13:58
23/10/2019

Czy można wykonać zdalny atak na drukarkę w ogóle nie dotykając sieci, do której ta drukarka jest podłączona? Czy zadania drukowania są jedynym rodzajem wrażliwych informacji na urządzeniu wielofunkcyjnym? Nie każdy natychmiast odpowie na te pytania, a przecież u każdego w firmie jest jakaś drukarka. Warto więc wiedzieć na jakie niebezpieczeństwa jest narażona.

Drukarka jako element IoT

Właściwie powinniśmy zaprzestać używania słowa “drukarka”. Obecnie w naszych biurach znajdują się urządzenia wielofunkcyjne, które drukują, przechowują i przetwarzają informację, komunikują się z innymi urządzeniami (nierzadko bezprzewodowo) i mogą być w pewnym stopniu “inteligentne”. Powierzchnia ataku jest ogromna, a eksperci coraz częściej zachęcają, by te urządzenia traktować jako element tzw. internetu rzeczy (IoT).

Z punktu widzenia bezpieczeństwa rozwój “internetu rzeczy” to nie lada wyzwanie. W biurach i w domach szybko przybywa urządzeń podłączonych do sieci, dla których jedynym zabezpieczeniem jest hasło, nierzadko domyślnie nadane przez producenta i nigdy nie zmienione przez użytkownika. W ten sposób urządzenia z pozoru niewinne stają się nowymi punktami wejściowymi dla atakujących. Powstają np. inteligentne systemy oświetlenia, słabo zabezpieczone, które jednak przechowują informację umożliwiające głębsze spenetrowane sieci, w której funkcjonują. W dzisiejszych czasach nawet atak zdalny na inteligentną toaletę nie jest tylko fikcją, ale realną możliwością.

Jak w tym otoczeniu prezentują się urządzenia wielofunkcyjne? Z jednej strony różnego rodzaju drukarki są w użyciu od lat, dlatego niektóre stosowane w nich rozwiązania techniczne pochodzą jeszcze z czasów przed-internetowych. Z drugiej strony są producenci urządzeń drukujących, którzy mają doświadczenie w dostarczaniu rozwiązań zabezpieczających firmy przed atakami, dlatego niektóre drukarki są w stanie reagować na zagrożenia nieco szybciej, niż producenci innych urządzeń IoT.

Ataki DOS i zdalne niszczenie

Podstawowym zagrożeniem są ataki DoS (Denial of service), czyli ataki mające na celu uniemożliwienie korzystania z urządzenia. Po co ktoś miałby to robić? Choćby po to, aby utrudnić obieg informacji w firmie, opóźnić jakąś procedurę, tym samym spowodować straty finansowe (por. Drukarki. Czy naprawdę ktoś je atakuje?). Ataki DoS na drukarki mogą być szczególnym zagrożeniem w tych branżach, gdzie czas reakcji na jakieś zdarzenie ma duże znaczenie.

Zasadniczo DoSy na drukarki nie różnią się niczym od podobnych ataków na inne urządzenia. Celem atakującego będzie spowolnienie urządzenia lub nawet całkowite jego zatrzymanie poprzez szybkie zużycie zasobów lub “zapchanie” go zadaniami zajmującymi zbyt dużo czasu. W przypadku drukarek możliwy jest trywialnie prosty atak wykorzystujący język pracy drukarki (PJL), który daje możliwość ustawienia dużego limitu czasowego na wykonanie zadania. Są też metody bardziej finezyjne, a niektóre z nich mogą prowadzić nawet do fizycznego zniszczenia drukarki poprzez zmuszenie jej do ciągłej i intensywnej pracy przegrzewającej elementy ruchome.

Zadania drukowania na celowniku

Drugie istotne zagrożenie to dostęp do zadań drukowania. Ważne dla firmy informacje mogą być przechowywane na szyfrowanych dyskach, ale część z nich trafi na papier, a drukarka będzie najsłabszym elementem w całym łańcuchu przetwarzania informacji. Co prawda zadania drukowania wykonywane są “w locie” i nie muszą być zapisywane na dysku, ale istnieją sposoby zmuszenia drukarki do przechowania danego zadania lub jego przechwycenia. Ataki tego typu można przeprowadzić zarówno po uzyskaniu fizycznego dostępu do urządzenia, jak i zdalnie.

Osobnym problemem jest manipulowanie zadaniami drukowania. Osoba atakująca może zarówno dorzucić własne treści do wydruku jak i podmienić treść do wydrukowania. Takie ataki kojarzą się głównie z żartami, ale pomyślmy chwilę. W jak wielu firmach ludzie pakują do kopert pisma nie czytając ich po wydrukowaniu? Albo wysyłają klientom faktury wychodzące z drukarki bez ponownej weryfikacji numeru rachunku? Wierzymy, że to co widzieliśmy na ekranie musiało zostać wydrukowane, ale ktoś o złych zamiarach mógłby wykorzystać brak ostrożności np. do zepsucia reputacji firmy lub wprost narażenia jej na straty finansowe.

Manipulowanie zadaniami drukowania może się odbywać z wykorzystaniem techniki Cross-site Printing (XSP). Chodzi tu o atak na drukarkę wykonany w momencie odwiedzenia przez osobę atakowaną określonej strony internetowej. Ta technika ma swoje ograniczenia, ale jednak daje duże możliwości. Atakujący nie musi nie musi penetrować żadnej sieci, do której drukarka jest podłączona. Nie musi nawet wiedzieć gdzie to urządzenie się znajduje. Musi tylko zmusić potencjalnego użytkownika do odwiedzenia określonej strony. Ciekawą demonstrację takiego ataku można znaleźć na stronie hacking-printers.net/xsp/.

Ujawnienie informacji

Drukarki mogą ujawnić atakującym znacznie więcej niż to, co ma być przeniesione na papier. Celem ataku może być pamięć NVRAM urządzenia, w której mogą się znajdować dane uwierzytelniające (hasła). Możliwe jest również uzyskanie dostępu do systemu plików, w którym znajdują się pliki konfiguracyjne i dane uwierzytelniające. Ataki tego rodzaju mogą wykorzystywać pewne cechy języków PostScript oraz PJL, które służyły np. pobieraniu na urządzenie fontów i grafik w celu wykorzystania ich w kolejnych zadaniach drukowania. Ma to sens dla wydajności drukowania, ale z punktu widzenia bezpieczeństwa jest problemową zaszłością.

Wykonanie kodu na drukarce

Często powtarzaliśmy w Niebezpieczniku, że drukarka to komputer, a zatem jak każdy komputer jest ona narażona na zdalne wykonanie kodu. W ostatnich latach producenci drukarek wprowadzają możliwość instalowania odpowiednio dostosowanego oprogramowania na urządzeniach np. w celu ułatwienia zarządzania flotą urządzeń. To tylko jedna z dróg do wprowadzania na drukarki oprogramowania złośliwego.

Drugą drogą jest aktualizacja firmware’u, która w niektórych modelach drukarek przebiega w sposób niebezpieczny (i nie wszyscy producenci na to reagują). Ten problem również ma źródło historyczne. Pewne podstawowe mechanizmy drukarek wymyślono jeszcze w czasach, gdy nie trzeba było myśleć o zagrożeniach ze strony sieci, a co dopiero o podpisach cyfrowych i szyfrowanych połączeniach do chmury producenta…

Co robić?

Wiedzy na temat zagrożeń związanych z urządzeniami drukującymi ciągle przybywa. Artykuły badawcze na ten temat są publikowane od początku obecnego wieku. W roku 2017 niemieccy badacze przedstawili Printer Exploitation Toolkit (PRET), narzędzie umożliwiające pozyskiwanie wrażliwych informacji z wielu rodzajów urządzeń, a także umożliwiające ataki DoS czy zdalne wykonanie kodu na urządzeniach wielofunkcyjnych. To był pewnego rodzaju przełom. Wiele osób zrozumiało, że bezpieczeństwo drukowania to cała gałąź wiedzy o bezpieczeństwie, a nie tylko kilka oderwanych od siebie demonstracji ataków.

Odpowiedzialność za bezpieczeństwo drukarek spoczywa po części na producentach, po części administratorach, IT managerach i na końcu na samych użytkownikach. Producenci na bieżąco otrzymują wskazówki od specjalistów ds.bezpieczeństwa i starają się je wdrażać. Użytkownicy muszą się stosować do ogólnych zasad bezpieczeństwa, natomiast IT managerowie i administratorzy muszą zadbać o zorganizowanie bezpiecznego środowiska dla drukarek.

W odpowiedzi na coraz częstsze działania cyberprzestępców opracowane zostały urządzenia wielofunkcyjne, takie jak np. HP LaserJet Enterprise MFP M527 series, wyposażone w szereg zaawansowanych technologicznie zabezpieczeń:

  • technologię HP Sure Start, która wykrywa i uniemożliwia: zastosowanie złośliwego kodu, a także włącza funkcję samonaprawiania systemu BIOS po próbach włamań;
  • oprogramowanie HP Connection Inspector, któreanalizuje wychodzące połączenia sieciowe, aby powstrzymać podejrzane żądania i zapobiec działaniu destrukcyjnego oprogramowania bez interwencji działu IT;
  • whitelisting, którypozwala zainstalować i uruchomić w urządzeniu drukującym tylko znane, kompatybilne oprogramowanie;
  • rozwiązanie HP JetAdvantage Security Manager, które pozwala działom IT wprowadzić i kontrolować takie zabezpieczenia, jak zamykanie portów, wyłączanie protokołów dostępu czy automatyczne wymazywanie plików;
  • funkcję HP Access Control Secure Pull Print, która jest przydatna w przypadku korzystania z urządzeń mobilnych -pozwala użytkownikom wysyłać dokumenty do bezpiecznej sieci i uwierzytelniać w drukarce poprzez wprowadzenie kodu PIN lub zeskanowanie identyfikatora;
  • technologia HP Run-time Intrusion Detection, która zapewnia bezpieczeństwo w trakcie pracy urządzenia, monitorując jego pamięć i wykonywane na nim operacje.

Jeśli chcecie poznać sposoby ochrony drukarek przed atakami, rzućcie okiem na materiały na stronie www8.hp.com/pl/pl/solutions/security/thewolf.html i pobierzcie raport HP dotyczącego bezpieczeństwa floty drukującej. Zwłaszcza administratorzy firmowi powinni się z tym raportem zapoznać, niezależnie od tego ile drukarek i jakiej marki mają pod swoją opieką.

Niniejszy artykuł jest artykułem sponsorowanym i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.

Przeczytaj także:



8 komentarzy

Dodaj komentarz
  1. Stare drukarki też są “komputerami”? Chodzi mi o takie, które się podłącza przez USB, ale nie mają takich bajerów jak BlueTooth czy Wi-fi. Takie były produkowane w latach 2000-2005 chyba. Nie ma w nich możliwości przesyłania plików, ale tylko drukowanie, skanowanie i kserowanie. W gruncie rzeczy nic więcej. Tylko monitorowanie poziomu tuszu\atramentu i wybór typu drukowania (kolor, czerń i biel, drukowanie zdjęcia, tekstu) z poziomu aplikacji w komputerze.

    • To jeszcze zależy od modelu drukarki, ale generalnie tak. Tyle że, jak słusznie zauważyłeś, włamanie się do nich przez Wifi jest niemożliwe.
      Za to jak najbardziej można się do nich dostać po sieci SMB, publikowanej ówcześnie w dziurawej jak sito wersji 1.1 Dodatkowym ułatwieniem (dla hakera) jest fakt, że spora część z nich, a już zwłaszcza atramentówki, nie posiadały własnego procesora wydruku, tylko polegały na obsłudze wydruku przez system operacyjny.

  2. PJL czy PCL?

    • Printer Job Language P.J.L

  3. mój somsiad ma drukarkę HP z włączonym Wifi. ustawienia są fabryczne, można spokojnie się zalogować :) bo nie ma hasła. drukarka prezentuje się z nazwą, będącą nazwą modelu drukarki. i tak się zastanawiam czy wydrukować na tej drukarce kilka kartek z interesującą treścią :)

    • Zostaw sobie tę ewentualność na wypadek jak Twoja drukarka zawiedzie. Zadzwoń do sąsiada i zapytaj, czy mógłbyś sobie wydrukować bo pilnie potrzebujesz, nie zapomnij zapisać rozmowy :) To mu da do myślenia, a Ty będziesz bezpieczny przed oskarżeniem :D

  4. Nie zapomnij dodać, że połączysz się z nią przez sieć ;D

  5. Najlepiej wydrukuj i zadzwon do niego aby przyniusł tobie wydruk ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: