USB dibagikan di antara siswa: setel kata sandi hanya untuk menulis

27

Saya seorang guru sekolah dan saya ingin berbagi file dalam stik USB di antara siswa dan di antara OS yang berbeda.

Khususnya saya ingin menetapkan kata sandi untuk penulisan / perubahan, sementara konten USB dapat dibaca dari semua orang. Ini untuk mencegah penyebaran malware.

Apa itu mungkin?

usb password security amorvincomni
sumber
6
Tidak mungkin siapa pun dengan akses root pada mesin apa pun dapat mengubah izin.
Panther
15
Ini adalah salah satu dari beberapa kali di mana jawaban tipe "share it from the cloud" akan bekerja. Anda meminta siswa untuk "menyimpan" salinan ke ruang cloud mereka sendiri, apakah itu google drive, satu drive / skydrive, dropbox, dll dan kemudian membagikan tautan kembali kepada Anda.
Criggie
1
@LasVegasCoder Tidak menyediakan opsi hanya baca seperti yang diinginkan OP. Juga, TrueCrypt juga diganti oleh VeraCrypt sekarang. Masalah yang sama berlaku.
Thomas Ward
2
Beberapa jawaban menyarankan Anda menggunakan DVD. Saya sarankan Anda tidak - sangat sedikit siswa yang memiliki komputer yang cukup lama untuk dapat membacanya.
Tim
2
Ini persis kasus penggunaan yang dimaksudkan World Wide Web, dua dekade sebelum "cloud" berarti apa-apa.
dotancohen

Jawaban:

39

Karena drive ini akan digunakan pada sistem yang tidak Anda kontrol, atau yang bukan Linux dan tidak mendukung skema izin Linux, Anda sedikit kurang beruntung di sini.

Tidak ada cara nyata untuk melakukan perlindungan kata sandi yang Anda cari pada disk tanpa peralatan khusus, dan itu biasanya tidak hemat biaya sebagai solusi (seperti yang dijelaskan di bawah).

Perhatikan bahwa saya seorang Profesional Keamanan TI, jadi jika saya tampak merendahkan atau memaki-maki pesan dan tanggapan saya di sini, saya tidak bermaksud seperti itu, saya hanya terlalu kritis dalam hal keamanan, karena tugas saya adalah menjadi cara.

(Gulir ke bawah ke bagian "Jika Anda benar-benar menginginkan metode yang aman untuk berbagi flash drive di ..." di bawah ini jika Anda tidak ingin mendengar kata-kata kasar saya tentang semua risiko keamanan yang Anda perkenalkan.)

Aturan Keamanan Sistem 0: JANGAN PERNAH berbagi di sekitar drive USB jika Anda ingin membatasi risiko malware!

Saya katakan ini adalah Aturan 0, tetapi ini benar-benar Aturan 0B - Aturan 0A adalah tentang akses fisik ke sistem.

Tapi sederhananya, ini adalah risiko keamanan UTAMA . Dengan mencoba menggunakan USB untuk mendistribusikan data sekitar, Anda segera berisiko tidak dapat mengontrol apakah malware diletakkan di tongkat atau tidak. Ini sebagian terhindar dari stik USB dengan sakelar baca-saja, seperti Kanguru FlashTrust 3.0 , tetapi dapat dengan mudah diputar untuk membaca / menulis dengan membalik sakelar.

Sebagai seorang profesional keamanan, saya sangat menyarankan Anda memberikan metode alternatif non-USB-stick untuk mengakses barang-barang untuk kelas Anda , seperti akun Box atau file yang disajikan dari sebuah situs di dalam ruang web lembaga pendidikan Anda.

Alternatif lain adalah CD / DVD yang sepenuhnya ditulis untuk, sepenuhnya dikunci, yang akan bekerja dengan baik, dan karena itu akan sepenuhnya ditulis dan tidak memiliki ruang terbuka tambahan di atasnya ketika Anda sepenuhnya mengunci perangkat, disk sudah dianggap 'hanya-baca'. Namun, kecuali Anda perlu berbagi file besar, dalam hal ini opsi DVD mungkin tidak berfungsi dengan baik. Namun, semakin banyak perangkat yang dirilis ke pasaran tanpa drive CD / DVD, yang berarti ini juga bukan solusi yang paling ideal.

Saya juga akan bertaruh bahwa dengan mendistribusikan flash drive ini, Anda melanggar beberapa aturan tentang "perangkat resmi" di sistem komputer sekolah Anda, tetapi saya tidak dapat berbicara tentang itu.

Jika Anda benar-benar menginginkan metode yang aman untuk berbagi flash drive di ...

... Anda mulai memasuki dunia peralatan yang sangat mahal, seperti Apricorn Aegis SecureKey 3 yang merupakan perangkat keras yang dienkripsi dengan ibu jari yang memungkinkan Anda untuk mengatur kode sandi untuk mode admin tetapi juga memberikan kode sandi pengguna hanya-baca sebagai kode sekunder pada perangkat. Dengan begitu, disk terkunci ke mode baca-saja untuk non-admin, dan mode baca / tulis untuk pengguna kode admin.

Masalahnya adalah harganya mahal - US $ 129 hanya untuk tongkat yang diamankan 16GB - ini sebagian besar disebabkan oleh biaya perangkat yang dienkripsi perangkat keras (tetapi perangkat seperti ini dirancang untuk satu set kasus penggunaan potensial yang sangat istimewa dan oleh karena itu ketersediaan produk yang lebih murah adalah nol karena kurangnya permintaan industri). Jadi ini biasanya bukan pilihan yang hemat biaya terutama jika Anda tidak mempercayai siswa Anda.

Namun, pada akhirnya, benar-benar tidak ada cara yang mudah tanpa biaya atau hemat biaya untuk mencapai apa yang Anda inginkan hanya dengan stik USB biasa, sambil mempertahankan kompatibilitas silang OS, dan bahkan kemudian Anda tidak dapat menjamin keamanan.

Masalahnya adalah banyak OS yang berbeda digunakan dan dimainkan. Bahkan jika OS bukan merupakan faktor, setiap pengguna dengan rootkekuatan akan dapat memberikan diri mereka akses jika itu adalah tongkat diformat Linux dengan izin Linux bahkan ditetapkan. Tidak ada cara untuk mencapai keamanan stik USB dengan solusi tanpa biaya atau berbiaya rendah.

Ini adalah salah satu dari beberapa kali di bumi, meskipun, berbagi melalui cloud (Dropbox, Google Documents, Box, bahkan instance OwnCloud) adalah solusi yang tepat, karena tidak ada risiko infeksi malware hanya dengan mengunduh file (kecuali file itu sendiri adalah malware). (Dan kemungkinan salah satu layanan cloud yang disebutkan di atas terinfeksi oleh malware sedemikian rupa sehingga Anda berusaha untuk melindunginya sangat rendah)

Thomas Ward
sumber
2
Sebagai mahasiswa, saya tidak punya cara untuk membaca disk drive. Tak satu pun dari perangkat yang saya miliki dengan saya di Universitas memiliki slot drive. Ini bukan skenario yang tidak biasa - sebagian besar siswa hanya menggunakan laptop.
Tim
1
" Masalahnya adalah banyak OS yang berbeda digunakan dan dimainkan. " Tidak, tidak, dan jawabannya sendiri menjelaskan mengapa tidak. Masalahnya adalah ekonomi: ada permintaan yang diabaikan untuk perangkat dengan karakteristik ini, sehingga mereka tidak mendapat manfaat dari skala ekonomi dan mahal.
Peter Taylor
1
@PeterTaylor Sebenarnya bagian dari itu adalah OS - Anda dapat melakukan kontrol yang belum sempurna jika itu adalah disk yang diformat Linux dan pengguna akhir menggunakan laptop Linux yang dikeluarkan sekolah tanpa rootakses. Pada titik mana kontrol standar untuk daftar akses, dll. Akan dapat berfungsi. Karena kita harus mendukung OS lain maka itu menjadi ekonomi
Thomas Ward
4
Perhatikan bahwa drive $ 129 hanya melindungi siswa yang tidak mau menghabiskan $ 129 untuk mempermainkan teman mereka.
Dmitry Grigoryev
1
@amorvincomni Windows tidak dapat membaca format hard disk Linux atau Mac tetapi dapat membaca format yang kompatibel lintas platform (FAT / FAT32 / exFAT); Linux dapat membaca semuanya; Mac hanya dapat membaca format HFS dan lintas platform (FAT / FAT32 / exFAT); Anda hanya dapat memberikan rootakses terbatas ke disk yang diberikan untuk sistem file yang kompatibel (ext4, atau serupa). Tetapi saya akan bertaruh Anda bahwa hanya sebagian kecil dari siswa Anda yang menggunakan sistem Linux dan tidak memiliki hak admin (jika mereka memiliki sudoatau superuser mengakses langkah perlindungan Anda tidak relevan karena mereka memiliki superuser pada sistem itu dan perangkat yang terhubung.)
Thomas Ward
12

Bagikan disk CD atau DVD.

Disk yang dapat ditulis sangat murah. Drive juga murah. Beli penulis DVD USB eksternal dengan harga kurang dari 30 USD, ini akan bekerja pada komputer modern apa pun, dan Anda dapat meminjamkannya kepada siswa yang tidak memiliki drive sendiri.

Semua disk kecuali yang mahal adalah write-sekali, sehingga data yang Anda tulis ke disk tidak dapat ditulis ulang. Anda harus memastikan bahwa Anda menulis disk ke kapasitas penuhnya, atau sistem file pada disk dapat dimodifikasi atau diganti dengan menulis lebih banyak data di wilayah kosong. Bahkan jika Anda meninggalkan ruang kosong, ada lebih sedikit malware yang akan menyebar pada disk optik daripada pada flash drive.

Kelemahan dari ini adalah bahwa jika Anda ingin berbagi data yang lebih besar dari apa yang cocok pada beberapa disk (DVD yang dapat ditulis memiliki kapasitas sekitar 4 gigabytes), maka flash drive berkapasitas besar jauh lebih nyaman daripada banyak disk. Saya tidak berharap itu akan berlaku dalam kasus Anda.

b_jonas
sumber
Sebenarnya itu tidak akan berfungsi pada komputer modern mana pun - jika bahkan mengatakan bahwa itu akan bekerja pada komputer modern sangat sedikit. Mengingat sebagian besar mahasiswa menggunakan laptop, sangat sedikit yang dapat membacanya. Bahkan saya, sebagai mahasiswa Sains komputer yang cukup teknis tidak memiliki cara membaca disk.
Tim
3
@Tim Itulah sebabnya saya secara eksplisit merekomendasikan drive disk eksternal yang Anda pasang ke notebook melalui USB. Cukup murah sehingga Anda dapat membeli satu (dengan kabel) dan meminjamkannya kepada siswa. aqua.hu/… adalah contoh dari drive dengan harga seperti itu, tetapi tautan itu mungkin tidak akan hidup selama lebih dari beberapa bulan.
b_jonas
@ ZsbánAmbrus Silakan rentangkan jawaban Anda, lalu, tentang itu. Juga pertimbangkan bahwa perangkat Mac modern tidak memiliki USB (hanya USB-C) sehingga ini juga tidak mudah dilakukan untuk mereka.
Thomas Ward
2
@ ThomasWard Adapun Mac modern, OP mengatakan dia ingin mendistribusikan stik USB, dia sepertinya tidak menyebutkan bahwa dia memiliki masalah dengan Mac modern yang tidak memiliki port USB untuk memasukkan stik seperti itu ke dalamnya. Tetapi jika ini merupakan masalah, maka saya tidak dapat memberikan saran yang baik, karena saya tidak terbiasa dengan Mac modern.
b_jonas
@ ZsbánAmbrus: Saya tidak tahu apriori yang OS atau perangkat siswa dapat miliki dan sebagaimana dikomentari oleh Tim itu bukan skenario yang tidak biasa bahwa tidak semua orang bisa membaca DVD
amorvincomni
6

Berbagi media fisik adalah ide yang buruk untuk keamanan. Bahkan jika Anda membagikan CD read-only, siswa-siswa Anda dapat dengan mudah membeli CD kosong dari merek yang sama dan menulis konten asli + malware di dalamnya. Anda harus menandatangani, mencap atau membuat media Anda unik untuk mencegah hal ini, dan idealnya siswa Anda hanya harus menerimanya dari tangan Anda, bukan dari satu sama lain. Kalau tidak, media asli dapat beredar di antara satu kelompok siswa (dan Anda), sementara media palsu akan diberikan kepada kelompok lain.

Trik serupa dapat dimainkan pada drive terenkripsi dengan kode sandi hanya-baca: salah satu siswa dapat menyimpan gambar drive, menulis gambar yang terinfeksi dengan kode akses hanya-baca yang sama dan mengedarkan drive di antara yang lain. Gambar asli kemudian dapat dipulihkan sebelum drive diberikan kembali kepada Anda.

Untuk mencegah ancaman seperti itu, siswa Anda harus mendapatkan tanda tangan digital dari data asli dari tempat lain, seperti server sekolah, dan tahu cara memverifikasinya. Memang akan jauh lebih mudah untuk menyimpan file yang ingin Anda bagikan di server tempat Anda menyimpan tanda tangan, membuat proses berbagi sesederhana memberikan tautan unduhan kepada siswa Anda.

Dmitry Grigoryev
sumber
Saya pikir saya akan mengadopsi solusi ini.
amorvincomni
2

Orang-orang sudah menjawab pertanyaan literal Anda. Biarkan saya mencoba menusuk masalah sebenarnya .

Saya berasumsi Anda memiliki kendala internet yang mencegah Anda mengunduh file.

Apa yang dapat Anda lakukan dalam hal ini adalah memberikan gambar ( .isofile) pada USB, kemudian memberi tahu siswa untuk menjalankan sha256sumfile tersebut dan memeriksa hash-nya terhadap yang Anda berikan melalui cara lain sebelum mereka membuka file.

Mereka yang bekerja sama dan tidak melakukan hal lain seharusnya tidak terkena virus.

Mehrdad
sumber
Saya pikir OP ingin membatasi risiko malware ditambahkan ke stik USB. Menggunakan file ISO tidak menghapus risiko ini, juga tidak melindungi terhadap apa yang tampaknya berusaha dilindungi oleh OP. (Mereka berada di sekolah, tebakan saya adalah bahwa sekolah dapat memberikan bandwidth yang cukup atau ruang penyimpanan untuk menyimpan file jika mereka bertanya)
Thomas Ward
@ThomasWard: Malware tidak masalah jika itu tidak pernah dieksekusi sekalipun. Intinya di sini adalah jika mereka melakukan langkah-langkah yang saya daftarkan maka mereka dijamin tidak akan pernah mengeksekusi malware, jadi tentu saja melindungi terhadap apa yang OP ingin lindungi, bukan?
Mehrdad
2
@Mehrdad Masalahnya adalah pada beberapa sistem operasi - termasuk beberapa versi Windows - OP tidak dapat benar-benar mencegah malware berjalan secara otomatis ketika perangkat terpasang . Tampaknya perangkat tersebut dapat digunakan pada sistem seperti itu. Dengan itu, saya jawaban ini mungkin berguna. Memeriksa hash SHA-256 seperti yang Anda rekomendasikan setidaknya dapat membantu mengurangi risiko, terutama jika siswa disarankan untuk menonaktifkan "autorun" pada OS yang terpengaruh.
Eliah Kagan
1
@Mehrdad Dalam pandangan saya pertanyaannya adalah pada topik karena, setidak-tidaknya seperti yang saya mengerti, tujuannya adalah untuk mempersiapkan media penyimpanan di Ubuntu. Orang-orang sering memiliki pertanyaan tentang apa yang bisa dan tidak bisa dilakukan oleh kepemilikan dan izin file di Ubuntu. Izin unix-style sering (benar) dikatakan sebagai salah satu manfaat Ubuntu dan sistem GNU / Linux lainnya, tetapi kadang-kadang orang berharap / berpikir izin dapat menyelesaikan masalah yang benar-benar hanya dapat diselesaikan di tingkat yang berbeda. Jika kami benar-benar menutupnya, saya kira kami hanya akan mendapatkan lebih banyak pertanyaan seperti itu, ditanyakan oleh pengguna Ubuntu lain yang ingin mengontrol perangkat yang mereka distribusikan.
Eliah Kagan
1
@Mehrdad: Saya lupa menulis bahwa masalah Anda yang sebenarnya cukup bagus. tentu saja masalahnya adalah bahwa tidak semua keluarga memiliki kemampuan untuk mengunduh sesuatu menggunakan layanan lembaga, dan saya tidak dapat menggunakan layanan yang berbeda. Penggunaan perangkat fisik bersama akan membantu saya dalam menjangkau semua siswa.
amorvincomni
0

mengapa Anda tidak mengunggah materi saja ke beberapa situs dan membagikannya dengan kata sandi?

jika Anda berada di jaringan yang sama buatlah situs lokal lain yang bijaksana, situs unggah gratis banyak

Pikiran Gemuk
sumber
Ini adalah solusi yang saya gunakan. Sayangnya tidak semua siswa (saya seorang guru SMA) dapat mengunduh file. Apalagi siswa-siswa ini adalah yang harus membaca materi ....
amorvincomni