USB compartilhado entre os alunos: defina uma senha apenas para escrever

Sou professor e gostaria de compartilhar arquivos em um pendrive entre estudantes e outros sistemas operacionais.

Em particular, eu gostaria de definir uma senha para escrever / alterar, enquanto o conteúdo do USB pode ser lido por todos. Isso é para impedir a difusão de malware.

É possível?

Como essa unidade será usada em sistemas que você não controla ou que não são Linux e que não suportam o esquema de permissões do Linux, você está um pouco sem sorte aqui.

Porém, não existe uma maneira real de proteger a senha que você procura em um disco sem equipamento especializado, o que geralmente não é econômico como solução (conforme detalhado abaixo).

Observe que eu sou um profissional de segurança de TI; portanto, se pareço menosprezador ou menosprezo na minha mensagem e resposta aqui, não falo assim, sou apenas hipercrítico quando se trata de segurança, pois é meu trabalho ser maneira.

(Role para baixo até a seção "Se você realmente deseja um método seguro para compartilhar uma unidade flash por aí ..." abaixo, se não quiser ouvir meu discurso retórico sobre todos os riscos à segurança que está apresentando.)

Regra de segurança do sistema 0: NUNCA compartilhe unidades USB, se você quiser limitar o risco de malware!

Eu digo que essa é a regra 0, mas essa é realmente a regra 0B - a regra 0A trata do acesso físico aos sistemas.

Mas, para simplificar, esse é um risco de segurança MAIOR . Ao tentar usar um USB para distribuir dados, você corre imediatamente o risco de não conseguir controlar se o malware é colocado no stick ou não. Isso é parcialmente contornado por pen drives com um interruptor de bloqueio somente leitura, como o Kanguru FlashTrust 3.0 , mas eles podem ser facilmente transformados em leitura / gravação pressionando o interruptor.

Como profissional de segurança, sugiro fortemente que você forneça um método alternativo que não seja o pendrive USB para acessar os itens da sua turma , como uma conta Box ou arquivos veiculados em um site no espaço da web da instituição educacional.

Outra alternativa é um CD / DVD totalmente gravado em, totalmente bloqueado, que funcionaria da mesma maneira e, porque seria totalmente gravado e não teria espaço aberto extra quando você travasse o dispositivo completamente. o disco já seria considerado 'somente leitura'. A menos que você precise compartilhar arquivos enormes, nesse caso, a opção do DVD pode não funcionar bem. Porém, mais e mais dispositivos estão sendo lançados no mercado sem unidades de CD / DVD, o que significa que essa também não é a solução ideal.

Aposto também que, ao distribuir esta unidade flash, você quebra algumas regras sobre "dispositivos autorizados" nos sistemas de computadores da sua escola, mas não posso falar sobre isso.

Se você realmente deseja um método seguro para compartilhar uma unidade flash por aí ...

... você começa a entrar no mundo de equipamentos muito caros, como o Apricorn Aegis SecureKey 3, que é um pen drive criptografado por hardware que permite definir uma senha para o modo administrador, mas também fornecer senhas de usuário somente leitura como códigos secundários em o dispositivo. Dessa forma, o disco está bloqueado no modo somente leitura para não administradores e no modo de leitura / gravação para o usuário do código administrador.

O problema é que é caro - US $ 129US por apenas um pen drive seguro de 16 GB - devido principalmente ao custo de dispositivos criptografados por hardware (mas dispositivos como esses são projetados para um conjunto muito especial de possíveis casos de uso e, como tal, o a disponibilidade de produtos mais baratos é zero devido à falta de demanda da indústria). Portanto, essa geralmente não é uma opção econômica, especialmente se você não confia em seus alunos.

Em última análise, porém, não há realmente nenhuma maneira fácil e econômica de alcançar o que você deseja com apenas um pen drive USB, mantendo a compatibilidade entre sistemas operacionais e, mesmo assim, você não pode garantir a segurança.

O problema é que muitos sistemas operacionais diferentes são usados ​​e em jogo. Mesmo se os sistemas operacionais não fossem um fator, qualquer usuário com rootpoder seria capaz de se dar acesso se fosse um pendrive formatado para Linux com permissões de Linux definidas. Simplesmente não há como alcançar a segurança do stick USB com soluções gratuitas ou de baixo custo.

Porém, esta é uma das poucas vezes em que o compartilhamento via nuvem (Dropbox, Google Docs, Box e até uma instância OwnCloud) é a solução adequada, porque não há risco de infecção por malware apenas baixando o arquivo (a menos que o arquivo em si é um malware). (E a probabilidade de um dos serviços em nuvem mencionados acima estar infectado por um malware que você está tentando proteger é extraordinariamente baixa)

Compartilhe um disco de CD ou DVD.

Discos graváveis ​​são realmente baratos. Drives também são baratos. Compre um gravador de DVD USB externo por menos de US $ 30, ele funcionará em qualquer computador moderno e você poderá emprestá-lo a estudantes que não possuem sua própria unidade.

Todos os discos, exceto os caros, são gravados uma vez; portanto, os dados gravados no disco não podem ser reescritos. Você deve certificar-se de gravar o disco em sua capacidade total, ou o sistema de arquivos no disco pode ser modificado ou substituído, escrevendo mais dados nas regiões vazias. Mesmo que você deixe espaço vazio, há menos malware que se espalhará em um disco óptico do que em uma unidade flash.

A desvantagem disso é que, se você deseja compartilhar dados maiores do que os que cabem em alguns discos (um DVD gravável tem cerca de 4 gigabytes de capacidade), uma unidade flash de grande capacidade é muito mais conveniente do que muitos discos. Não espero que isso se aplique no seu caso.

Compartilhar uma mídia física é uma péssima idéia em termos de segurança. Mesmo se você compartilhar um CD somente leitura, seus alunos poderão simplesmente comprar um CD em branco da mesma marca e escrever o conteúdo original + o malware nele. Você precisaria assinar, carimbar ou tornar sua mídia única para evitar isso, e, idealmente, seus alunos devem aceitá-la apenas de suas mãos, não umas das outras. Caso contrário, a mídia original poderia circular entre um grupo de alunos (e você), enquanto uma mídia falsa seria entregue a outro grupo.

Um truque semelhante poderia ser executado em unidades criptografadas com senha de somente leitura: um dos alunos poderia salvar uma imagem de unidade, escrever uma imagem infectada com a mesma senha de somente leitura e circular a unidade entre as demais. A imagem original pode ser restaurada antes que a unidade seja devolvida a você.

Para evitar essas ameaças, seus alunos teriam que obter uma assinatura digital dos dados originais de outro lugar, como um servidor da escola, e saber como verificá-los. De fato, seria muito mais simples armazenar os arquivos que você deseja compartilhar no servidor em que armazenaria a assinatura, tornando o processo de compartilhamento tão simples quanto fornecer aos alunos um link para download.

As pessoas já responderam à sua pergunta literal. Deixe-me tentar dar uma facada no problema real .

Suponho que você tenha restrições de Internet que o impeçam de baixar os arquivos.

O que você pode fazer nesse caso é fornecer uma imagem ( .isoarquivo) no USB e, em seguida, instruir os alunos a executarem sha256sumno arquivo e verificarem seu hash com o que você fornece por outros meios antes de abrir o arquivo.

Quem coopera e não faz mais nada não deve pegar um vírus.

por que você simplesmente não carrega o material em algum site e o compartilha com uma senha?

se você estiver na mesma rede, torne o site local, caso contrário, os sites de upload gratuito são muitos