USB partagé entre les étudiants: définissez un mot de passe juste pour écrire

27

Je suis professeur d'école et j'aimerais partager des fichiers sur une clé USB entre étudiants et donc entre différents OS.

En particulier, je voudrais définir un mot de passe pour l'écriture / la modification, tandis que le contenu de l'USB peut être lisible par tout le monde. C'est pour empêcher la diffusion de logiciels malveillants.

C'est possible?

usb password security amorvincomni
la source
6
Aucune personne disposant d'un accès root sur n'importe quelle machine ne peut modifier les autorisations rw.
Panther
15
C'est l'une de ces rares fois où les réponses de type «partager à partir du cloud» fonctionneraient. Vous demandez aux étudiants de "sauvegarder" une copie sur leur propre espace cloud, qu'il s'agisse de Google Drive, un lecteur / Skydrive, Dropbox, etc., puis de partager le lien avec vous.
Criggie
1
@LasVegasCoder Ne fournit pas d'option en lecture seule comme le souhaite l'OP. De plus, TrueCrypt est également remplacé par VeraCrypt maintenant. Le même problème s'applique.
Thomas Ward
2
Quelques réponses vous ont suggéré d'utiliser un DVD. Je vous conseillerais de ne pas - très peu d'étudiants ont un ordinateur assez vieux pour pouvoir en lire un.
Tim
2
C'est exactement le cas d'utilisation auquel le World Wide Web était destiné, deux décennies avant que le «cloud» ne signifie rien.
dotancohen

Réponses:

39

Parce que ce lecteur va être utilisé sur des systèmes que vous ne contrôlez pas ou qui ne sont pas Linux et ne prennent pas en charge le schéma d'autorisations Linux, vous n'avez pas de chance ici.

Il n'y a cependant aucun moyen réel de protéger par mot de passe que vous recherchez sur un disque sans équipement spécialisé, et ce n'est généralement pas rentable comme solution (comme détaillé ci-dessous).

Notez que je suis un professionnel de la sécurité informatique, donc si je semble dégradant ou réprobateur dans mon message et ma réponse ici, je ne le pense pas de cette façon, je suis juste hypercritique en matière de sécurité, car c'est mon travail d'être façon.

(Faites défiler jusqu'à la section "Si vous voulez vraiment une méthode sécurisée pour partager un lecteur flash ..." ci-dessous si vous ne voulez pas entendre ma diatribe sur tous les risques de sécurité que vous introduisez.)

Règle de sécurité du système 0: NE JAMAIS partager autour de lecteurs USB si vous voulez limiter le risque de malware!

Je dis que c'est la règle 0, mais c'est vraiment la règle 0B - la règle 0A concerne l'accès physique aux systèmes.

Mais pour dire les choses simplement, c'est un risque de sécurité MAJEUR . En tentant d'utiliser une clé USB pour distribuer des données, vous courez immédiatement le risque de ne pas pouvoir contrôler si des logiciels malveillants sont placés sur la clé ou non. Cela est partiellement contourné par les clés USB avec un interrupteur de verrouillage en lecture seule, comme le Kanguru FlashTrust 3.0 , mais elles peuvent facilement être converties en lecture / écriture en actionnant l'interrupteur.

En tant que professionnel de la sécurité, je vous suggère fortement de fournir une méthode alternative non-clé USB pour accéder aux éléments de votre classe , comme un compte Box ou des fichiers servis à partir d'un site dans l'espace Web de votre établissement d'enseignement.

Une autre alternative est un CD / DVD entièrement écrit sur, entièrement verrouillé, qui fonctionnerait tout aussi bien, et parce qu'il serait entièrement écrit sur et sans espace supplémentaire lorsque vous verrouillez complètement l'appareil, le le disque serait déjà considéré comme «en lecture seule». À moins que vous n'ayez besoin de partager des fichiers volumineux, dans ce cas, l'option DVD peut ne pas fonctionner correctement. Cependant, de plus en plus d'appareils sont lancés sur le marché sans lecteur de CD / DVD, ce qui signifie que ce n'est pas la solution la plus idéale non plus.

Je parie également qu'en distribuant ce lecteur flash, vous violez quelques règles concernant les "appareils autorisés" sur les systèmes informatiques de votre école, mais je ne peux pas en parler.

Si vous voulez vraiment une méthode sécurisée pour partager un lecteur flash autour ...

... vous commencez à entrer dans le monde des équipements très chers, tels que Apricorn Aegis SecureKey 3 qui est une clé USB chiffrée qui vous permet de définir un mot de passe pour le mode administrateur mais également de fournir des codes d'accès utilisateur en lecture seule comme codes secondaires sur le dispositif. De cette façon, le disque est verrouillé en mode lecture seule pour les non-administrateurs et en mode lecture / écriture pour l'utilisateur du code administrateur.

Le problème avec cela, c'est qu'il est cher - 129 $ US pour une clé sécurisée de 16 Go seulement - cela est principalement dû au coût des appareils chiffrés (mais des appareils tels que ceux-ci sont conçus pour un ensemble très spécial de cas d'utilisation potentiels et en tant que tels, le la disponibilité de produits moins chers est nulle en raison du manque de demande de l'industrie). Ce n'est donc généralement pas une option rentable, surtout si vous ne faites pas confiance à vos élèves.

En fin de compte, cependant, il n'y a vraiment aucun moyen facile et économique d'obtenir ce que vous voulez avec une simple clé USB, tout en conservant la compatibilité croisée du système d'exploitation, et même dans ce cas, vous ne pouvez pas garantir la sécurité.

Le problème est que de nombreux systèmes d'exploitation différents sont utilisés et en jeu. Même si les systèmes d'exploitation n'étaient pas un facteur, tout utilisateur avec rootpouvoir pourrait se donner accès s'il s'agissait d'un bâton formaté Linux avec des autorisations Linux même définies. Il n'y a tout simplement aucun moyen d'assurer la sécurité de la clé USB avec des solutions gratuites ou à faible coût.

C'est l'une des rares fois au monde, cependant, que le partage via le cloud (Dropbox, Google Docs, Box, même une instance OwnCloud) est la bonne solution, car il n'y a aucun risque d'infection par un logiciel malveillant simplement en téléchargeant le fichier (sauf si le fichier lui-même est un malware). (Et la probabilité qu'un des services cloud susmentionnés soit infecté par un logiciel malveillant contre lequel vous essayez de vous protéger est extrêmement faible)

Thomas Ward
la source
2
En tant qu'étudiant à l'Université, je n'ai aucun moyen de lire un lecteur de disque. Aucun des appareils que j'ai avec moi à l'Université n'a de lecteur. Ce n'est pas un scénario inhabituel - une proportion importante d'élèves n'utilisent que des ordinateurs portables.
Tim
1
" Le problème est que de nombreux systèmes d'exploitation différents sont utilisés et en jeu. " Non, ce n'est pas le cas, et la réponse elle-même explique pourquoi. Le problème est d'ordre économique: il y a une demande négligeable pour un appareil avec ces caractéristiques, donc ils ne bénéficient pas d'économies d'échelle et sont chers.
Peter Taylor
1
@PeterTaylor En fait, les systèmes d'exploitation en font partie - vous pouvez effectuer un contrôle rudimentaire s'il s'agit d'un disque au format Linux et que les utilisateurs finaux utilisent des ordinateurs portables Linux fournis par l'école sans rootaccès. À ce moment, les contrôles standard pour les listes d'accès, etc., pourraient fonctionner. Parce que nous devons prendre en charge d'autres systèmes d'exploitation, cela devient alors économique
Thomas Ward
4
Notez qu'un lecteur de 129 $ protège uniquement contre les étudiants qui ne dépenseraient pas 129 $ pour jouer un tour à leurs camarades.
Dmitry Grigoryev
1
@amorvincomni Windows ne peut pas lire les formats de disque dur Linux ou Mac mais peut lire les formats compatibles multiplateformes (FAT / FAT32 / exFAT); Linux peut tous les lire; Mac ne peut lire que les formats HFS et multiplateformes (FAT / FAT32 / exFAT); vous ne pouvez accorder qu'un rootaccès restrictif à un disque donné pour un système de fichiers compatible (ext4 ou similaire). Mais je vous parie que seul un très très petit sous-ensemble de vos étudiants utilise des systèmes Linux et n'a pas de privilèges d'administrateur (s'ils ont sudoou un accès superutilisateur, votre étape de protection n'a pas d'importance car ils ont un superutilisateur sur ce système et des appareils connectés.)
Thomas Ward
12

Partagez un disque CD ou DVD.

Les disques inscriptibles sont vraiment bon marché. Les disques sont aussi bon marché. Achetez un graveur de DVD USB externe pour moins de 30 USD, il fonctionnera sur n'importe quel ordinateur moderne et vous pouvez le prêter aux étudiants qui n'ont pas leur propre lecteur.

Tous les disques, sauf ceux coûteux, sont à écriture unique, les données que vous écrivez sur le disque ne peuvent donc pas être réécrites. Vous devez vous assurer que vous écrivez le disque à sa pleine capacité, sinon le système de fichiers sur le disque peut être modifié ou remplacé en écrivant plus de données dans les régions vides. Même si vous laissez un espace vide, il y a moins de logiciels malveillants qui se propageront sur un disque optique que sur un lecteur flash.

L'inconvénient est que si vous souhaitez partager des données plus grandes que ce qui tient sur quelques disques (un DVD inscriptible a environ 4 gigaoctets de capacité), alors un lecteur flash de grande capacité est beaucoup plus pratique que de nombreux disques. Je ne m'attends cependant pas à ce que cela s'applique à votre cas.

b_jonas
la source
En fait, cela ne fonctionnera pas sur n'importe quel ordinateur moderne - si même aller jusqu'à dire que cela fonctionnera sur très peu d'ordinateurs modernes. Étant donné que les étudiants universitaires utilisent principalement des ordinateurs portables, très peu seraient capables de le lire. Même moi, en tant qu'étudiant en informatique assez technique, je n'ai aucun moyen de lire un disque.
Tim
3
@Tim C'est pourquoi j'ai explicitement recommandé un lecteur de disque externe que vous branchez sur le portable via USB. Il est assez bon marché pour que vous puissiez raisonnablement en acheter un (avec des câbles) et le prêter aux étudiants. aqua.hu/… est un exemple d'un tel lecteur avec un prix, mais ce lien ne vivra probablement pas plus de quelques mois.
b_jonas
@ ZsbánAmbrus Veuillez développer votre réponse à ce sujet. Considérez également que les appareils Mac modernes n'ont pas d'USB (USB-C uniquement), ce qui n'est donc pas facilement réalisable pour eux non plus.
Thomas Ward
2
@ThomasWard Quant au Mac moderne, OP dit qu'il veut distribuer une clé USB, il ne semble pas mentionner qu'il a eu des problèmes avec les Mac modernes qui n'ont pas de port USB pour y brancher une telle clé. Mais si c'est un problème, je ne peux pas donner de bons conseils, car je ne connais pas les Mac modernes.
b_jonas
@ ZsbánAmbrus: Je ne sais pas a priori quels étudiants OS ou appareils peuvent avoir et comme l'a commenté Tim ce n'est pas un scénario inhabituel que tout le monde ne puisse pas lire un DVD
amorvincomni
6

Partager un média physique est une terrible idée en termes de sécurité. Même si vous partagez un CD en lecture seule, vos élèves peuvent simplement acheter un CD vierge de la même marque et y graver le contenu original + le malware. Vous devriez signer, tamponner ou rendre vos supports uniques pour éviter cela, et idéalement, vos élèves ne devraient l'accepter que de vos mains, pas les uns des autres. Sinon, les médias originaux pourraient circuler parmi un groupe d'étudiants (et vous), tandis qu'un faux média serait remis à un autre groupe.

Une astuce similaire pourrait être jouée sur des lecteurs chiffrés avec un code d'accès en lecture seule: l'un des élèves pourrait enregistrer une image de lecteur, écrire une image infectée avec le même code d'accès en lecture seule et faire circuler le lecteur parmi les autres. L'image d'origine pourrait alors être restaurée avant que le lecteur ne vous soit rendu.

Pour éviter de telles menaces, vos élèves devraient obtenir une signature numérique des données originales ailleurs, comme un serveur scolaire, et savoir comment les vérifier. En effet, il serait beaucoup plus simple de stocker les fichiers que vous souhaitez partager sur le serveur où vous stockeriez la signature, ce qui rend le processus de partage aussi simple que de donner à vos élèves un lien de téléchargement.

Dmitry Grigoryev
la source
Je pense que j'adopterai cette solution.
amorvincomni
2

Les gens ont déjà répondu à votre question littérale. Permettez-moi d'essayer de tenter le vrai problème.

Je suppose que vous avez des contraintes Internet qui vous empêchent de télécharger les fichiers.

Dans ce cas, vous pouvez fournir une image ( .isofichier) sur l'USB, puis demander aux élèves de s'exécuter sha256sumsur le fichier et de comparer son hachage avec celui que vous fournissez par d'autres moyens avant d'ouvrir le fichier.

Ceux qui coopèrent et ne font rien d'autre ne devraient pas contracter de virus.

Mehrdad
la source
Je pense que l'OP veut limiter le risque que des logiciels malveillants soient ajoutés à la clé USB. L'utilisation d'un fichier ISO n'efface pas ce risque, ni ne protège contre ce contre quoi l'OP tente de se protéger. (Ils sont dans une école, je suppose que l'école peut fournir une large bande passante ou un espace de stockage pour stocker le fichier s'ils le demandent)
Thomas Ward
@ThomasWard: Les logiciels malveillants ne sont pas un problème s'ils ne sont jamais exécutés. Le point ici est que s'ils effectuent les étapes que j'ai énumérées, ils sont garantis de ne jamais exécuter de logiciels malveillants, donc il protège certainement contre ce que le PO veut protéger, n'est-ce pas?
Mehrdad
2
@Mehrdad Le problème est que sur certains systèmes d'exploitation - y compris certaines versions de Windows - l'OP ne peut pas vraiment empêcher les logiciels malveillants de s'exécuter automatiquement lorsque l'appareil est connecté . Il semble que l'appareil puisse être utilisé sur de tels systèmes. Cela dit, je cette réponse pourrait être utile. La vérification d'un hachage SHA-256 comme vous le recommandez peut au moins aider à atténuer les risques, en particulier si les étudiants sont invités à désactiver "l'exécution automatique" sur les systèmes d'exploitation affectés.
Eliah Kagan
1
@Mehrdad À mon avis, la question est sur le sujet car, du moins si je comprends bien, l'objectif est de préparer le support de stockage dans Ubuntu. Les gens ont souvent des questions sur ce que la propriété et les autorisations des fichiers dans Ubuntu peuvent et ne peuvent pas faire. Les autorisations de style Unix sont souvent (à juste titre) considérées comme faisant partie des avantages d'Ubuntu et d'autres systèmes GNU / Linux, mais parfois les gens espèrent / pensent que les autorisations peuvent résoudre des problèmes qui ne peuvent vraiment être résolus qu'à différents niveaux. Si nous le fermions, je pense que nous aurions simplement d'autres questions comme celle-ci, posées par d'autres utilisateurs d'Ubuntu qui souhaitent contrôler les appareils qu'ils distribuent.
Eliah Kagan, du
1
@ Mehrdad: J'ai oublié d'écrire que votre vrai problème est assez bon. bien sûr, le vrai problème est que toutes les familles n'ont pas la possibilité de télécharger quelque chose en utilisant le service de l'institution, et je ne peux pas utiliser un service différent. L'utilisation d'un appareil physique partagé m'aiderait à atteindre tous les élèves.
amorvincomni
0

pourquoi ne pas simplement télécharger le matériel sur un site et le partager avec un mot de passe?

si vous êtes dans le même réseau, faites-en un site local, sinon les sites de téléchargement gratuits sont beaucoup

Fat Mind
la source
C'est la solution que j'utilise. Malheureusement, tous les élèves (je ne suis pas professeur de lycée) ne peuvent pas télécharger les fichiers. De plus, ce sont ces étudiants qui devraient lire le matériel ....
amorvincomni