Como escrever para proteger uma chave USB?

14

Estou procurando uma solução para proteger contra gravação o conteúdo de uma chave USB. A idéia é impedir que seu conteúdo seja removido inadvertidamente pelo usuário ou alterado por programas maliciosos - não restringir a reciclagem da chave para outra coisa.

Aqui está um resumo das minhas descobertas até agora:

Algumas teclas possuem uma opção que as torna somente leitura. Infelizmente, esse nem sempre é o caso.
Com um sistema de arquivos FAT32, a única solução parece estar configurando os arquivos como "somente leitura". Mas essa proteção é muito fraca. Existe uma proteção contra gravação um pouco mais forte disponível para o NTFS , que pode ser obtida com a remoção de privilégios de gravação de "Todos os usuários", tornando os arquivos somente leitura para todas as contas, exceto "Administrador". A formatação do disco como UDF o torna somente leitura no Windows XP SP3, mas a leitura e gravação no Windows Vista, Windows 7, Linux e Mac OS X. A formatação como ISO9660 / CDFS o torna somente leitura no Linux e Mac OS X, mas infelizmente, o conteúdo não é mais legível no Windows.
Com o software específico do microcontrolador, é possível (se suportado pelo chip) re-particionar a chave para exibir, por exemplo, uma partição protegida contra gravação e uma leitura-gravação. O problema é que é muito confuso para os usuários: a partição protegida contra gravação pode aparecer como uma unidade de CD-ROM (o que não é). Após a inserção, alguns drivers aparentemente estão instalados no computador (na verdade, eles não são realmente drivers ) e pode levar à solicitação de reinicialização. Além disso, esta solução não pode ser aplicada universalmente porque requer saber qual chip é usado no drive e a existência de ferramentas disponíveis publicamente para reprogramar o dispositivo.
John Reasor menciona utilitários capazes de preencher todo o espaço livre no dispositivo, impossibilitando a criação de novos arquivos (veja abaixo).

Existe uma solução geral para armazenar conteúdo não modificável em uma chave USB?

Ele protege o conteúdo das modificações normalmente feitas no shell (por exemplo, excluir, renomear, mover) ou dos arquivos e pastas que estão sendo modificados por aplicativos padrão (por exemplo, salvar como)
Deve funcionar com a maioria dos dispositivos
O usuário ainda pode reformatar o dispositivo em uma chave regular para reciclá-lo para outro uso (por exemplo, com fdisk )

usb-storage write-protect

— caas
fonte

1

Você precisaria comprar uma unidade flash projetada para essa finalidade, não há como adaptar uma unidade flash existente. Isso poderia ser feito modificando as permissões do Windows dos arquivos na unidade, mas o Unix, o Linux ignoraria essas configurações. Estou um pouco confuso, você deseja proteger os dados dos usuários que os excluíram, mas depois deseja formatar e reciclar a unidade ?, não pode ter os dois lados.

— Moab

Sim, não considero usar o fdisk, o formato ou o gerenciador de partições como algo que um usuário faria inadvertidamente. É exatamente esse tipo de ação que quero impedir.

— CaaS

2

Suas descobertas estão corretas e não há solução geral que possa ajudar. Desculpe.

Só posso reformular o que você disse:

Ou eles têm um interruptor de proteção contra gravação ou não

Proteção no nível do sistema de arquivos que pode variar entre sistemas operacionais e implementações

Microchip / principais recursos específicos, nenhuma maneira fácil de saber com antecedência - normalmente você solicita e o fabrica conforme as especificações. Por exemplo, eu tive um cliente que comprou alguns que estavam bloqueados para leitura somente após serem duplicados. Não havia como contornar isso.

— William Hilsum
fonte

Ah, eu tinha medo disso. Obrigado pela ajuda!

— caas

2

Aqui estão algumas idéias que podem ajudar a atender às suas necessidades.

Truques de software - último recurso

Existem algumas abordagens de software que você pode usar rapidamente, mas na maioria são específicas do Windows e pode ser possível ignorá-las - mesmo que pareça improvável.

A procura de uma unidade flash USB com chave somente leitura ou proteção contra gravação descreve como criar uma partição U3 personalizada com base em um arquivo ISO que será montado como um CD-ROM virtual. Isso impedirá que itens sejam excluídos desse CD virtual, mas não é ideal para um disco de limpeza do sistema, porque a segunda partição ainda pode ser gravada e infectada. Além disso, alterar o conteúdo da área protegida é um processo de várias etapas que envolve a criação / atualização de um arquivo ISO que é usado para recriar a área U3 na unidade flash.

A proteção contra gravação da unidade flash USB descreve como o valor DWORD do Registro do Windows WriteProtectna HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicieschave controla se os dispositivos USB são graváveis ou protegidos contra gravação. Um valor 0 (zero) permite gravar em dispositivos USB; um valor de 1 bloqueia a gravação em dispositivos USB. As alterações podem entrar em vigor após um logoff / logon, mas certamente entrarão em vigor após uma reinicialização. Existem várias desvantagens nessa abordagem: pode ser possível que o software a ignore, bloqueia a gravação em todos os dispositivos USB, não entra em vigor imediatamente - requer pelo menos um logoff / logon e, possivelmente, uma reinicialização do sistema e você tem desfazer suas alterações porque afeta todos os dispositivos USB e não apenas sua unidade flash.

Vários aplicativos (shareware e gratuito) e conjuntos de instruções simplificam o processo de proteção contra gravação, preenchendo o disco, simplesmente criando arquivos temporários para consumir todo o espaço livre disponível na unidade. Se não houver espaço para criar nem mesmo um pequeno arquivo autorun.inf, é difícil infectar a unidade, pois ela não executará itens por padrão quando a unidade estiver conectada a um PC. Provavelmente, isso é melhor do que nada, pois interrompe algumas infecções, mas também pode dar uma falsa sensação de segurança - não é uma segurança completa. Um dos vários sites com instruções para isso é criar arquivo falso de Raymond.CC na unidade flash USB para ativar a proteção contra gravação e impedir a modificação.

Eu vi instruções para proteger os arquivos em uma unidade reformatando para NTFS e removendo todas as permissões, exceto um conjunto muito limitado. Assim como encher a unidade até a capacidade, isso pode funcionar contra alguns malwares, mas não é 100% de proteção. A configuração também depende da versão do Windows que você está executando (assumindo que é isso que você está usando) - as versões não comerciais podem não fornecer acesso às configurações de segurança necessárias, e os sistemas não Windows provavelmente ignoram a segurança ou não conseguir ler a unidade. Isso também torna mais importante dizer ao Windows para ejetar a unidade antes de removê-la, porque é mais provável que o Windows esteja esperando antes de gravar as alterações na unidade.

http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware-write-protection/

— N4TKD
fonte

Obrigado pela dica no registro do Windows WriteProtect DWORD ou pelo preenchimento do dispositivo. Vou adicioná-los à minha pergunta para referência.

— caas

+1 para "preencher o espaço livre com arquivos fictícios".

— Mudassir

2

Existem pendrives no mercado (assim como os cartões SD) que possuem este pequeno botão / chave que permite ativar / desativar a leitura somente / gravação. Parece ser a única solução no seu caso. Existem muitos pendrives nele e tenho certeza de que você pode encontrar um que atenda às suas necessidades.

Este site possui uma lista de dispositivos com proteção contra gravação de hardware.

Por exemplo:

— MadBoy
fonte

1

Ok obrigado, eu estava tentando encontrar uma solução que funcionasse em geral. Parece que não existe e remonta a uma das três alternativas que descrevi: você pode fazê-lo de maneira forte com um comutador ou uma ferramenta de microcontrolador (se o dispositivo suportar), ou de maneira fraca com permissões do sistema de arquivos (em qualquer dispositivo).

— CaaS