Quelle est la fiabilité d'un commutateur de protection en écriture sur une clé USB?
J'utilise actuellement un lecteur flash USB avec une distribution en direct. Parfois, je le connectais à des terminaux auxquels je ne pouvais pas faire confiance.
Mon modèle de menace ici est uniquement le risque de modifications non autorisées de l'image de distribution en direct sur le lecteur flash . Malheureusement, un CD live n'est pas assez pratique (le système de fichiers doit autoriser les écritures lorsqu'il est utilisé sur un terminal sécurisé et une remasterisation constante est trop lourde).
Je considère maintenant si un commutateur de protection en écriture physique (lecture seule) sur le lecteur flash est suffisamment fiable pour être fiable . Je veux dire, comme on peut le voir sur les anciens lecteurs flash (par exemple PQI U339H ).
D'après ce que j'ai trouvé jusqu'à présent, la protection en écriture est censée se faire complètement au niveau matériel, mais je n'ai pas pu vérifier s'il n'y avait en effet aucun moyen de la contourner. Bien sûr, avec les cartes SD, il y en a (car ce sont essentiellement des informations de niveau logiciel qui ne doivent pas être respectées par les systèmes malveillants).
Par exemple, le SD Simplified Specification le décrit comme:
4.3.6 Gestion de la protection en écriture
Trois méthodes de protection en écriture sont prises en charge sur la carte mémoire SD comme suit:
- Commutateur de protection en écriture mécanique (responsabilité de l'hôte uniquement)
- Protection interne en écriture de la carte (responsabilité de la carte)
- Opération de verrouillage de la carte de protection par mot de passe.
Commutateur de protection en écriture mécanique
Une tablette coulissante mécanique sur le côté de la carte (reportez-vous à la partie 1 Addenda mécanique) sera utilisée par l'utilisateur pour indiquer qu'une carte donnée est protégée en écriture ou non. [...]
Un interrupteur approprié et adapté du côté du socket indiquera à l'hôte que la carte est protégée en écriture ou non. Il est de la responsabilité de l'hôte de protéger la carte. La position du commutateur de protection en écriture est inconnue des circuits internes de la carte.
[...]
Connaissez-vous des explications techniques similaires sur le fonctionnement de ce type de protection en écriture sur les lecteurs flash USB et serait-il sage de s'y fier pour la sécurité?
La protection en écriture physique sur une clé USB devrait fonctionner dans tous les cas. Le contrôleur d'écriture se trouve dans le lecteur lui-même. Ainsi, à l'exception d'une implémentation complètement folle, le commutateur de protection en écriture physique est sécurisé.
La protection en écriture physique est toujours une sorte de chose semi-douce, mais elle est généralement au niveau des internes du lecteur. Avec un lecteur de disquette où le contrôleur est externe à l'appareil, on pourrait créer un lecteur qui ignorerait le curseur de protection en écriture. Je pense que les cartes SD sont les mêmes que les lecteurs de disquettes à cet égard, bien que je ne parie pas dessus car je sais que celles-ci incluent des circuits pour des choses comme le nivellement par usure.
Tout d'abord, voici un lien vers une page avec une liste de clés USB avec de tels commutateurs de protection en écriture: http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware- write-protection / Il y a des informations là-bas, et elles impliquent aussi que c'est une protection matérielle.
Maintenant, si vous êtes vraiment sérieux à ce sujet, vous pouvez envisager des bloqueurs d'écriture USB, couramment utilisés à des fins médico-légales, mais peuvent également être utilisés comme ça. Voici un exemple: http://www.salvationdata.com/data-recovery-equipment/source-data-safe-guard.htm
Bien que de nombreuses puces flash de bas niveau fournissent une broche "de protection en écriture" matérielle, le fonctionnement est complètement non spécifié si l'état de cette broche change au milieu d'une opération d'écriture; tout en changeant la broche au moment du démarrage d'une opération peut toujours avoir pour effet d'empêcher complètement l'opération (si elle est effectuée assez tôt), de permettre à une dernière opération d'écriture de se terminer (si elle est effectuée juste après que la puce a reconnu la commande), ou peut-être créant des bits avec des niveaux logiques intermédiaires étranges, certaines fiches techniques refusent expressément de préciser que les conséquences sont limitées à celles-ci.
Le but des broches de protection en écriture n'est pas de permettre le contrôle de l'utilisateur final via un commutateur externe, mais plus généralement de permettre au fabricant du produit de s'assurer que le contenu d'une puce préprogrammée ne sera pas modifié une fois qu'il est soudé dans le circuit d'application final, ou permettre au fabricant de s'assurer qu'il ne peut être changé que via un câble spécial de programmation en usine.
Si le micrologiciel d'un contrôleur flash est conçu correctement, le fait de disposer d'un commutateur de "protection en écriture" lisible par micrologiciel devrait être essentiellement aussi bon qu'un commutateur à verrouillage matériel. Une alternative qui serait encore meilleure serait d'avoir le commutateur connecté à un circuit de verrouillage de telle sorte que la broche de protection en écriture ne puisse changer pour autoriser les écritures que lorsque le commutateur a été autorisé à le faire, mais une fois que le processeur a pris des mesures nécessitant la capacité pour écrire, il pourrait s'assurer qu'il conservait cette capacité même si l'interrupteur changeait dans l'intervalle. Une telle implémentation peut cependant nécessiter du matériel supplémentaire.
En ce qui concerne l'observation par axeoth que certains lecteurs ne peuvent vérifier le commutateur que lorsqu'un lecteur est monté, je suggère qu'un tel comportement (qui ne serait pas incompatible avec une conception à verrouillage comme je l'ai décrit ci-dessus) pourrait être motivé par une déficience de la spécification du périphérique de stockage de masse USB - notamment le manque de moyen par lequel un périphérique peut dire au système d'exploitation "Je voudrais me retirer du système; veuillez vous assurer que toutes les données en attente me sont écrites , et soit faites-moi savoir quand cela est fait, soit faites-moi savoir et à tout être humain à proximité s'il y a un problème ". Si un tel comportement était pris en charge, basculer le commutateur du mode d'activation en écriture au mode de protection en écriture pourrait inviter le périphérique à demander un démontage propre, puis à se remonter en tant que périphérique en lecture seule. Sans une telle capacité, cependant, un périphérique devrait soit effectuer un démontage "grossier", retarder l'accusé de réception du commutateur, soit demander aux opérations d'écriture de signaler des échecs "inattendus". Bien qu'un démontage grossier soit peut-être le meilleur comportement, certains utilisateurs peuvent être ennuyés si le basculement du commutateur après qu'ils pensent que les données sont écrites entraîne une perte de données.
Je voulais poster ceci en tant que commentaire à la réponse de @ Jeff Ferland , mais c'était un peu trop long.
Jeff , il semble que votre explication soit la meilleure que je puisse obtenir. Chaque implémentation est spécifique au fournisseur, mais chaque implémentation sensée doit fournir une protection en écriture au niveau matériel.
Je devrais vérifier mon lecteur flash réel, mais en regardant à la place un exemple de internes du lecteur flash , la fonction de protection en écriture est expliquée explicitement dans le fiche technique pour l'incorporé Flash Nyn Hynix :
Une broche de protection en écriture est disponible pour fournir une protection matérielle contre les opérations de programme et d'effacement .
[...]
Lorsque le signal de protection en écriture est faible, l'appareil n'accepte pas les opérations de programme ou d'effacement et le contenu de la matrice mémoire ne peut donc pas être modifié. Le signal de protection en écriture n'est pas verrouillé par la fonction d'activation en écriture pour assurer la protection même pendant la mise sous tension.
Je pense que je peux supposer que c'est la même chose pour tous les principaux fabricants. Donc, sauf si je suis très malchanceux avec une implémentation défectueuse, je devrais être sûr de compter sur des commutateurs de protection en écriture physique .
Avez-vous envisagé de hacher votre image et de vérifier le hachage après le démarrage et/ou avant l'arrêt? Une attaque qui remplacerait votre image de démarrage semble très peu probable, mais le hachage pourrait vous donner la tranquillité d'esprit. Un démarrage d'image en direct s'attend à provenir d'un support en lecture seule, donc toutes les modifications sont effectuées dans la mémoire locale (à perdre à la mise hors tension) et non à l'image, ce qui n'est pas un vecteur d'attaque. Pour attaquer votre image de démarrage, l'attaquant devrait savoir que vous ne démarrez pas à partir d'un CD et savoir où se trouve votre image, quelle version, etc.
Si vous n'avez pas de commutateur matériel ou si vous ne faites pas confiance au commutateur physique lui-même, il existe une solution matérielle qui fonctionnera, mais nécessite la copie des données.
Gravez votre image de système d'exploitation sur un DVD ou un disque dur et vérifiez-la avec un hachage. Ceci est votre sauvegarde. Copiez-le maintenant sur quelques disques USB 3, car ils sont bon marché de nos jours. Chaque fois que vous démarrez avec un, il sera considéré comme sale. Après l'avoir utilisé, copiez à partir de l'image de sauvegarde pour créer une nouvelle image propre utilisable.
Si vous devez utiliser Apple ou Windows, vous pouvez utiliser des lecteurs internes à semi-conducteurs au lieu de lecteurs USB et démarrer à chaque fois sans problème pour Internet. Si vous devez appeler à la maison pour une application dans laquelle vous utilisez pour créer des données sensibles avec cette solution vous permettra de vous connecter avec cette application avec une copie du système d'exploitation vierge, puis de débrancher Internet une fois chargé, puis de brancher vos données sensibles pour travailler.
Le fabricant d'USB Kanguru déclare:
Dans l'ensemble, un commutateur de protection en écriture basé sur USB est extrêmement fiable tant qu'il est entièrement basé sur le matériel ou utilise une combinaison de matériel et de logiciels comme ceux que l'on trouve dans nos lecteurs. La protection en écriture dans nos lecteurs est contenue dans deux emplacements. Le premier se trouve dans le système d'exploitation où le périphérique s'enregistre en tant que périphérique en lecture seule. La deuxième méthode est fournie directement par le contrôleur sur l'appareil lui-même. Le raisonnement de la deuxième méthode est le suivant: au cas où le registre serait corrompu, le contrôleur serait toujours en mesure d'appliquer la propriété de protection en écriture.
Quant à la façon dont cela aide à utiliser un support de démarrage, nous vous recommandons d'utiliser la version Live CD du système d'exploitation que vous prévoyez d'utiliser. Cette recommandation est due à un certain nombre de protocoles d'écriture qui peuvent être demandés pour une autre version du système d'exploitation. Si le périphérique est en mode de protection en écriture, ces protocoles peuvent ne pas se produire, entraînant un échec de démarrage. Veuillez noter que le seul lecteur proposé par Kanguru qui prend en charge l'utilisation en tant que périphérique de démarrage est le Kanguru Mobile WorkSpace (situé à https://www.kanguru.com/virtualization/windows-to-go-kanguru-mobile-workspace). .shtml ) et cela n'offre aucune protection en écriture.