Gemeinsamer USB-Anschluss für Schüler: Legen Sie ein Kennwort nur zum Schreiben fest

27

Ich bin ein Schullehrer und möchte Dateien auf einem USB-Stick zwischen Schülern und damit zwischen verschiedenen Betriebssystemen austauschen.

Insbesondere möchte ich ein Passwort zum Schreiben / Ändern setzen, während der Inhalt von USB von jedem lesbar sein kann. Dies dient dazu, die Verbreitung von Malware zu verhindern.

Ist es möglich?

usb password security amorvincomni
quelle
6
Nicht möglich, dass jemand mit Root-Zugriff auf einem Computer die RW-Berechtigungen ändern kann.
Panther
15
Dies ist eines der relativ wenigen Male, bei denen Antworten vom Typ "Aus der Cloud freigeben" funktionieren. Sie veranlassen die Schüler, eine Kopie in ihrem eigenen Cloud-Speicher zu "speichern", unabhängig davon, ob es sich um ein Google-Laufwerk, ein Laufwerk / Laufwerk, eine Dropbox usw. handelt, und geben den Link dann an Sie weiter.
Criggie
1
@LasVegasCoder Bietet keine schreibgeschützte Option, wie sie vom OP gewünscht wird. TrueCrypt wird jetzt auch durch VeraCrypt ersetzt. Gleiches gilt.
Thomas Ward
2
Ein paar Antworten haben vorgeschlagen, dass Sie eine DVD verwenden. Ich rate Ihnen, dies nicht zu tun - nur sehr wenige Studenten haben einen Computer, der alt genug ist, um einen lesen zu können.
Tim
2
Dies ist genau der Anwendungsfall, für den das World Wide Web gedacht war, zwei Jahrzehnte bevor "Cloud" etwas bedeutete.
Dotancohen

Antworten:

39

Da dieses Laufwerk auf Systemen verwendet wird, die Sie nicht steuern oder die nicht Linux sind und das Linux-Berechtigungsschema nicht unterstützen, haben Sie hier ein bisschen Pech.

Es gibt jedoch keine echte Möglichkeit, den gewünschten Kennwortschutz auf einer Festplatte ohne spezielle Geräte durchzuführen, und dies ist normalerweise als Lösung nicht kosteneffektiv (siehe unten).

Beachten Sie, dass ich ein IT-Sicherheitsexperte bin. Wenn ich also meine Botschaft und Antwort hier herabsetze oder beschimpfe, meine ich das nicht so. Ich bin nur überkritisch, wenn es um Sicherheit geht, da es meine Aufgabe ist, das zu sein Weg.

(Scrollen Sie nach unten zum Abschnitt "Wenn Sie wirklich eine sichere Methode zum Freigeben eines Flash-Laufwerks benötigen ...", wenn Sie nicht möchten, dass ich über die Sicherheitsrisiken, die Sie einführen, schimpfe.)

Systemsicherheitsregel 0: Geben Sie NIEMALS auf USB-Laufwerken weiter, wenn Sie das Risiko von Malware begrenzen möchten!

Ich sage, das ist Regel 0, aber das ist wirklich Regel 0B - Regel 0A befasst sich mit dem physischen Zugang zu Systemen.

Einfach ausgedrückt handelt es sich jedoch um ein GROSSES Sicherheitsrisiko. Wenn Sie versuchen, Daten über USB zu verteilen, besteht sofort die Gefahr, dass Sie nicht kontrollieren können, ob Malware auf dem Stick gespeichert ist oder nicht. Dies wird teilweise durch USB-Sticks mit einem schreibgeschützten Sperrschalter, wie dem Kanguru FlashTrust 3.0 , umgangen. Sie können jedoch durch Umlegen des Schalters leicht zum Lesen / Schreiben gedreht werden.

Als Sicherheitsexperte empfehle ich dringend, eine andere Methode als den USB-Stick für den Zugriff auf die Artikel für Ihre Klasse bereitzustellen , z. B. ein Box-Konto oder Dateien, die von einer Website im Webspace Ihrer Bildungseinrichtung bereitgestellt werden.

Eine andere Alternative ist eine vollständig beschriebene, vollständig gesperrte CD / DVD, die genauso gut funktioniert, und da sie vollständig beschrieben ist und keinen zusätzlichen freien Speicherplatz aufweist, wenn Sie das Gerät vollständig sperren Die Festplatte wird bereits als schreibgeschützt betrachtet. Es sei denn, Sie müssen große Dateien freigeben. In diesem Fall funktioniert die DVD-Option möglicherweise nicht richtig. Es werden jedoch immer mehr Geräte ohne CD / DVD-Laufwerke auf den Markt gebracht, was bedeutet, dass dies auch nicht die idealste Lösung ist.

Ich wette auch, dass Sie durch das Verteilen dieses Flash-Laufwerks gegen einige Regeln für "autorisierte Geräte" auf den Computersystemen Ihrer Schule verstoßen, aber ich kann nicht damit sprechen.

Wenn Sie wirklich eine sichere Methode für die gemeinsame Nutzung eines Flash-Laufwerks möchten ...

... Sie in die Welt der sehr teuren Geräte einsteigen , wie zum Beispiel Apricorn Aegis SecureKey 3 , ein hardwareverschlüsseltes USB- Stick, mit dem Sie einen Passcode für den Admin-Modus festlegen, aber auch nur lesbare Benutzer-Passcodes als sekundäre Codes bereitstellen können das Gerät. Auf diese Weise wird der Datenträger für Nicht-Administratoren im schreibgeschützten Modus und für den Benutzer mit Administratorcode im Lese- / Schreibmodus gesperrt.

Das Problem dabei ist, dass es teuer ist - 129 US-Dollar für nur einen 16-GB-gesicherten Stick -, was hauptsächlich auf die Kosten für hardwareverschlüsselte Geräte zurückzuführen ist (aber Geräte wie diese sind für eine ganz spezielle Reihe potenzieller Anwendungsfälle konzipiert und als solche Die Verfügbarkeit billigerer Produkte ist aufgrund der mangelnden Nachfrage in der Industrie gleich Null. Dies ist normalerweise keine kostengünstige Option, insbesondere wenn Sie Ihren Schülern nicht vertrauen.

Letztendlich gibt es jedoch keine einfache, kostenlose oder kostengünstige Möglichkeit, mit einem einfachen USB-Stick das zu erreichen, was Sie möchten, während die Kompatibilität des Betriebssystems erhalten bleibt, und selbst dann können Sie die Sicherheit nicht garantieren.

Das Problem ist, dass viele verschiedene Betriebssysteme verwendet werden und im Spiel sind. Selbst wenn Betriebssysteme kein Faktor rootwären , könnte sich jeder Benutzer mit Macht Zugang verschaffen, wenn es sich um einen Linux-formatierten Stick handelt, für den sogar Linux-Berechtigungen festgelegt sind. Es gibt einfach keine Möglichkeit, die Sicherheit eines USB-Sticks mit kostengünstigen oder kostengünstigen Lösungen zu erreichen.

Dies ist eines der wenigen Male auf der Welt, dass das Teilen über die Cloud (Dropbox, Google Docs, Box, sogar eine OwnCloud-Instanz) die richtige Lösung ist, da das Risiko einer Malware-Infektion nur durch Herunterladen der Datei ausgeschlossen ist (sofern nicht anders angegeben) Die Datei selbst ist Malware. (Und die Wahrscheinlichkeit, dass einer der oben genannten Cloud-Dienste mit Malware infiziert wird, gegen die Sie sich schützen möchten, ist außerordentlich gering.)

Thomas Ward
quelle
2
Als Student an der Universität habe ich keine Möglichkeit, ein Laufwerk zu lesen. Keines der Geräte, die ich an der Universität bei mir habe, verfügt über einen Laufwerkssteckplatz. Dies ist kein ungewöhnliches Szenario - ein erheblicher Anteil der Schüler verwendet nur Laptops.
Tim
1
" Das Problem ist, dass viele verschiedene Betriebssysteme verwendet werden und im Spiel sind. " Nein, das ist es nicht, und die Antwort selbst erklärt, warum nicht. Das Problem ist die Wirtschaftlichkeit: Ein Gerät mit diesen Eigenschaften wird kaum nachgefragt, sodass es nicht von Skaleneffekten profitiert und teuer ist.
Peter Taylor
1
@PeterTaylor Tatsächlich sind die Betriebssysteme Teil davon - Sie können eine rudimentäre Kontrolle durchführen, wenn es sich um eine Linux-formatierte Festplatte handelt und die Endbenutzer Linux-Laptops ohne rootZugriff von Schulen verwenden . An diesem Punkt könnten Standardsteuerelemente für Zugriffslisten usw. funktionieren. Weil wir andere Betriebssysteme unterstützen müssen, wird es ökonomisch
Thomas Ward
4
Beachten Sie, dass ein $ 129-Laufwerk nur vor Schülern schützt, die keine $ 129 ausgeben, um ihren Freunden einen Streich zu spielen.
Dmitry Grigoryev
1
@amorvincomni Windows kann keine Linux- oder Mac-Festplattenformate lesen, aber plattformübergreifende kompatible Formate (FAT / FAT32 / exFAT). Linux kann sie alle lesen; Mac kann nur HFS- und plattformübergreifende Formate (FAT / FAT32 / exFAT) lesen. Sie können nur rootfür ein kompatibles Dateisystem (ext4 oder ähnliches) restriktiven Zugriff auf eine bestimmte Festplatte gewähren . Aber ich wette, dass nur eine SEHR kleine Gruppe Ihrer Schüler Linux-Systeme verwendet und keine Administratorrechte besitzt (wenn sie über sudooder Superuser-Zugriff verfügen, ist Ihr Schutzschritt irrelevant, da sie Superuser auf diesem System und den angeschlossenen Geräten haben.)
Thomas Ward
12

Geben Sie eine CD oder DVD frei.

Beschreibbare Datenträger sind wirklich billig. Die Antriebe sind auch billig. Kaufen Sie einen externen USB-DVD-Brenner für weniger als 30 USD. Er funktioniert auf jedem modernen Computer, und Sie können ihn Studenten ausleihen, die kein eigenes Laufwerk haben.

Alle bis auf teure Datenträger sind einmal beschreibbar, sodass die Daten, die Sie auf den Datenträger schreiben, nicht neu geschrieben werden können. Sie müssen jedoch sicherstellen, dass der Datenträger voll ausgelastet ist. Andernfalls kann das Dateisystem auf dem Datenträger geändert oder ersetzt werden, indem mehr Daten in die leeren Bereiche geschrieben werden. Selbst wenn Sie freien Speicherplatz lassen, breitet sich auf einem optischen Datenträger weniger Malware aus als auf einem Flash-Laufwerk.

Der Nachteil dabei ist, dass ein Flash-Laufwerk mit hoher Kapazität viel praktischer ist als viele andere Datenträger, wenn Sie Daten gemeinsam nutzen möchten, die größer sind als die Daten, die auf einige wenige Datenträger passen (eine beschreibbare DVD hat eine Kapazität von etwa 4 Gigabyte). Ich erwarte jedoch nicht, dass dies in Ihrem Fall zutrifft.

b_jonas
quelle
Tatsächlich funktioniert es auf keinem modernen Computer - wenn man so weit geht, funktioniert es auf sehr wenigen modernen Computern. Angesichts der Tatsache, dass Universitätsstudenten meistens Laptops verwenden, werden nur sehr wenige in der Lage sein, diese zu lesen. Sogar ich als ein ziemlich technisch denkender Informatikstudent habe keine Möglichkeit, eine Diskette zu lesen.
Tim
3
@Tim Deshalb habe ich ausdrücklich ein externes Laufwerk empfohlen, das Sie über USB an das Notebook anschließen. Es ist billig genug, dass Sie ein (mit Kabeln) vernünftigerweise kaufen und es Studenten leihen können. aqua.hu/… ist ein Beispiel für einen solchen Antrieb mit Preis, aber dieser Link wird wahrscheinlich nicht länger als ein paar Monate bestehen.
b_jonas
@ ZsbánAmbrus Bitte erweitern Sie dann Ihre Antwort darauf. Bedenken Sie auch, dass moderne Mac-Geräte kein USB (nur USB-C) haben, sodass dies auch für sie nicht einfach möglich ist.
Thomas Ward
2
@ThomasWard Was den modernen Mac angeht, sagt OP, dass er einen USB-Stick vertreiben möchte, er scheint nicht zu erwähnen, dass er Probleme mit modernen Macs hatte, die keinen USB-Anschluss zum Anschließen eines solchen Sticks haben. Wenn dies jedoch ein Problem ist, kann ich keine guten Ratschläge geben, da ich mit modernen Macs nicht vertraut bin.
b_jonas
@ ZsbánAmbrus: Ich weiß nicht, welche Betriebssysteme oder Geräte von vornherein Studenten haben können, und wie von Tim kommentiert, ist es kein ungewöhnliches Szenario, dass nicht jeder eine DVD lesen kann
amorvincomni
6

Das Teilen eines physischen Mediums ist aus Sicherheitsgründen eine schreckliche Idee. Selbst wenn Sie eine schreibgeschützte CD freigeben, können Ihre Schüler einfach eine leere CD derselben Marke kaufen und den Originalinhalt + Malware darauf schreiben. Sie müssten Ihre Medien signieren, stempeln oder auf andere Weise einzigartig machen, um dies zu verhindern. Idealerweise sollten Ihre Schüler sie nur von Ihren Händen annehmen, nicht von einander. Andernfalls könnten die Originalmedien unter einer Gruppe von Studenten (und Ihnen) zirkulieren, während ein gefälschtes Medium an eine andere Gruppe weitergegeben würde.

Ein ähnlicher Trick könnte auf verschlüsselten Laufwerken mit Lesezugriffscode gespielt werden: Einer der Schüler könnte ein Laufwerksabbild speichern, ein infiziertes Abbild mit demselben Lesezugriffscode schreiben und das Laufwerk unter den anderen verteilen. Das ursprüngliche Image kann dann wiederhergestellt werden, bevor das Laufwerk an Sie zurückgegeben wird.

Um solche Bedrohungen zu vermeiden, müssten Ihre Schüler eine digitale Signatur der Originaldaten von einem anderen Ort erhalten, z. B. einem Schulserver, und wissen, wie diese zu überprüfen sind. In der Tat wäre es viel einfacher, die Dateien, die Sie freigeben möchten, auf dem Server zu speichern, auf dem Sie die Signatur speichern möchten, wodurch der Freigabeprozess so einfach wird, wie wenn Sie Ihren Schülern einen Download-Link geben.

Dmitry Grigoryev
quelle
Ich denke, ich werde diese Lösung übernehmen.
Amorvincomni
2

Die Leute haben Ihre Frage bereits beantwortet. Lassen Sie mich versuchen, das eigentliche Problem zu untersuchen.

Ich gehe davon aus, dass Sie Internet-Beschränkungen haben, die verhindern, dass Sie die Dateien herunterladen.

In diesem Fall können Sie ein Image (eine .isoDatei) auf dem USB-Stick bereitstellen und dann die Schüler anweisen, sha256sumdie Datei auszuführen und ihren Hash mit einem anderen von Ihnen bereitgestellten zu vergleichen, bevor sie die Datei öffnen.

Wer kooperiert und nichts anderes macht, sollte keinen Virus bekommen.

Mehrdad
quelle
Ich denke, das OP möchte das Risiko begrenzen, dass Malware auf den USB-Stick übertragen wird. Durch die Verwendung einer ISO-Datei wird dieses Risiko nicht beseitigt und es wird auch nicht vor dem geschützt, vor dem das OP zu schützen versucht. (Sie sind in einer Schule, ich vermute, dass die Schule genügend Bandbreite oder Speicherplatz zum Speichern der Datei zur Verfügung stellen kann, wenn sie darum bitten)
Thomas Ward
@ThomasWard: Malware ist kein Problem, wenn sie niemals ausgeführt wird. Der Punkt hier ist, wenn sie die Schritte ausführen, die ich aufgelistet habe, dann werden sie garantiert nie Malware ausführen, also schützt es sicher vor dem, wovor das OP schützen möchte, nicht wahr?
Mehrdad
2
@Mehrdad Das Problem ist, dass auf einigen Betriebssystemen - einschließlich einiger Windows-Versionen - das OP nicht wirklich verhindern kann, dass Malware automatisch ausgeführt wird, wenn das Gerät angeschlossen wird . Es scheint , das Gerät kann verwendet werden , auf solchen Systemen. Vor diesem Hintergrund könnte mir diese Antwort nützlich sein. Das Überprüfen eines von Ihnen empfohlenen SHA-256-Hash kann zumindest dazu beitragen, das Risiko zu verringern, insbesondere wenn den Schülern empfohlen wird, die automatische Ausführung auf betroffenen Betriebssystemen zu deaktivieren.
Eliah Kagan
1
@Mehrdad Meines Erachtens ist die Frage zum Thema, denn so weit ich weiß, ist das Ziel, das Speichermedium in Ubuntu vorzubereiten. Leute haben oft Fragen darüber, was Dateibesitzer und Berechtigungen in Ubuntu können und was nicht. Unix-artige Berechtigungen werden oft (zu Recht) als einer der Vorteile von Ubuntu und anderen GNU / Linux-Systemen angesehen, aber manchmal hoffen / denken die Leute, dass Berechtigungen Probleme lösen können, die wirklich nur auf verschiedenen Ebenen gelöst werden können. Wenn wir es schließen würden, hätten wir wahrscheinlich noch mehr Fragen, die von anderen Ubuntu-Benutzern gestellt würden, die Geräte steuern möchten, die sie verteilen.
Eliah Kagan
1
@Mehrdad: Ich habe vergessen zu schreiben, dass dein echtes Problem ziemlich gut ist. Das eigentliche Problem ist natürlich, dass nicht alle Familien die Möglichkeit haben, über den Dienst der Einrichtung etwas herunterzuladen, und ich kann keinen anderen Dienst verwenden. Die Verwendung eines gemeinsam genutzten physischen Geräts würde mir dabei helfen, alle Schüler zu erreichen.
Amorvincomni
0

Warum lädst du das Material nicht einfach auf eine Website hoch und teilst es mit einem Passwort?

Wenn Sie sich im selben Netzwerk befinden, machen Sie es zu einer lokalen Site. Andernfalls sind die kostenlosen Upload-Sites eine Menge

Fetter Verstand
quelle
Dies ist die Lösung, die ich verwende. Leider können nicht alle Schüler (ich bin Gymnasiallehrer) die Dateien herunterladen. Außerdem sollten diese Schüler das Material lesen ...
amorvincomni