Como escrever proteger uma chave USB?

14

Estou procurando uma solução para proteger por escrito o conteúdo de uma chave USB. A idéia é impedir que o conteúdo seja inadvertidamente removido pelo usuário ou alterado por programas mal-intencionados - não para restringir a reciclagem da chave para outra coisa.

Aqui está um resumo das minhas descobertas até agora:

  1. Algumas chaves possuem um interruptor que as torna somente leitura. Infelizmente isso nem sempre é o caso.

  2. Com um sistema de arquivos FAT32 , a única solução parece ser configurar os arquivos como "somente leitura". Mas essa proteção é muito fraca. Há uma proteção contra gravação ligeiramente mais strong disponível para NTFS , que pode ser obtida removendo os privilégios de gravação de "Todos os Usuários", tornando os arquivos somente leitura para todas as contas, exceto "Administrador". Formatar o disco como UDF torna-o somente leitura no Windows XP SP3, mas leitura-gravação no Windows Vista, Windows 7, Linux e Mac OS X. Formatação como ISO9660 / CDFS torna-o somente leitura no Linux e no Mac OS X, mas infelizmente o conteúdo não é mais legível no Windows.

  3. Com o software específico do microcontrolador é possível (se suportado pelo chip) reparticionar a chave de modo a exibir, por exemplo, uma partição protegida contra gravação e uma partição de leitura / gravação. O problema é que é muito confuso para os usuários: a partição protegida contra gravação pode aparecer como uma unidade de CD-ROM (o que não é), após a inserção alguns drivers aparentemente estão instalados no computador (na verdade eles não são realmente drivers), e isso pode levar a solicitação de reinicialização. Além disso, essa solução não pode ser aplicada universalmente, pois exige saber qual chip é usado na unidade e a existência de ferramentas disponíveis publicamente para reprogramar o dispositivo.

  4. John Reasor menciona utilitários capazes de preencher todo o espaço livre no dispositivo, tornando impossível criar novos arquivos (veja abaixo).

Existe uma solução geral para armazenar conteúdos não modificáveis em um pen drive?

  • Ele protege o conteúdo de modificações feitas normalmente do shell (por exemplo, excluir, renomear, mover) ou dos arquivos e pastas que estão sendo modificados por um aplicativo padrão (por exemplo, salvar como)

  • Ele deve funcionar com a maioria dos dispositivos

  • O usuário ainda pode reformatar o dispositivo em uma chave regular para reciclar outro uso (por exemplo, com fdisk )

por caas 11.04.2011 / 23:06

3 respostas

2

Suas descobertas estão corretas e não há uma solução geral que possa ajudar. Desculpe.

Eu só posso reformular o que você disse:

Ou eles têm um interruptor protetor de gravação ou não o fazem

Proteção no nível do sistema de arquivos que pode variar entre sistemas operacionais e implementações

Recursos específicos de microchip / chave, não é uma maneira fácil de saber com antecedência - normalmente, você solicitaria e a fabricaria de acordo com a especificação, por exemplo, Eu tive um cliente que comprou alguns que foram bloqueados para ler somente depois de serem duplicados. Não havia maneira de contornar isso.

    
por 11.04.2011 / 23:12
2

Aqui estão algumas ideias que podem ajudar a preencher suas necessidades.

Truques de software - último recurso

Existem algumas abordagens de software que você pode usar em um piscar de olhos, mas elas são mais específicas do Windows e pode ser possível contorná-las, mesmo que pareça improvável.

A procura de uma unidade flash USB com somente leitura ou comutador de proteção de gravação descreve como criar uma partição U3 personalizada com base em um arquivo ISO que será montado como um CD-ROM virtual. Isso impedirá que itens sejam excluídos desse CD virtual, mas não é ideal para um disco de limpeza do sistema porque a segunda partição ainda pode ser gravada e infectada. Além disso, alterar o conteúdo da área protegida é um processo de várias etapas que envolve a criação / atualização de um arquivo ISO que é usado para recriar a área U3 na unidade flash.

A Proteção de Gravação da Unidade Flash USB descreve como o valor DWORD do Registro do Windows WriteProtect na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies controla se os dispositivos USB são graváveis ou protegidos contra gravação. Um valor de 0 (zero) permite gravar em dispositivos USB; um valor de 1 bloqueia a gravação em dispositivos USB. As alterações podem entrar em vigor após um logoff / logon, mas certamente entrarão em vigor após uma reinicialização. Existem várias desvantagens nessa abordagem: pode ser possível que o software o contorne, bloqueie a gravação em todos os dispositivos USB, ele não entra em vigor imediatamente - requer pelo menos um logoff / logon e possivelmente uma reinicialização do sistema e você tem para desfazer suas alterações porque afeta todos os dispositivos USB e não apenas o seu pen drive.

Vários aplicativos (shareware e gratuito) e conjuntos de instruções simplificam o processo de proteção contra gravação preenchendo o disco simplesmente criando arquivos temporários para consumir todo o espaço livre disponível na unidade. Se não houver espaço para criar até mesmo um pequeno arquivo autorun.inf, será difícil infectar a unidade, pois ela não executará itens por padrão quando a unidade estiver conectada a um PC. Provavelmente, isso é melhor do que nada, uma vez que interrompe algumas infecções, mas também pode dar uma falsa sensação de segurança - não é uma segurança completa. Um dos vários sites com instruções para isso é o arquivo Create Fake Dummy do Raymond.CC na unidade flash USB para ativar a proteção contra gravação e impedir a modificação.

Eu vi instruções para proteger os arquivos em uma unidade, reformatando para NTFS e removendo todas as permissões, exceto um conjunto muito limitado. Assim como o preenchimento da capacidade, isso pode funcionar contra alguns malwares, mas não é 100% de proteção. Configurar isso também depende da versão do Windows que você está executando (supondo que seja o que você está usando) - versões não comerciais podem não fornecer acesso às configurações de segurança necessárias, e sistemas não-Windows provavelmente irão ignorar a segurança ou não conseguir ler a unidade. Isso também torna mais importante dizer ao Windows para ejetar a unidade antes de removê-la, porque é mais provável que o Windows esteja aguardando antes de gravar alterações na unidade.

link

    
por 11.04.2011 / 23:42
2

Existem pendrives no mercado (assim como os cartões SD) que possuem este pequeno botão / interruptor que permite que você ligue / desligue somente leitura / gravação. Parece ser a única solução no seu caso. Há muitos pendrives com ele e tenho certeza que você pode encontrar um que atenda às suas necessidades.

Este site tem uma lista de dispositivos com proteção contra gravação de hardware.

Por exemplo:

por 12.04.2011 / 08:49