13 julio 2010

Buenas prácticas protegiendo los medios extraibles

Recuerdo cómo antiguamente en los medios extraíbles podías garantizar la integridad de los datos mediante un mecanismo físico que impedía borrados/escrituras "accidentales". Y es que en las cintas de audio o cassettes y las de video, la existencia de una pestañita o no distinguía entre un medio fuese escribible o sólo se pudiese oir o visionar. Por supuesto, se podía sobrescribir ese medio pegando un poco de cinta adhesiva en el espacio donde iba la pestañita.

Los disquetes de 3" 1/2 (720KB de baja densidad y de 1,44 de alta densidad) disponían además de una ventanita con una tapita que se deslizaba y que permitía al usuario hacer que ese medio se montase como "sólo lectura" desde un punto de vista físico. El software comercial de esa época se vendía, en algunos casos, en diskettes que no traían esa pestaña y por tanto, no se podían sobrescribir. Más de lo mismo, se tapaba la ventanita y a copiar lo que quisiéramos (que no ocupara mucho, claro).

Lo mismo sucede con las tarjetas de memoria, comunmente utilizadas por las cámaras de fotos, en un sinfin de formatos (SD, MicroSD, MMC, MemoryStick, etc) suelen contar con un switch que permite proteger la escritura del mismo.

Sin embargo, lo más común para intercambiar información físicamente entre unos PCs y otros, son los pendrives USB. Inicialmente, llegué a ver a la venta, pendrives que disponían de un switch similar al de las tarjetas de memoria. No sé por qué los pendrives USB actuales, que han evolucionado un montón en capacidad de almacenamiento, siendo 64 GB algo común con un coste no desmesurado, no cuentan con mecanismos físicos de protección contra escritura. Así pues algo tan típico como: "Tengo un [video | canción | programa | fotos | etc…]…super chulo en mi USB, toma mételo en tu PC y cópiatelo" puede hacer que gracias a tu afán generoso de compartir el contenido del USB, se lleve de recuerdo algún habitante a tu propio ordenador, la próxima vez que enchufes el pendrive y se ejecute via Autorun.

He probado un programita gratuito (de nombre super original -> "USB Write Protect") que emula por software el comportamiento de "protección contra escritura". Sinceramente no me ha terminado de gustar en exceso el funcionamiento de esta herramienta. Me dio más de un problema entre diferentes Windows (virtuales en mi caso), por lo que sigo sin confiar en soluciones software para estos cometidos.

Ya que no hay posibilidad de efectuar la protección contra escritura en pendrives USB via hardware, mis recomendaciones para mitigar este tipo de riesgos serían las siguientes:
  • Buen antivirus con protección integral actualizado en tus PCs
  • No meterlo (el USB) en PCs desconocidos
  • Echar un vistazo de vez en cuando a los contenidos que llevamos en el USB y desconfiar /analizar/eliminar aquellos ficheros que no hayamos creado nosotros
  • Llevar nuestros datos en un contenedor cifrado con Truecrypt por ejemplo y los instaladores de Truecrypt para Windows, Linux y Mac en el raíz del USB únicamente. Al montarlo puedes elegir hacerlo en modo "sólo lectura".
  • En los Windows en los que tengáis el poder deshabilitar la ejecución automática de medios extraibles tal y cómo se explica aquí
  • Activar la protección contra escritura en USBs a nivel de sistema operativo a partir de Windows XP SP2, mediante la modificación de una clave de registro. Esta opción sólo la veo viable en entornos empresariales donde el DLP sea uno de los trending-topics.
Una forma de llevar a cabo, entre otras muchas, las últimas dos medidas de securización en entornos Windows 2000, XP y 2003 es utilizar la herramienta gratuita Securewin, creando un perfil de seguridad específico para la funcionalidad de la máquina a securizar.

8 comments :

Gadix dijo...

Una herramienta cojonuda para USB's que pasan por muchas máquinas.

http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/

Crea un autorun.inf "inborrable" con lo que evita la propagación de virus de autorun.

akae dijo...

Tengo por costumbre crear un directorio Autorun.inf en la raíz de todos mis pendrives, pero parece que no es suficiente. Hace una semana encontré un virus que ocultaba los directorios de los pendrives y creaba ejecutables con el mismo nombre e icono de carpeta, para que fuesen ejecutados por el usuario en lugar de ser llamados desde el auto arranque.

Martincho dijo...

Se puede utilizar esta herramienta (Elipen). La recomiendo con total seguridad, crea una carpeta autorun y dentro de ella hay otras carpetas que inmunizan efectivamente el USB, no he tenido ningún problema hasta ahora y ningún virus, teniendo en cuenta que siempre meto mi usb en todos lados (cabinas públicas, computadoras del trabajo, etc etc). Acá les dejo el link:

http://cholohack.com/2010/07/07/cmo-proteger-su-usb/

Gon dijo...

Buenas. Y respecto a los antivirus "portables" (tipo Mx One) son realmente eficaces o no? ¿Qué opinión os merecen? ¿Los recomendaríais en algún entorno?

Xar dijo...

Me gustaria comentar que la pestañita física de las tarjetas SD, en realidad no es un "bloqueador físico", porque incluso con ella en posición de "lock", por software se puede escribir en la tarjeta.

Al menos es así en el firmware modificado para camaras canon CHDK, que presicamente, necesita que la pestaña esté en posición bloqueada.

Saludos.

Motta dijo...

mmm... Gadix... Gracias por el aporte. Lo he probado y va genial. Siempre he tenido problemas con estas cosas; aunque desde que me compré un USB con huella dactilar... todo es mucho más seguro.

Un saludo desde Palma de Mallorca.
Enhorabuena por el blog

http://www.amidaweb.com/

http://www.amidaweb.com/blog/home/

Amidaweb Diseño web y programación

Rodrigo Moreno dijo...

aka dijo:

"Tengo por costumbre crear un directorio Autorun.inf en la raíz de todos mis pendrives, pero parece que no es suficiente. Hace una semana encontré un virus que ocultaba los directorios de los pendrives y creaba ejecutables con el mismo nombre e icono de carpeta, para que fuesen ejecutados por el usuario en lugar de ser llamados desde el auto arranque. "

Precisamente ese virus lo tenemos en la escuela, lo malo es que hasta los profesores caen, me toco ver a la profesora de programación/informática ver como daba click a la supuesta "carpeta" que en realidad era un acceso directo hacia un ejecutable... :S

Bueno, yo tengo la misma duda que Gon precisamente hoy busque como protegerme y me acorde de MX One, ralmente es efectivo?

Martincho: Probaré eso que dices :D, gracias por compartir...

Gadix: Igualmente tendré que ver eso... :P

Motta: Algún link de ebay para comprar ese pendrive con huella dactilar me gustaría ver si aquí en México puedo encontrar uno, así que agradecería mucho alguna marca o modelo, o link a ebay :D

Iñaki dijo...

Me sorprende que alguien no haya inventado todavía una especie de condón para USB: sería un componente con una entrada USB (para el pendrive) y una salida USB (para el ordenador) y actuaría como intermediario entre ambos de forma que dejase pasar las operaciones de lectura e impidiese las de escritura.

... o tal vez ya se comercializa. ¿Alguien sabe si existe algo así?