¿Cómo escribir proteger una llave USB?

14

Estoy buscando una solución para proteger contra escritura el contenido de una llave USB. La idea es evitar que el usuario elimine inadvertidamente su contenido o que los programas maliciosos lo modifiquen, no restringir el reciclaje de la clave para otra cosa.

Aquí hay un resumen de mis hallazgos hasta ahora:

  1. Algunas teclas tienen un interruptor que las hace de solo lectura. Desafortunadamente, este no es siempre el caso.

  2. Con un sistema de archivos FAT32, la única solución parece ser configurar los archivos como "solo lectura". Pero esta protección es demasiado débil. Hay una protección de escritura ligeramente más fuerte disponible para NTFS , que se puede lograr eliminando los privilegios de escritura de "Todos los usuarios", hará que los archivos sean de solo lectura para cada cuenta, excepto "Administrador". El formateo del disco como UDF lo hace de solo lectura en Windows XP SP3, pero de lectura y escritura en Windows Vista, Windows 7, Linux y Mac OS X. El formateo como ISO9660 / CDFS lo hace de solo lectura en Linux y Mac OS X, pero desafortunadamente, el contenido ya no es legible desde Windows.

  3. Con el software específico del microcontrolador es posible (si el chip lo admite) volver a particionar la clave para que muestre, por ejemplo, una partición protegida contra escritura y una de lectura-escritura. El problema es que es muy confuso para los usuarios: la partición protegida contra escritura puede aparecer como una unidad de CD-ROM (que no lo es), después de la inserción algunos conductores son aparentemente instalados en el equipo (en realidad no lo son realmente los conductores ), y puede llevar a solicitar el reinicio. Además, esta solución no se puede aplicar universalmente porque requiere saber qué chip se usa en la unidad y la existencia de herramientas disponibles públicamente para reprogramar el dispositivo.

  4. John Reasor menciona utilidades capaces de llenar todo el espacio libre en el dispositivo, lo que hace imposible crear nuevos archivos (ver más abajo).

¿Existe una solución general para almacenar contenidos no modificables en una llave USB?

  • Protege el contenido de las modificaciones que normalmente se realizan desde el shell (por ejemplo, eliminar, cambiar el nombre, mover) o de los archivos y carpetas que están siendo modificados por aplicaciones estándar (por ejemplo, guardar como)

  • Debería funcionar con la mayoría de los dispositivos.

  • El usuario aún puede volver a formatear el dispositivo en una clave normal para reciclarlo para otro uso (por ejemplo, con fdisk )

caas
fuente
1
Tendría que comprar una unidad flash diseñada para este propósito, no hay forma de actualizar una unidad flash existente. Podría hacerse modificando los permisos de Windows de los archivos en el disco, pero Unix, Linux ignoraría esta configuración. Estoy un poco confundido, ¿desea proteger los datos de los usuarios que lo eliminan, pero luego desea que los usuarios formateen y reciclen la unidad ?, no puede tener ambas cosas.
Moab
Sí, no considero usar fdisk, format o el administrador de particiones como algo que un usuario haría inadvertidamente. Es solo este tipo de acción lo que quiero evitar.
caas

Respuestas:

2

Sus hallazgos son correctos y no existe una solución general que pueda ayudar. Lo siento.

Solo puedo reformular lo que dijiste:

O tienen un interruptor protector de escritura o no

Protección a nivel del sistema de archivos que puede variar entre sistemas operativos e implementaciones

Características específicas de microchip / clave, no es una forma fácil de saberlo con anticipación: por lo general, lo solicitaría y lo fabricaría según las especificaciones, por ejemplo, tuve un cliente que compró algunos que estaban bloqueados para leer solo después de ser duplicados. No había forma de evitar esto.

William Hilsum
fuente
Ah, tenía miedo de esto. ¡Gracias por tu ayuda!
caas
2

Aquí hay algunas ideas que pueden ayudarlo a satisfacer sus necesidades.

Trucos de software: último recurso

Hay algunos enfoques de software que puede usar en caso de necesidad, pero en su mayoría son específicos de Windows y es posible evitarlos, incluso si parece poco probable.

Buscando una unidad flash USB con solo lectura o interruptor de protección contra escritura describe cómo crear una partición U3 personalizada basada en un archivo ISO que se montará como un CD-ROM virtual. Esto evitará que los elementos se eliminen de ese CD virtual, pero no es ideal para un disco de limpieza del sistema porque la segunda partición todavía se puede escribir e infectar. Además, cambiar el contenido del área protegida es un proceso de varios pasos que implica crear / actualizar un archivo ISO que luego se utiliza para volver a crear el área U3 en la unidad flash.

La protección contra escritura de la unidad flash USB describe cómo el valor DWORD del Registro de Windows WriteProtecten la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePoliciesclave controla si los dispositivos USB son grabables o están protegidos contra escritura. Un valor de 0 (cero) permite escribir en dispositivos USB; Un valor de 1 bloques de escritura en dispositivos USB. Los cambios pueden tener efecto después de un cierre de sesión / inicio de sesión, pero ciertamente surtirán efecto después de un reinicio. Este enfoque tiene varios inconvenientes: es posible que el software lo omita, bloquea la escritura en todos los dispositivos USB, no tiene efecto inmediato; requiere al menos un cierre de sesión / inicio de sesión y posiblemente un reinicio del sistema y usted tiene para deshacer sus cambios porque afecta a todos los dispositivos USB, no solo a su unidad flash.

Varias aplicaciones (shareware y gratuitas) y conjuntos de instrucciones simplifican el proceso de protección contra escritura al llenar el disco simplemente creando archivos temporales para consumir todo el espacio libre disponible en el disco. Si no hay espacio para crear incluso un pequeño archivo autorun.inf, es difícil infectar la unidad, ya que no ejecutará elementos de forma predeterminada cuando la unidad esté conectada a una PC. Probablemente sea mejor que nada, ya que detendrá algunas infecciones, pero también puede dar una falsa sensación de seguridad: no es una seguridad completa. Uno de los varios sitios con instrucciones para esto es Crear un archivo falso falso de Raymond.CC en una unidad flash USB para habilitar la protección contra escritura y evitar modificaciones.

He visto instrucciones para proteger los archivos en una unidad reformateando a NTFS, luego eliminando todos los permisos excepto un conjunto muy limitado. Al igual que llenando el disco hasta su capacidad, esto puede funcionar contra algún malware pero no es 100% de protección. La configuración también depende de la versión de Windows que esté ejecutando (suponiendo que sea lo que esté usando): las versiones no comerciales pueden no proporcionar acceso a la configuración de seguridad necesaria, y es probable que los sistemas que no sean de Windows ignoren la seguridad o no poder leer la unidad. Esto también hace que sea más importante decirle a Windows que expulse la unidad antes de quitarla, porque es más probable que Windows espere antes de escribir cambios en la unidad.

http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware-write-protection/

N4TKD
fuente
Gracias por el consejo sobre el registro de Windows WriteProtect DWORD o por llenar el dispositivo. Los agregaré a mi pregunta como referencia.
caas
+1 para "llenar el espacio libre con archivos ficticios".
Mudassir
2

Hay pendrives en el mercado (al igual que las tarjetas SD) que tienen este pequeño botón / interruptor que les permite activar y desactivar solo lectura / escritura. Parece ser la única solución en su caso. Hay muchos pendrives con él y estoy seguro de que puedes encontrar uno que satisfaga tus necesidades.

Este sitio tiene una lista de dispositivos con protección contra escritura de hardware.

Por ejemplo:

Chico loco
fuente
1
Ok, gracias, estaba tratando de encontrar una solución que funcionara en general. Parece que no existe ninguno y recurre a una de las tres alternativas que he descrito: o puede hacerlo de manera fuerte con un interruptor o una herramienta de microcontrolador (si su dispositivo lo admite), o de manera débil con permisos del sistema de archivos (en cualquier dispositivo).
caas