it-swarm-vi.com

Làm thế nào đáng tin cậy là một công tắc bảo vệ ghi trên ổ đĩa flash USB?

Tôi hiện đang sử dụng ổ flash USB có phân phối trực tiếp. Đôi khi tôi sẽ cắm nó vào thiết bị đầu cuối mà tôi không thể tin tưởng.

Mô hình mối đe dọa của tôi ở đây chỉ là nguy cơ sửa đổi trái phép đối với hình ảnh phân phối trực tiếp trên ổ đĩa flash . Thật không may, một đĩa CD trực tiếp không đủ tiện lợi (hệ thống tệp phải cho phép ghi khi được sử dụng trên thiết bị đầu cuối an toàn và việc remaster liên tục quá cồng kềnh).

Tôi đang cân nhắc ngay bây giờ nếu công tắc bảo vệ ghi vật lý (chỉ đọc) trên ổ đĩa flash đủ tin cậy để được tin cậy . Ý tôi là như vậy có thể được nhìn thấy trên các ổ đĩa flash cũ hơn (ví dụ PQI U339H ).

Từ những gì tôi tìm thấy cho đến nay, việc bảo vệ ghi được cho là hoàn thành ở cấp độ phần cứng, nhưng tôi không thể xác minh liệu thực sự không có cách nào phá vỡ nó. Chắc chắn với thẻ SD có (vì về cơ bản, thông tin ở cấp độ phần mềm không cần phải được tôn trọng bởi các hệ thống giả mạo).

Ví dụ: Đặc tả đơn giản SD mô tả nó như sau:

4.3.6 Quản lý bảo vệ ghi

Ba phương thức bảo vệ ghi được hỗ trợ trong Thẻ nhớ SD như sau:

  • Công tắc bảo vệ ghi cơ học (Chỉ chịu trách nhiệm máy chủ)
  • Thẻ bảo vệ ghi nội bộ của thẻ (Trách nhiệm của thẻ)
  • Thao tác khóa thẻ bảo vệ mật khẩu.

Công tắc bảo vệ ghi cơ học

Một máy tính bảng trượt cơ học ở mặt bên của thẻ (tham khảo Phụ lục cơ học phần 1) sẽ được người dùng sử dụng để chỉ ra rằng một thẻ nhất định có được bảo vệ chống ghi hay không. [...]

Công tắc phù hợp, phù hợp, ở phía ổ cắm sẽ cho Chủ nhà biết rằng thẻ có được bảo vệ chống ghi hay không. Trách nhiệm của Chủ nhà là bảo vệ thẻ. Vị trí của công tắc bảo vệ ghi không xác định đối với mạch bên trong của thẻ.

[...]

Bạn có biết một số giải thích kỹ thuật tương tự về cách thức hoạt động của loại bảo vệ ghi này trên các ổ flash USB và sẽ dựa vào nó để bảo mật?

49
Karol J. Piczak

Bảo vệ ghi vật lý trên ổ USB sẽ hoạt động trong mọi trường hợp. Bộ điều khiển ghi nằm trong ổ đĩa. Do đó, ngoại trừ việc thực hiện hoàn toàn điên rồ, công tắc bảo vệ ghi vật lý được bảo mật.

Bảo vệ ghi vật lý luôn là một loại bán mềm, nhưng nó thường ở bên trong ổ đĩa. Với ổ đĩa mềm có bộ điều khiển bên ngoài thiết bị, người ta có thể tạo một ổ đĩa mà bỏ qua thanh trượt chống ghi. Tôi nghĩ rằng thẻ SD cũng giống như các ổ đĩa mềm về vấn đề đó, mặc dù tôi sẽ không đặt cược vào nó bởi vì tôi biết chúng bao gồm một số mạch cho những thứ như cân bằng hao mòn.

14
Jeff Ferland

Trước hết ở đây là một liên kết đến một trang với danh sách các thanh usb có công tắc bảo vệ ghi như vậy: http://www.fencepost.net/2010/03/usb-flash-drive-with-hardware- write-Protection / Có một số thông tin ở đó và họ cũng ngụ ý rằng đó là bảo vệ phần cứng.

Bây giờ, nếu bạn thực sự nghiêm túc về nó, bạn có thể xem xét các công cụ chặn ghi USB, thường được sử dụng cho mục đích pháp y nhưng cũng có thể được sử dụng như thế này. Đây là một ví dụ: http://www.salvationdata.com/data-recovery-equipment/source-data-safe-guard.htmlm

6
john

Mặc dù nhiều chip flash cấp thấp cung cấp chân "chống ghi" phần cứng, hoạt động hoàn toàn không được chỉ định nếu trạng thái của pin đó thay đổi ở giữa thao tác ghi; trong khi thay đổi pin trong khoảng thời gian bắt đầu một thao tác có thể luôn có tác dụng ngăn chặn hoạt động hoàn toàn (nếu được thực hiện sớm), cho phép một thao tác ghi cuối cùng hoàn thành (nếu được thực hiện ngay sau khi chip nhận ra lệnh), hoặc có lẽ tạo ra các bit với các mức logic trung gian kỳ lạ, một số bảng dữ liệu từ chối xác định rằng các hậu quả được giới hạn ở các mức đó.

Mục đích của các chân chống ghi không phải là cho phép người dùng cuối điều khiển thông qua một công tắc bên ngoài, mà thông thường hơn là cho phép nhà sản xuất sản phẩm đảm bảo rằng nội dung của chip được lập trình sẵn sẽ không bị thay đổi sau khi nó được thay đổi hàn vào mạch ứng dụng cuối cùng, hoặc cho phép nhà sản xuất đảm bảo rằng nó chỉ có thể được thay đổi thông qua cáp lập trình nhà máy đặc biệt.

Nếu phần sụn trong bộ điều khiển flash được thiết kế đúng cách, thì có một công tắc "chống ghi" có thể đọc được phần sụn về cơ bản sẽ tốt như một phần cứng được khóa liên động vào phần cứng. Một giải pháp thay thế thậm chí còn tốt hơn là có công tắc được kết nối với mạch chốt sao cho chân bảo vệ ghi chỉ có thể thay đổi thành cho phép ghi khi bật công tắc để làm như vậy, nhưng một khi bộ xử lý đã thực hiện hành động yêu cầu khả năng để viết, nó có thể đảm bảo rằng nó giữ được khả năng đó ngay cả khi công tắc thay đổi tạm thời. Việc thực hiện như vậy có thể đòi hỏi phần cứng thêm, tuy nhiên.

Liên quan đến quan sát bởi axeoth rằng một số ổ đĩa chỉ có thể kiểm tra công tắc khi ổ đĩa được gắn, tôi sẽ đề xuất rằng hành vi đó (sẽ không tương thích với thiết kế chốt như tôi đã mô tả ở trên) có thể được thúc đẩy do thiếu sót trong thông số kỹ thuật của Thiết bị lưu trữ USB - đáng chú ý nhất là thiếu phương tiện mà thiết bị có thể nói với hệ điều hành "Tôi muốn xóa bản thân khỏi hệ thống; vui lòng đảm bảo rằng mọi dữ liệu đang chờ xử lý sẽ được ghi cho tôi và cho tôi biết khi nào xong việc, hoặc cho tôi và bất kỳ người nào ở gần đó biết nếu có vấn đề ". Nếu một hành vi như vậy được hỗ trợ, việc chuyển công tắc từ chế độ chống ghi sang chế độ chống ghi có thể Nhắc thiết bị để yêu cầu ngắt kết nối sạch và sau đó tự giới thiệu là thiết bị chỉ đọc. Tuy nhiên, nếu không có khả năng như vậy, một thiết bị sẽ phải thực hiện "ngắt kết nối" thô lỗ, trì hoãn xác nhận chuyển đổi hoặc có báo cáo hoạt động viết "lỗi không mong muốn". Mặc dù một người thô lỗ có lẽ là hành vi tốt nhất, một số người dùng có thể khó chịu nếu lật công tắc sau khi họ nghĩ rằng dữ liệu được ghi dẫn đến mất dữ liệu.

4
supercat

Tôi muốn đăng bài này dưới dạng bình luận cho câu trả lời của @ Jeff Ferland, nhưng nó hơi dài.

Jeff, có vẻ như lời giải thích của bạn là tốt nhất tôi có thể nhận được. Mọi triển khai đều cụ thể của nhà cung cấp, nhưng mọi triển khai sane sẽ cung cấp bảo vệ ghi mức phần cứng.

Tôi sẽ phải xác minh ổ đĩa flash thực tế của mình, nhưng thay vào đó, hãy xem ví dụ về phần bên trong ổ đĩa flash , tính năng bảo vệ ghi được nêu rõ trong biểu dữ liệ cho nhúng Hynix NAND Flash:

Pin Write Protect có sẵn để bảo vệ phần cứng chống lại các hoạt động của chương trình và xóa .

[...]

Khi tín hiệu Write Protect ở mức thấp, thiết bị sẽ không chấp nhận các hoạt động của chương trình hoặc xóa và do đó, nội dung của mảng bộ nhớ không thể thay đổi. Tín hiệu Write Protect không được chốt bởi Write Enable để đảm bảo bảo vệ ngay cả khi bật nguồn.

Tôi nghĩ rằng tôi có thể cho rằng nó giống nhau cho tất cả các nhà sản xuất lớn. Vì vậy, trừ khi tôi rất không may mắn với một số triển khai bị lỗi, Tôi nên an toàn dựa vào các công tắc bảo vệ ghi vật lý .

3
Karol J. Piczak

Bạn đã xem xét băm hình ảnh của mình và kiểm tra hàm băm sau khi khởi động và/hoặc trước khi tắt? Một cuộc tấn công sẽ thay thế hình ảnh khởi động của bạn có vẻ như xác suất rất thấp nhưng hàm băm có thể giúp bạn yên tâm. Khởi động hình ảnh trực tiếp dự kiến ​​là từ phương tiện chỉ đọc để tất cả các thay đổi được thực hiện trong bộ nhớ cục bộ (bị mất khi tắt nguồn) và không cho hình ảnh do đó không phải là một vectơ tấn công. Để tấn công hình ảnh khởi động của bạn, kẻ tấn công sẽ cần biết bạn không khởi động từ đĩa CD và biết hình ảnh của bạn ở đâu, bản phát hành, v.v.

1
zedman9991

Nếu bạn không có công tắc phần cứng hoặc không tin tưởng vào công tắc vật lý, có một giải pháp phần cứng sẽ hoạt động, nhưng yêu cầu sao chép dữ liệu.

Ghi hình ảnh hệ điều hành của bạn vào một đĩa DVD hoặc ổ cứng và xác minh nó bằng hàm băm. Đây là sao lưu của bạn. Bây giờ sao chép nó vào một vài ổ đĩa USB 3, vì chúng rẻ tiền ngày nay. Mỗi lần bạn khởi động với một cái, nó sẽ bị coi là bẩn. Sau khi sử dụng nó sao chép từ hình ảnh sao lưu để tạo một cái sạch có thể sử dụng mới.

Nếu bạn cần sử dụng Apple hoặc Windows, bạn có thể sử dụng ổ đĩa nội bộ trạng thái rắn thay vì ổ đĩa USB và khởi động sạch và không có vi-rút mỗi lần cho Internet. Nếu bạn phải 'gọi về nhà' cho một ứng dụng mà bạn sử dụng để tạo dữ liệu nhạy cảm với giải pháp này sẽ cho phép bạn đăng nhập bằng ứng dụng đó bằng bản sao hệ điều hành nguyên sơ, sau đó rút Internet khi tải, sau đó cắm dữ liệu nhạy cảm của bạn để làm việc.

0
Scripter Inc

Nhà sản xuất USB Kanguru tuyên bố:

Nhìn chung, một công tắc bảo vệ ghi dựa trên USB cực kỳ đáng tin cậy miễn là nó hoàn toàn dựa trên phần cứng hoặc sử dụng kết hợp phần cứng và phần mềm như trong các ổ đĩa của chúng tôi. Bảo vệ ghi trong các ổ đĩa của chúng tôi được chứa trong hai vị trí. Đầu tiên là trong hệ điều hành nơi thiết bị đăng ký như một thiết bị chỉ đọc. Phương pháp thứ hai được cung cấp trực tiếp bởi bộ điều khiển trên chính thiết bị. Lý do cho phương thức thứ hai là như vậy trong trường hợp sổ đăng ký bị hỏng ở bất kỳ nơi nào, bộ điều khiển sẽ vẫn có thể thực thi thuộc tính bảo vệ ghi.

Về cách thức này hỗ trợ sử dụng phương tiện có thể khởi động, chúng tôi khuyên bạn nên sử dụng phiên bản Live CD của bất kỳ HĐH nào bạn đang dự định sử dụng. Khuyến cáo này là do một số giao thức ghi có thể được yêu cầu cho phiên bản khác của HĐH. Nếu thiết bị ở chế độ chống ghi thì các giao thức này có thể không xảy ra dẫn đến khởi động không thành công. Xin lưu ý rằng ổ đĩa duy nhất mà Kanguru cung cấp hỗ trợ sử dụng như một thiết bị có thể khởi động là Kanguru Mobile WorkSpace (đặt tại https: //www. Khanguru.com/virtualization/windows-to-go- Khanguru-mobile-workspace .shtml ) và điều này không cung cấp bất kỳ chống ghi.

0
zylstra