Hardware
Non è possibile proteggere da scrittura un dispositivo USB tramite il protocollo di archiviazione di massa USB standard. Dovresti trovare un fornitore di unità flash che lo fornisce come funzionalità aggiuntiva. Assicurati che sia implementato nell'hardware e non come un programma stupido da eseguire per poter applicare le protezioni. Ci sono sicuramente alcuni là fuori, ma sono probabilmente costosi, e molti di loro possono essere facili da bypassare.
Si noti che, anche con l'hardware, non sarà necessariamente difficile per un abile attaccante abile o anche solo intelligente aggirare. Molte unità flash possono essere sovrascritte dal firmware, il che necessariamente disabilita qualsiasi protezione da scrittura. Vorrei raccomandare contro una soluzione hardware per questo motivo.
Elenchi hash, archiviati sul tuo computer
Se il tuo budget è basso, e il tuo modello di minaccia non coinvolge avversari particolarmente avanzati che potrebbero essere in grado di sfruttare i driver del firmware o del filesystem, allora la soluzione potrebbe essere semplice come generare un elenco di hash e controllare l'elenco quando le unità vengono restituite. Se uno qualsiasi degli hash non corrisponde, sai che un file è stato modificato. Un modo semplice per generare un elenco hash usando Linux, usando percorsi relativi per evitare problemi se la posizione del mountpoint è diversa:
Per generare un elenco di hash e salvarlo a casa:
cd /media/usb
find . -type f -exec sha1sum {} + > ~/SHA1SUMS
Per verificare l'elenco hash:
cd /media/usb
sha1sum -c ~/SHA1SUMS
Elenchi di hash firmati, memorizzati su USB
Se non si desidera memorizzare un file separato con un elenco hash per ogni dispositivo USB, è anche possibile inserire un elenco hash firmato sull'unità stessa. Questo funziona fondamentalmente allo stesso modo, ma piuttosto che mantenere l'hash list sul tuo computer, lo tieni su USB, utilizzando una chiave di firma in modo da poter sapere se è stato modificato. Questa è una tecnica comune utilizzata per distribuire il software in modo sicuro. Dovrai creare una chiave per la firma con GPG.
Per generare e firmare un elenco di hash:
cd /media/usb
find . -type f -exec sha1sum {} + > SHA1SUMS
gpg --clearsign SHA1SUMS -o SHA1SUMS.asc -b
Per verificare l'elenco hash:
cd /media/usb
gpg --verify SHA1SUMS.asc
sha1sum -c SHA1SUMS
Probabilmente puoi automatizzare tutto con uno script.
dm-Verity
Un'altra soluzione Linux, molto più potente degli alberi hash, implica l'uso di una funzionalità chiamata dm-verity , originariamente progettato per proteggere il processo di avvio di Android. Quando un'unità viene utilizzata con dm-verity, una chiave di firma principale viene utilizzata per firmare root hash . L'hash di root cambierà se qualsiasi cosa sulla partizione con modifiche dm-verity e la chiave di firma non la convaliderà più. Per impostazione predefinita, qualsiasi modifica comporterà il fatto che il file non sia leggibile. Questo è molto più sicuro perché non può essere ignorato senza conoscere la chiave segreta di firma e può essere utilizzato su qualsiasi dispositivo di archiviazione.
Questa soluzione è più efficiente dell'utilizzo di un elenco hash, poiché i file vengono verificati solo quando vi si accede, senza che sia necessario verificarli tutti in una volta. La partizione verrà tuttavia resa di sola lettura, quindi l'aggiunta di un nuovo file richiederà la riformattazione dell'unità. Questo è ottimo se hai una scrittura una volta, leggi molte situazioni, ma non è così eccezionale se devi aggiungere nuovi file all'unità flash e ridistribuirla tutto il tempo.