USB dzielone między studentów: ustaw hasło tylko do pisania

Jestem nauczycielem w szkole i chciałbym udostępniać pliki w pamięci USB uczniom, a tym samym innym systemom operacyjnym.

W szczególności chciałbym ustawić hasło do zapisu / zmiany, podczas gdy zawartość USB może być czytelna dla wszystkich. Ma to na celu zapobieganie rozprzestrzenianiu się złośliwego oprogramowania.

Czy to możliwe?

Ponieważ ten dysk będzie używany w systemach, których nie kontrolujesz lub które nie są Linuksem i nie obsługują w inny sposób schematu uprawnień Linuksa, nie masz tutaj szczęścia.

Nie ma jednak realnego sposobu na zabezpieczenie hasłem, którego szukasz na dysku bez specjalistycznego sprzętu, i to zwykle nie jest opłacalne jako rozwiązanie (jak wyszczególniono poniżej).

Pamiętaj, że jestem specjalistą ds. Bezpieczeństwa IT, więc jeśli wydaje mi się poniżający lub krytykujący moją wiadomość i odpowiedź tutaj, nie mam na myśli tego w ten sposób, jestem po prostu hiperkrytyczny, jeśli chodzi o bezpieczeństwo, ponieważ moim zadaniem jest być droga.

(Przewiń w dół do sekcji „Jeśli naprawdę potrzebujesz bezpiecznej metody udostępniania dysku flash w okolicy ...” poniżej, jeśli nie chcesz słyszeć mojej wypowiedzi na temat wszystkich wprowadzanych zagrożeń bezpieczeństwa).

System Security Rule 0: NIGDY nie udostępniaj dysków USB, jeśli chcesz ograniczyć ryzyko złośliwego oprogramowania!

Mówię, że jest to reguła 0, ale tak naprawdę jest to reguła 0B - reguła 0A dotyczy fizycznego dostępu do systemów.

Mówiąc najprościej, jest to GŁÓWNE zagrożenie bezpieczeństwa. Próbując użyć USB do dystrybucji danych, natychmiast ryzykujesz, że nie będziesz w stanie kontrolować, czy złośliwe oprogramowanie jest umieszczone na patyku, czy nie. Jest to częściowo omijane przez pamięć USB z przełącznikiem blokady tylko do odczytu, takim jak Kanguru FlashTrust 3.0 , ale można je łatwo zmienić do odczytu / zapisu, przesuwając przełącznik.

Jako specjalista ds. Bezpieczeństwa zdecydowanie zalecam, abyś dostarczył alternatywną metodę dostępu do przedmiotów dla klasy , która nie używa pamięci USB , takich jak konto Box lub pliki obsługiwane z witryny w przestrzeni internetowej instytucji edukacyjnej.

Inną alternatywą jest w pełni zapisana, w pełni zablokowana płyta CD / DVD, która działałaby równie dobrze, a ponieważ byłby w pełni zapisany i nie miałby na nim dodatkowej wolnej przestrzeni po całkowitym zablokowaniu urządzenia, dysk byłby już uważany za „tylko do odczytu”. Chyba że musisz udostępniać ogromne pliki, w takim przypadku opcja DVD może nie działać dobrze. Jednak coraz więcej urządzeń jest wypuszczanych na rynek bez napędów CD / DVD, co oznacza, że ​​nie jest to również najbardziej idealne rozwiązanie.

Założę się również, że dystrybuując ten dysk flash, łamiesz kilka zasad dotyczących „autoryzowanych urządzeń” w komputerowych systemach szkolnych, ale nie mogę z tym rozmawiać.

Jeśli naprawdę potrzebujesz bezpiecznej metody udostępniania dysku flash ...

... zaczynasz wchodzić w świat bardzo drogiego sprzętu, takiego jak Apricorn Aegis SecureKey 3, który jest sprzętowo zaszyfrowanym napędem kciuka, który pozwala ustawić hasło w trybie administracyjnym, ale także zapewniać kody tylko do odczytu jako kody dodatkowe urządzenie. W ten sposób dysk jest zablokowany w trybie tylko do odczytu dla osób niebędących administratorami oraz w trybie odczytu / zapisu dla użytkownika kodu administratora.

Problem polega na tym, że jest drogi - 129 USD za zabezpieczony dysk 16 GB - wynika to głównie z kosztu sprzętowych urządzeń szyfrowanych (ale takie urządzenia są zaprojektowane na bardzo specjalny zestaw potencjalnych przypadków użycia i jako takie dostępność tańszych produktów wynosi zero ze względu na brak popytu w branży). Dlatego zazwyczaj nie jest to opłacalna opcja, szczególnie jeśli nie ufasz swoim studentom.

Ostatecznie jednak naprawdę nie ma łatwego, nieopłacalnego lub opłacalnego sposobu na osiągnięcie tego, co chcesz za pomocą zwykłej pamięci USB, przy jednoczesnym zachowaniu kompatybilności systemu operacyjnego, a nawet wtedy nie możesz zagwarantować bezpieczeństwa.

Problem polega na tym, że używanych jest wiele różnych systemów operacyjnych. Nawet jeśli systemy operacyjne nie były czynnikiem, każdy rootpotężny użytkownik byłby w stanie dać sobie dostęp, gdyby był to patyk sformatowany w systemie Linux z ustawionymi uprawnieniami do systemu Linux. Po prostu nie ma sposobu na osiągnięcie bezpieczeństwa pamięci USB za pomocą niedrogich lub tanich rozwiązań.

Jest to jednak jeden z niewielu przypadków na świecie, że udostępnianie za pośrednictwem chmury (Dropbox, Dokumenty Google, Box, a nawet instancja OwnCloud) jest właściwym rozwiązaniem, ponieważ nie ma ryzyka infekcji złośliwym oprogramowaniem po prostu przez pobranie pliku (chyba że sam plik to złośliwe oprogramowanie). (A prawdopodobieństwo, że jedna z wyżej wymienionych usług w chmurze zostanie zainfekowana przez takie złośliwe oprogramowanie, przed którym próbujesz się zabezpieczyć, jest wyjątkowo niskie)

Udostępnij dysk CD lub DVD.

Dyski z możliwością zapisu są naprawdę tanie. Dyski też są tanie. Kup zewnętrzną nagrywarkę DVD DVD za mniej niż 30 USD, będzie działać na każdym nowoczesnym komputerze i możesz pożyczyć ją studentom, którzy nie mają własnego napędu.

Wszystkie dyski, oprócz drogich, są zapisywane jednokrotnie, więc danych zapisanych na dysku nie można przepisać. Musisz jednak upewnić się, że zapisujesz dysk na pełną pojemność, w przeciwnym razie system plików na dysku można zmodyfikować lub wymienić, zapisując więcej danych w pustych regionach. Nawet jeśli pozostawisz puste miejsce, na dysku optycznym rozprzestrzeni się mniej złośliwego oprogramowania niż na dysku flash.

Wadą tego jest to, że jeśli chcesz udostępniać dane, które są większe niż mieszczą się na kilku dyskach (zapisywalny dysk DVD ma około 4 gigabajty pojemności), wówczas dysk flash o dużej pojemności jest znacznie wygodniejszy niż wiele dysków. Nie sądzę jednak, by miało to zastosowanie w twoim przypadku.

Udostępnianie fizycznych mediów to straszny pomysł ze względów bezpieczeństwa. Nawet jeśli udostępnisz płytę CD tylko do odczytu, uczniowie mogą po prostu kupić czystą płytę CD tej samej marki i napisać na niej oryginalną zawartość + złośliwe oprogramowanie. Będziesz musiał podpisać, podstemplować lub w inny sposób uczynić swoje media unikatowymi, aby temu zapobiec, a idealnie, twoi uczniowie powinni przyjmować to tylko z rąk, a nie od siebie nawzajem. W przeciwnym razie oryginalne media mogłyby krążyć wśród jednej grupy studentów (i ciebie), podczas gdy fałszywe media byłyby przekazywane innej grupie.

Podobną sztuczkę można zastosować na zaszyfrowanych dyskach z hasłem tylko do odczytu: jeden z uczniów może zapisać obraz dysku, napisać zainfekowany obraz z tym samym hasłem tylko do odczytu i rozesłać dysk między resztę. Oryginalny obraz można następnie przywrócić, zanim dysk zostanie ci zwrócony.

Aby zapobiec takim zagrożeniom, uczniowie będą musieli uzyskać podpis cyfrowy oryginalnych danych skądinąd, np. Na szkolnym serwerze, i umieć to sprawdzić. Rzeczywiście, o wiele łatwiej byłoby przechowywać pliki, które chcesz udostępnić na serwerze, na którym chcesz przechowywać podpis, dzięki czemu proces udostępniania jest tak prosty, jak udostępnienie uczniom linku do pobrania.

Ludzie już odpowiedzieli na twoje dosłowne pytanie. Pozwól mi spróbować pchnąć nożem w prawdziwym problemie.

Zakładam, że masz ograniczenia internetowe, które uniemożliwiają pobranie plików.

W tym przypadku możesz zrobić zdjęcie ( .isoplik) na USB, a następnie powiedzieć uczniom, aby uruchomili sha256sumplik i sprawdzili jego skrót z tym, który podałeś w inny sposób, zanim otworzą plik.

Ci, którzy współpracują i nie robią nic innego, nie powinni dostać wirusa.

dlaczego po prostu nie załadujesz materiału na jakąś stronę i nie udostępnisz go hasłem?

jeśli jesteś w tej samej sieci, uczyń ją lokalną witryną, w przeciwnym razie wiele bezpłatnych stron do przesyłania