesuwając przełącznik.

Jako specjalista ds. Bezpieczeństwa zdecydowanie zalecam, abyś dostarczył alternatywną metodę dostępu do przedmiotów dla klasy , która nie używa pamięci USB , takich jak konto Box lub pliki obsługiwane z witryny w przestrzeni internetowej instytucji edukacyjnej.

Inną alternatywą jest w pełni zapisana, w pełni zablokowana płyta CD / DVD, która działałaby równie dobrze, a ponieważ byłby w pełni zapisany i nie miałby na nim dodatkowej wolnej przestrzeni po całkowitym zablokowaniu urządzenia, dysk byłby już uważany za „tylko do odczytu”. Chyba że musisz udostępniać ogromne pliki, w takim przypadku opcja DVD może nie działać dobrze. Jednak coraz więcej urządzeń jest wypuszczanych na rynek bez napędów CD / DVD, co oznacza, że ​​nie jest to również najbardziej idealne rozwiązanie.

Założę się również, że dystrybuując ten dysk flash, łamiesz kilka zasad dotyczących „autoryzowanych urządzeń” w komputerowych systemach szkolnych, ale nie mogę z tym rozmawiać.

Jeśli naprawdę potrzebujesz bezpiecznej metody udostępniania dysku flash ...

... zaczynasz wchodzić w świat bardzo drogiego sprzętu, takiego jak Apricorn Aegis SecureKey 3, który jest sprzętowo zaszyfrowanym napędem kciuka, który pozwala ustawić hasło w trybie administracyjnym, ale także zapewniać kody tylko do odczytu jako kody dodatkowe urządzenie. W ten sposób dysk jest zablokowany w trybie tylko do odczytu dla osób niebędących administratorami oraz w trybie odczytu / zapisu dla użytkownika kodu administratora.

Problem polega na tym, że jest drogi - 129 USD za zabezpieczony dysk 16 GB - wynika to głównie z kosztu sprzętowych urządzeń szyfrowanych (ale takie urządzenia są zaprojektowane na bardzo specjalny zestaw potencjalnych przypadków użycia i jako takie dostępność tańszych produktów wynosi zero ze względu na brak popytu w branży). Dlatego zazwyczaj nie jest to opłacalna opcja, szczególnie jeśli nie ufasz swoim studentom.

Ostatecznie jednak naprawdę nie ma łatwego, nieopłacalnego lub opłacalnego sposobu na osiągnięcie tego, co chcesz za pomocą zwykłej pamięci USB, przy jednoczesnym zachowaniu kompatybilności systemu operacyjnego, a nawet wtedy nie możesz zagwarantować bezpieczeństwa.

Problem polega na tym, że używanych jest wiele różnych systemów operacyjnych. Nawet jeśli systemy operacyjne nie były czynnikiem, każdy rootpotężny użytkownik byłby w stanie dać sobie dostęp, gdyby był to patyk sformatowany w systemie Linux z ustawionymi uprawnieniami do systemu Linux. Po prostu nie ma sposobu na osiągnięcie bezpieczeństwa pamięci USB za pomocą niedrogich lub tanich rozwiązań.

Jest to jednak jeden z niewielu przypadków na świecie, że udostępnianie za pośrednictwem chmury (Dropbox, Dokumenty Google, Box, a nawet instancja OwnCloud) jest właściwym rozwiązaniem, ponieważ nie ma ryzyka infekcji złośliwym oprogramowaniem po prostu przez pobranie pliku (chyba że sam plik to złośliwe oprogramowanie). (A prawdopodobieństwo, że jedna z wyżej wymienionych usług w chmurze zostanie zainfekowana przez takie złośliwe oprogramowanie, przed którym próbujesz się zabezpieczyć, jest wyjątkowo niskie)

Thomas Ward
źródło
2
Jako student uniwersytetu nie mam sposobu na odczytanie dysku. Żadne z urządzeń, które mam ze sobą na uniwersytecie, nie ma gniazda na napęd. To nie jest niezwykły scenariusz - znaczna część uczniów korzysta tylko z laptopów.
Tim
1
Problem polega na tym, że używa się i używa wielu różnych systemów operacyjnych. ” Nie, nie jest, a sama odpowiedź wyjaśnia, dlaczego nie. Problemem jest ekonomia: istnieje niewielkie zapotrzebowanie na urządzenie o tych właściwościach, więc nie korzystają one z korzyści skali i są drogie.
Peter Taylor,
1
@PeterTaylor Właściwie częścią tego są systemy operacyjne - możesz zrobić podstawową kontrolę, jeśli jest to dysk sformatowany w systemie Linux, a użytkownicy końcowi używają szkolnych laptopów z systemem Linux bez rootdostępu. W tym momencie mogłyby działać standardowe kontrole list dostępu itp. Ponieważ musimy wspierać inne systemy operacyjne, staje się to ekonomią
Thomas Ward
4
Pamiętaj, że dysk o wartości 129 USD chroni tylko przed studentami, którzy nie wydaliby 129 USD na zagranie lewy na swoich kolegach.
Dmitry Grigoryev
1
@amorvincomni Windows nie może odczytać formatów dysku twardego Linux lub Mac, ale potrafi odczytywać formaty kompatybilne z wieloma platformami (FAT / FAT32 / exFAT); Linux może je wszystkie odczytać; Mac może odczytywać tylko HFS i formaty wieloplatformowe (FAT / FAT32 / exFAT); możesz rootograniczyć dostęp do danego dysku tylko dla zgodnego systemu plików (ext4 lub podobny). Ale założę się, że tylko bardzo BARDZO niewielka część uczniów korzysta z systemów Linux i nie ma uprawnień administratora (jeśli mają oni sudodostęp do administratora lub mają dostęp do administratora, etap ochrony jest nieistotny, ponieważ mają administratora w tym systemie i podłączonych urządzeniach).
Thomas Ward
12

Udostępnij dysk CD lub DVD.

Dyski z możliwością zapisu są naprawdę tanie. Dyski też są tanie. Kup zewnętrzną nagrywarkę DVD DVD za mniej niż 30 USD, będzie działać na każdym nowoczesnym komputerze i możesz pożyczyć ją studentom, którzy nie mają własnego napędu.

Wszystkie dyski, oprócz drogich, są zapisywane jednokrotnie, więc danych zapisanych na dysku nie można przepisać. Musisz jednak upewnić się, że zapisujesz dysk na pełną pojemność, w przeciwnym razie system plików na dysku można zmodyfikować lub wymienić, zapisując więcej danych w pustych regionach. Nawet jeśli pozostawisz puste miejsce, na dysku optycznym rozprzestrzeni się mniej złośliwego oprogramowania niż na dysku flash.

Wadą tego jest to, że jeśli chcesz udostępniać dane, które są większe niż mieszczą się na kilku dyskach (zapisywalny dysk DVD ma około 4 gigabajty pojemności), wówczas dysk flash o dużej pojemności jest znacznie wygodniejszy niż wiele dysków. Nie sądzę jednak, by miało to zastosowanie w twoim przypadku.

b_jonas
źródło
W rzeczywistości nie będzie działać na żadnym nowoczesnym komputerze - jeśli nawet posunę się do stwierdzenia, że ​​będzie działał na bardzo niewielu nowoczesnych komputerach. Biorąc pod uwagę, że studenci najczęściej używają laptopów, bardzo niewielu byłoby w stanie je odczytać. Nawet ja, jako dość technicznie myślący student informatyki, nie mam możliwości odczytania dysku.
Tim
3
@Tim Właśnie dlatego wyraźnie zaleciłem zewnętrzny dysk twardy, który podłączasz do notebooka przez USB. Jest na tyle tani, że można go rozsądnie kupić (za pomocą kabli) i pożyczyć go studentom. aqua.hu/… jest przykładem takiego dysku z ceną, ale ten link prawdopodobnie nie będzie trwał dłużej niż kilka miesięcy.
b_jonas
@ ZsbánAmbrus Proszę rozszerzyć swoją odpowiedź. Weź również pod uwagę, że nowoczesne urządzenia Mac nie mają USB (tylko USB-C), więc nie jest to również łatwe do wykonania dla nich.
Thomas Ward
2
@ThomasWard Jeśli chodzi o współczesnego Maca, OP mówi, że chce dystrybuować pamięć USB, nie wspomina, że ​​miał problemy z nowoczesnymi komputerami Mac, które nie mają portu USB, aby podłączyć do nich taką pamięć. Ale jeśli jest to problem, nie mogę udzielić dobrych rad, ponieważ nie znam współczesnych komputerów Mac.
b_jonas,
@ ZsbánAmbrus: Nie wiem a priori, jakie mogą mieć studenci systemów operacyjnych i urządzeń, i jak skomentował Tim, nie jest to niezwykły scenariusz, że nie każdy może przeczytać DVD
amorvincomni
6

Udostępnianie fizycznych mediów to straszny pomysł ze względów bezpieczeństwa. Nawet jeśli udostępnisz płytę CD tylko do odczytu, uczniowie mogą po prostu kupić czystą płytę CD tej samej marki i napisać na niej oryginalną zawartość + złośliwe oprogramowanie. Będziesz musiał podpisać, podstemplować lub w inny sposób uczynić swoje media unikatowymi, aby temu zapobiec, a idealnie, twoi uczniowie powinni przyjmować to tylko z rąk, a nie od siebie nawzajem. W przeciwnym razie oryginalne media mogłyby krążyć wśród jednej grupy studentów (i ciebie), podczas gdy fałszywe media byłyby przekazywane innej grupie.

Podobną sztuczkę można zastosować na zaszyfrowanych dyskach z hasłem tylko do odczytu: jeden z uczniów może zapisać obraz dysku, napisać zainfekowany obraz z tym samym hasłem tylko do odczytu i rozesłać dysk między resztę. Oryginalny obraz można następnie przywrócić, zanim dysk zostanie ci zwrócony.

Aby zapobiec takim zagrożeniom, uczniowie będą musieli uzyskać podpis cyfrowy oryginalnych danych skądinąd, np. Na szkolnym serwerze, i umieć to sprawdzić. Rzeczywiście, o wiele łatwiej byłoby przechowywać pliki, które chcesz udostępnić na serwerze, na którym chcesz przechowywać podpis, dzięki czemu proces udostępniania jest tak prosty, jak udostępnienie uczniom linku do pobrania.

Dmitrij Grigoriew
źródło
Myślę, że zastosuję to rozwiązanie.
amorvincomni
2

Ludzie już odpowiedzieli na twoje dosłowne pytanie. Pozwól mi spróbować pchnąć nożem w prawdziwym problemie.

Zakładam, że masz ograniczenia internetowe, które uniemożliwiają pobranie plików.

W tym przypadku możesz zrobić zdjęcie ( .isoplik) na USB, a następnie powiedzieć uczniom, aby uruchomili sha256sumplik i sprawdzili jego skrót z tym, który podałeś w inny sposób, zanim otworzą plik.

Ci, którzy współpracują i nie robią nic innego, nie powinni dostać wirusa.

Mehrdad
źródło
Myślę, że OP chce ograniczyć ryzyko dodania złośliwego oprogramowania do pamięci USB. Użycie pliku ISO nie usuwa tego ryzyka ani nie chroni przed tym, przed czym wydaje się, że OP próbuje chronić. (Są w szkole, sądzę, że szkoła może zapewnić wystarczającą przepustowość lub miejsce do przechowywania pliku, jeśli poproszą)
Thomas Ward
@ThomasWard: Złośliwe oprogramowanie nie stanowi problemu, jeśli nie zostanie nigdy wykonane. Chodzi o to, że jeśli wykonają kroki, które wymieniłem, to na pewno nigdy nie wykonają żadnego złośliwego oprogramowania, więc z pewnością chroni przed tym, przed czym OP chce chronić, prawda?
Mehrdad,
2
@ Mehrdad Problem polega na tym, że w niektórych systemach operacyjnych - w tym w niektórych wersjach systemu Windows - OP nie może tak naprawdę uniemożliwić automatycznego uruchamiania złośliwego oprogramowania po podłączeniu urządzenia . Wygląda na to, że urządzenie może być używane w takich systemach. Powiedziawszy to, ta odpowiedź może być przydatna. Sprawdzanie skrótu SHA-256 zgodnie z zaleceniami może przynajmniej pomóc w zmniejszeniu ryzyka, zwłaszcza jeśli uczniowie powinni wyłączyć automatyczne uruchamianie w dotkniętych systemach operacyjnych.
Eliah Kagan,
1
@Mehrdad Moim zdaniem pytanie dotyczy tematu, ponieważ moim zdaniem celem jest przygotowanie nośnika pamięci w systemie Ubuntu. Ludzie często mają pytania dotyczące tego, jakie prawo własności i uprawnienia plików w systemie Ubuntu mogą, a czego nie mogą. Mówi się, że uprawnienia w stylu uniksowym (słusznie) należą do zalet Ubuntu i innych systemów GNU / Linux, ale czasami ludzie mają nadzieję / myślą, że uprawnienia mogą rozwiązać problemy, które naprawdę można rozwiązać tylko na innym poziomie. Gdybyśmy to zamknęli, podejrzewam, że otrzymalibyśmy więcej takich pytań, zadawanych przez innych użytkowników Ubuntu, którzy chcą kontrolować urządzenia, które dystrybuują.
Eliah Kagan,
1
@Mehrdad: Zapomniałem napisać, że twój prawdziwy problem jest całkiem dobry. oczywiście jest to, że prawdziwym problemem jest to, że nie wszystkie rodziny mają możliwość pobrania czegoś za pomocą usługi instytucji i nie mogę korzystać z innej usługi. Zastosowanie wspólnych urządzeń fizycznych pomogłoby mi dotrzeć do wszystkich uczniów.
amorvincomni
0

dlaczego po prostu nie załadujesz materiału na jakąś stronę i nie udostępnisz go hasłem?

jeśli jesteś w tej samej sieci, uczyń ją lokalną witryną, w przeciwnym razie wiele bezpłatnych stron do przesyłania

Gruby Umysł
źródło
To jest rozwiązanie, którego używam. Niestety nie wszyscy uczniowie (jestem nauczycielem w szkole średniej) mogą pobierać pliki. Ponadto ci uczniowie powinni przeczytać ten materiał ....
amorvincomni