Sistema de seguridad y protección de datos integrados para medios de almacenamiento extraíbles en sistemas Linux

摘要

Los objetivos fundamentales de este trabajo son el desarrollo de un módulo de kernel que actúe como driverde bloques para dispositivos de almacenamiento extraíbles USB (Universal Serial Bus.), y un programa conuna pequeña interfaz gráfica para la autenticación de usuarios del sistema. Éste usará las credenciales comofirma del propietario del PenDrive almacenándolas en un espacio reservado de su memoria para que pueda sertransportado y contrastado por otra instancia del driver en otro sistema.El diseño del módulo proporciona completa independencia de los otros drivers USB existentes. Esto le permiteser un complemento más, o eliminando los demás drivers, ser el único capaz de manejar estos dispositivos.Esto dificulta el desarrollo, pero le da al proyecto la funcionalidad principal a desarrollar, que es tanto protegerla información que queda almacenada en el dispositivo, como evitar que se conecten medios no deseados quepuedan contener malware u otros fines indeseados.La característica distintiva de este módulo es que el almacenamiento queda vinculado, mediante las credencialesdel usuario en el sistema, al ordenador donde esté presente el módulo y las credenciales adecuadaspara que no pueda ser utilizado en ningún otro ordenador que no comparta ambas cosas y, por tanto, los datosalmacenados sean seguros.El módulo ofrece otras ventajas al estar desarrollado a nivel de kernel. La primera es que sólo puede serconfigurado por usuarios con privilegios de administrador dentro del sistema. La segunda permite identificar elmodelo del medio físico para poder discriminarlo del resto de dispositivos similares que se utilicen. Por otro ladoal ser un módulo de Linux, existe la posibilidad de recompilar el kernel desde cero incorporando este módulo alnúcleo del sistema operativo, evitando que pueda ser eliminado o reconfigurado.Como complemento, la comunicación entre el dispositivo protegido y el host está cifrada para dificultar lalectura de información utilizando sniffers de USB. Sólo se cifra la comunicación que contenga bloques de informaciónútil.El programa de autenticación de usuarios proporciona, a través de un fichero, los datos de nombre de usuarioy contraseña, para que puedan ser contrastados por el módulo en el momento del montaje del dispositivo. Encaso de que esta autenticación no sea correcta el programa dejará un mensaje de error en el fichero de salida yel módulo finalizará su función, dejando completamente inaccesible el contenido de la memoria externa.Por tanto, el sistema está compuesto por un módulo del kernel de Linux para el control del dispositivo, unprograma para la autenticación de usuarios, y unas reglas de manejo de dispositivos para la ejecución automáticadel software de autenticación al insertarse el medio protegido.Finalmente, las pruebas se han ido realizando en paralelo al desarrollo para verificar en todo momento quela implementación era correcta. Para concluir se han llevado a cabo pruebas del sistema cuyos resultados handemostrado su efectividad y su gran potencial en un futuro.