USB compartido entre estudiantes: establezca una contraseña solo para escribir

27

Soy maestra de escuela y me gustaría compartir archivos en una memoria USB entre los estudiantes y, por lo tanto, entre diferentes sistemas operativos.

En particular, me gustaría establecer una contraseña para escribir / cambiar, mientras que el contenido de USB puede ser legible para todos. Esto es para prevenir la difusión de malware.

¿Es posible?

usb password security amorvincomni
fuente
66
No es posible que alguien con acceso de root en cualquier máquina pueda cambiar los permisos de rw
Panther
15
Esta es una de esas pocas veces en que las respuestas tipo "compartir desde la nube" funcionarían. Hace que los estudiantes "guarden" una copia en su propio espacio en la nube, ya sea en Google Drive, One Drive / Skydrive, Dropbox, etc. y luego compartan el enlace.
Criggie
1
@LasVegasCoder no proporciona una opción de solo lectura como lo quiere el OP. Además, TrueCrypt también es reemplazado por VeraCrypt ahora. Se aplica el mismo problema.
Thomas Ward
2
Algunas respuestas le han sugerido que use un DVD. Te aconsejaría que no, muy pocos estudiantes tienen una computadora lo suficientemente vieja como para poder leer una.
Tim
2
Este es exactamente el caso de uso para el que estaba destinada la World Wide Web, dos décadas antes de que "nube" significara algo.
dotancohen

Respuestas:

39

Debido a que esta unidad se va a usar en sistemas que no controlas, o que no son Linux y que de otro modo no son compatibles con el esquema de permisos de Linux, aquí tienes un poco de suerte.

Sin embargo, no hay una forma real de proteger con contraseña lo que está buscando en un disco sin equipo especializado, y eso generalmente no es rentable como solución (como se detalla a continuación).

Tenga en cuenta que soy un profesional de seguridad de TI, por lo que si parezco degradante o regañador en mi mensaje y respuesta aquí, no lo digo de esa manera, solo soy hipercrítico cuando se trata de seguridad, ya que es mi trabajo ser eso camino.

(Desplácese hacia abajo hasta la sección "Si realmente desea un método seguro para compartir una unidad flash ..." a continuación, si no desea escuchar mi queja sobre todos los riesgos de seguridad que está presentando).

Regla de seguridad del sistema 0: ¡NUNCA comparta las unidades USB si desea limitar el riesgo de malware!

Digo que esta es la Regla 0, pero en realidad es la Regla 0B : la Regla 0A trata sobre el acceso físico a los sistemas.

Pero para decirlo simplemente, este es un riesgo de seguridad MAYOR . Al intentar usar un USB para distribuir datos, inmediatamente corre el riesgo de no poder controlar si el malware se coloca en el dispositivo o no. Esto está parcialmente evitado por memorias USB con un interruptor de bloqueo de solo lectura, como el Kanguru FlashTrust 3.0 , pero se pueden activar fácilmente para leer / escribir moviendo el interruptor.

Como profesional de la seguridad, le sugiero que proporcione un método alternativo que no sea una memoria USB para acceder a los elementos de su clase , como una cuenta de Box o archivos servidos desde un sitio dentro del espacio web de su institución educativa.

Otra alternativa es un CD / DVD totalmente escrito y totalmente bloqueado, que funcionaría igual de bien, y debido a que estaría completamente escrito y no tendría espacio abierto adicional cuando bloquee completamente el dispositivo, el el disco ya se consideraría 'de solo lectura'. Sin embargo, a menos que necesite compartir archivos grandes, en cuyo caso la opción de DVD podría no funcionar bien. Sin embargo, cada vez se lanzan más dispositivos al mercado sin unidades de CD / DVD, lo que significa que esta tampoco es la solución más ideal.

También apuesto a que al distribuir esta unidad flash, se rompen algunas reglas sobre "dispositivos autorizados" en los sistemas informáticos de su escuela, pero no puedo hablar de eso.

Si realmente desea un método seguro para compartir una unidad flash ...

... comienzas a adentrarte en el mundo de los equipos muy caros, como el Apricorn Aegis SecureKey 3, que es una unidad de memoria encriptada por hardware que te permite establecer un código de acceso para el modo administrador, pero también proporciona códigos de acceso de usuario de solo lectura como códigos secundarios en el dispositivo. De esa manera, el disco está bloqueado en modo de solo lectura para quienes no son administradores, y en modo de lectura / escritura para el usuario del código de administrador.

El problema con esto es que es costoso , $ 129US por solo un dispositivo seguro de 16GB, esto se debe principalmente al costo de los dispositivos cifrados por hardware (pero dispositivos como estos están diseñados para un conjunto muy especial de casos de uso potenciales y, como tal, el la disponibilidad de productos más baratos es cero debido a la falta de demanda de la industria). Por lo tanto, esta no suele ser una opción rentable, especialmente si no confía en sus estudiantes.

Sin embargo, en última instancia, no existe una manera fácil, sin costo o rentable de lograr lo que desea con solo una memoria USB, manteniendo la compatibilidad cruzada del sistema operativo, e incluso así no puede garantizar la seguridad.

El problema es que se utilizan muchos sistemas operativos diferentes y están en juego. Incluso si los sistemas operativos no fueran un factor, cualquier usuario con rootpoder sería capaz de darse acceso si fuera un dispositivo con formato Linux con permisos de Linux incluso establecidos. Simplemente no hay forma de lograr la seguridad de la memoria USB con soluciones sin costo o de bajo costo.

Sin embargo, esta es una de las pocas veces en el mundo que compartir a través de la nube (Dropbox, Google Docs, Box, incluso una instancia de OwnCloud) es la solución adecuada, porque no hay riesgo de infección de malware simplemente descargando el archivo (a menos que el archivo en sí es malware). (Y la probabilidad de que uno de los servicios en la nube antes mencionados sea infectado por un malware de este tipo que está tratando de proteger es extraordinariamente bajo)

Thomas Ward
fuente
2
Como estudiante universitario, no tengo forma de leer una unidad de disco. Ninguno de los dispositivos que tengo conmigo en la Universidad tiene una ranura para unidades. Este no es un escenario inusual: una proporción significativa de estudiantes usa solo computadoras portátiles.
Tim
1
" El problema es que se utilizan muchos sistemas operativos diferentes y están en juego " . No, no lo es, y la respuesta en sí misma explica por qué no. El problema es económico: hay una demanda insignificante de un dispositivo con estas características, por lo que no se benefician de las economías de escala y son caros.
Peter Taylor
1
@PeterTaylor En realidad, parte de él son los sistemas operativos: puede hacer un control rudimentario si se trata de un disco con formato Linux y los usuarios finales utilizan computadoras portátiles Linux sin rootacceso a la escuela . En ese momento los controles estándar para las listas de acceso, etc. podrían funcionar. Debido a que tenemos que soportar otros sistemas operativos, se convierte en economía
Thomas Ward
44
Tenga en cuenta que una unidad de $ 129 solo protege contra los estudiantes que no gastarían $ 129 para engañar a sus compañeros.
Dmitry Grigoryev
1
@amorvincomni Windows no puede leer formatos de disco duro de Linux o Mac, pero puede leer formatos compatibles multiplataforma (FAT / FAT32 / exFAT); Linux puede leerlos todos; Mac solo puede leer HFS y formatos multiplataforma (FAT / FAT32 / exFAT); solo puede otorgar rootacceso restrictivo a un disco determinado para un sistema de archivos compatible (ext4 o similar). Pero apuesto a que solo un subconjunto MUY pequeño de sus estudiantes usa sistemas Linux y no tiene privilegios de administrador (si tienen sudoacceso de superusuario o su superusuario, su paso de protección es irrelevante porque tienen superusuario en ese sistema y dispositivos conectados).
Thomas Ward
12

Comparta un disco CD o DVD.

Los discos grabables son realmente baratos. Las unidades también son baratas. Compre una grabadora de DVD USB externa por menos de 30 USD, funcionará en cualquier computadora moderna, y puede prestarla a estudiantes que no tienen su propio disco.

Todos los discos, excepto los caros, son de escritura única, por lo que los datos que escribe en el disco no pueden reescribirse. Sin embargo, debe asegurarse de escribir el disco a su máxima capacidad, de lo contrario, el sistema de archivos en el disco se puede modificar o reemplazar escribiendo más datos en las regiones vacías. Incluso si deja un espacio vacío, hay menos malware que se propagará en un disco óptico que en una unidad flash.

El inconveniente de esto es que si desea compartir datos que son más grandes de lo que cabe en unos pocos discos (un DVD grabable tiene aproximadamente 4 gigabytes de capacidad), entonces una unidad flash de gran capacidad es mucho más conveniente que muchos discos. Sin embargo, no espero que se aplique en su caso.

b_jonas
fuente
En realidad, no funcionará en ninguna computadora moderna, incluso si llega a decir que funcionará en muy pocas computadoras modernas. Dado que los estudiantes universitarios usan principalmente computadoras portátiles, muy pocos podrían leerlo. Incluso yo, como estudiante de ciencias de la computación bastante técnico, no tengo forma de leer un disco.
Tim
3
@Tim Es por eso que recomendé explícitamente una unidad de disco externa que conecte a la computadora portátil a través de USB. Es lo suficientemente barato como para que pueda comprar uno razonablemente (con cables) y prestarlo a los estudiantes. aqua.hu/... es un ejemplo de tal unidad con precio, pero ese enlace probablemente no durará más de unos pocos meses.
b_jonas
@ ZsbánAmbrus Expanda su respuesta, entonces, sobre eso. También tenga en cuenta que los dispositivos Mac modernos no tienen USB (solo USB-C), por lo que tampoco es fácilmente factible para ellos.
Thomas Ward
2
@ThomasWard En cuanto a la Mac moderna, OP dice que quiere distribuir una memoria USB, no parece mencionar que tuvo problemas con las Macs modernas que no tienen un puerto USB para enchufarlas. Pero si esto es un problema, entonces no puedo dar buenos consejos, porque no estoy familiarizado con los Mac modernos.
b_jonas
@ ZsbánAmbrus: No sé a priori qué sistema operativo o dispositivo pueden tener los estudiantes y, como comentó Tim, no es un escenario inusual que no todos puedan leer un DVD
amorvincomni
6

Compartir un medio físico es una idea terrible en términos de seguridad. Incluso si comparte un CD de solo lectura, sus estudiantes simplemente podrían comprar un CD en blanco de la misma marca y escribir el contenido original + malware en él. Tendría que firmar, sellar o hacer que sus medios sean únicos para evitar esto, e idealmente sus estudiantes solo deberían aceptarlo de sus manos, no de los demás. De lo contrario, los medios originales podrían circular entre un grupo de estudiantes (y usted), mientras que los medios falsos se darían a otro grupo.

Se podría jugar un truco similar en unidades cifradas con código de acceso de solo lectura: uno de los estudiantes podría guardar una imagen de disco, escribir una imagen infectada con el mismo código de acceso de solo lectura y hacer circular el disco entre el resto. La imagen original podría restaurarse antes de devolverle la unidad.

Para evitar tales amenazas, sus estudiantes tendrían que obtener una firma digital de los datos originales de otro lugar, como un servidor escolar, y saber cómo verificarlos. De hecho, sería mucho más simple almacenar los archivos que desea compartir en el servidor donde almacenaría la firma, haciendo que el proceso de compartir sea tan simple como proporcionar a sus estudiantes un enlace de descarga.

Dmitry Grigoryev
fuente
Creo que adoptaré esta solución.
amorvincomni
2

La gente ya ha respondido tu pregunta literal. Permítanme tratar de apuñalar el problema real .

Supongo que tiene restricciones de Internet que le impiden que descarguen los archivos.

Lo que puede hacer en este caso es proporcionar una imagen ( .isoarchivo) en el USB, luego decirles a los estudiantes que ejecuten sha256sumel archivo y verifiquen el hash con uno que proporcionen por otros medios antes de que abran el archivo.

Quienes cooperan y no hacen nada más no deberían contraer un virus.

Mehrdad
fuente
Creo que el OP quiere limitar el riesgo de que se agregue malware a la memoria USB. El uso de un archivo ISO no borra este riesgo, ni protege contra lo que parece que el OP está tratando de proteger. (Están en una escuela, supongo que la escuela puede proporcionar un amplio ancho de banda o espacio de almacenamiento para almacenar el archivo si lo solicitan)
Thomas Ward
@ThomasWard: Sin embargo, el malware no es un problema si nunca se ejecuta. El punto aquí es que si siguen los pasos que he enumerado, se garantiza que nunca ejecutarán ningún malware, por lo que sin duda protege contra lo que el OP quiere proteger, ¿no?
Mehrdad
2
@Mehrdad El problema es que en algunos sistemas operativos, incluidas algunas versiones de Windows, el OP no puede evitar que el malware se ejecute automáticamente cuando se conecta el dispositivo . Parece que el dispositivo puede usarse en tales sistemas. Dicho esto, esta respuesta podría ser útil. Verificar un hash SHA-256 como lo recomienda puede al menos ayudar a mitigar el riesgo, especialmente si se recomienda a los estudiantes que deshabiliten la "ejecución automática" en los sistemas operativos afectados.
Eliah Kagan
1
@Mehrdad En mi opinión, la pregunta es sobre el tema porque, por lo menos según tengo entendido, el objetivo es preparar el medio de almacenamiento en Ubuntu. La gente a menudo tiene preguntas sobre qué propiedad y permisos de archivos en Ubuntu pueden y no pueden hacer. A menudo se dice (correctamente) que los permisos de estilo Unix se encuentran entre los beneficios de Ubuntu y otros sistemas GNU / Linux, pero a veces las personas esperan / piensan que los permisos pueden resolver problemas que realmente solo se pueden resolver a diferentes niveles. Si lo cerráramos, sospecho que solo recibiríamos más preguntas como esta, formuladas por otros usuarios de Ubuntu que desean controlar los dispositivos que distribuyen.
Eliah Kagan
1
@Mehrdad: Olvidé escribir que tu problema real es bastante bueno. Por supuesto, el verdadero problema es que no todas las familias tienen la capacidad de descargar algo usando el servicio de la institución, y no puedo usar un servicio diferente. El uso de dispositivos físicos compartidos me ayudaría a llegar a todos los estudiantes.
amorvincomni
0

¿Por qué no subes el material a algún sitio y lo compartes con una contraseña?

si estás en la misma red, haz que sea un sitio local, de lo contrario, los sitios de carga gratuita son muchos

Mente gorda
fuente
Esta es la solución que estoy usando. Lamentablemente, no todos los estudiantes (soy un profesor de secundaria) pueden descargar los archivos. Además, estos estudiantes son los que deben leer el material ....
amorvincomni