22:15
29/11/2011

Dwójka amerykańskich badaczy twierdzi, że jest w stanie zdalnie przejąć kontrolę nad drukarkami HP LaserJet. Atak umożliwia im nie tylko kradzież i podgląd wydruków, ale również uszkodzenie samej drukarki poprzez jej nagrzanie i w konsekwencji podpalenie papieru…

Aktualizacja drukarek umożliwia atak

Oto temat prawie tak “odjechany” jak infekowanie Macbooków przez baterie — Cui i Stolfo, badacze z Columbia University, w rozmowie z MSNBC zdradzili, że mogą zdalnie zainstalować złośliwe oprogramowania na drukarkach HP LaserJet, ponieważ te nie weryfikują podpisów cyfrowych w paczkach z aktualizacjami. Zastanawia was pewnie jak często drukarki HP sprawdzają czy są dla nich jakieś nowe aktualizacje firmware’u? Odpowiadamy: podczas każdego wydruku…

Drukarek podatnych na atak sprzedano od 1984r. ok. 100 milionów. Aktualizacja ich oprogramowania trwa mniej więcej 30 sekund. Aby przeprogramować drukarę wystarczy wysłać do druku odpowiednio zmodyfikowany plik. Według badaczy, praktycznie niemożliwe jest wykrycie, że ktoś podmienił nam firmware na złośliwy — antywirusy nie skanują chipów w drukarkach.

Lekturę kolejnych akapitów sugerujemy uprzyjemnić sobie poniższą piosenką:
Light My Fire by The Doors on Grooveshark

Jak podpalić drukarkę HP?

Zdalne ataki na drukarki są znane od dawna, ale metoda Cui i Stolfo robi wrażenie. Badacze wysłali do drukarek Hewlett-Packard instrukcje powodujące ciągłe nagrzewanie fusera – podzespołu służącego do utrwalenia tonera po naniesieniu go na papier. Efekt: papier przyrumienił się i ukazał się dym. Podczas demonstracji ataku, bezpiecznik wyłączył drukarkę z powodu wysokiej temperatury zanim ukazały się płomienie.

Kserokopiarki skrywają wiele tajemnic...

Cui i Stolfo pokazali ponadto jak wykradać drukowane na drukarkach dokumenty (por. sekrety drukarek i kserokopiarek) i stwierdzili, że możliwe jest stworzenie botnetu z drukarek oraz ich masowe psucie nie tylko po kablu USB, ale także przez internet. W końcu drukarki często podłączane są do sieci komputerowych…

Co na to Hewlett-Packard?

Hewlett-Packard twierdzi, że researcherzy przesadzają, a ich drukarki weryfikują aktualizacje kryptograficznie od 2009 roku. Ponadto, według producenta większość domowych użytkowników nie posiada w ogóle modeli, które pozwalają na zdalną aktualizację (mają InkJet a nie LaserJet). Cui i Stolfo pracują nad publikacją opisującą w szczegółach ich atak, ale już teraz pokusili się o stwierdzenie, że podatne mogą być także drukarki innych producentów. Poczekamy aż zobaczymy ogień — jak na razie jedyny sprzęt komputerowy który stawał w płomieniach to laptop Sony (efekt przegrzania baterii).

P.S. Podczas przykładowego skanu, badacze odnaleźli w Internecie 40 000 adresów należących do drukarek, których firmware mogł być szybko i niepostrzeżenie podmieniony. Pomyślcie tylko, że ktoś już mógł je zainfekować… I dodajcie do tego inne ataki na drukarki, które opisywaliśmy na Niebezpieczniku (tu, tu i tu).

Aktualizacja 2.02.2011
Skontaktowała się z nami agencja public relactions obsługująca HP i podesłała takie oświadczenie.

Aktualizacja 30.12.2011
Wykład dot. powyższych zagadnień został przedstawiony na 28C3.

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. No tak problemu niema, bo większość ma atramentówkę ;)
    A tak się złożyło, że w pracy mam HPka podatnego na atak :)

    • Podpinam się. Też w pracy jest co najmniej jeden LaserJet. Jutro obcinam erjotki.

    • Ale, ale… drukarka wcale nie musi być dostępna z internetu. Wystarczy, że pwniesz komputer, który ma dostęp do drukarki.

    • Z kolei u mnie w pracy stoi 5 LaserJet’ów na wyciągnięcie ręki, dodatkowo kolejnych 10-15 podpiętych do intranetu lokalnego i na smaczek ~200 w intranecie globalnym.. Już była zadyma gdy ekraniki LCD lokalnych drukarek wyświetlały zgodnie “I’m Batman!” gdy przypomniał mi się żarcik ze zmianą wyświetlanego tekstu na LCD w HP. Gdzie ja podziałem ten czarny kapelusz…?

    • Po namyśle erjotki zostawiłem w spokoju. Ale asekuracyjnie wyciągnąłem papier ;-)

  2. I właśnie za takie artykuły kocham niebezpiecznik.

    • Przypominają mi się bardzo stare czasy, kiedy można było programowo spalić monitor CRT poprzez ustawienie częstotliwości odświeżania przekraczającej jego możliwości. Dotyczy to modeli niemających cyfrowego sterowania bo te nowsze monitory potrafiły blokować nieobsługiwane tryby. Natomiast ciekawe, czy gwarancja na drukarki uwzględnia awarię spowodowaną… atakiem hakerskim? Czy może w instrukcjach/kartach gwarancyjnych zaczną pojawiać się zapisy, że producent nie odpowiada za skutki włamań i działania szkodliwego oprogramowania?

  3. Akurat podgląd poprzez LAN skanów zrobionych w urządzeniach HP jest możliwy od kilku lat. Są do tego nawet specjalne programy. A i bez tych programów można bez problemu zobaczyć dokumenty pod warunkiem, że się wie który plik jest zapisanym w pamięci urządzenia dokumentem.

  4. Ja częściej korzystam z LaserJet ale nie wiem czy mieści się we wspomnianych latach w końcu to 1100 :]

    • Ja dalej siedzę na 5L. Możecie próbować puścić mnie z dymem :-)

  5. Komuś jeszcze przyszło na myśl “lp0 on fire”? :P

  6. Jest gdzieś do obejrzenia ta konferencja? Chciałbym zobaczyć te “różowienie papieru” :)

  7. Drogi Niebezpieczniku, jak żyć?

  8. Czy tez jak wpisujecie w google “tracking dots” to macie problem z otrzymaniem wyniku ?

    • Nie mamy. Co masz jednak na myśli?

  9. Sam się nad tym kiedyś zastanawiałem, ale inaczej – czy byłby możliwy atak na czyjś komputer, np. odwetowy za próbę włamania, i spalenie jego sprzętu? Myślałem o tym po tych wszystkich przypadkach włamań, za którymi stoją prawdopodobnie rządy, szczególnie Chin.
    Mamy tu do dyspozycji kartę graficzną i procesor przede wszystkim, nie wiem, czy coś jeszcze. Niby do tego potrzebny jest BIOS, ale czy zawsze? Poza tym, ktoś niedawno wpadł na wspaniały pomysł stworzenia zdalnie sterowanego BIOSu dla adminów (chyba nawet Wy/Ty tu pisaliście/-łeś?), więc i z dostępem do BIOSu nie byłoby wkrótce problemów. Patrząc na to, jak “mądrzy” ludzie promują pewne rozwiązania, niedługo nawet nie dyski twarde zostaną zabronione i wszystko będzie sterowane z, zapisywane na i odtwarzane z chmury. A tam już łatwiej się dostać. Bo kto wie, co taki delikwent może tam trzymać czy zainstalować na dysku prywatnym a w chmurze se ne da. A jeśli by chciał własny dysk, można zadać proste pytanie – “a co, masz Pan co do ukrycia”? Chciałbym przypomnieć, że są (a przynajmniej jest jeden) serwis do gier, który umożliwia uruchomienie zdalne gier, których byśmy u nas nie dali rady uruchomić. Wszystkim zajmują się komputery właściciela serwisu. Jesli uważacie, że to, co napisałem jest mało prawdopodobne, poczekajmy parę lat. Potrzeba bezpieczeństwa i walki z terroryzmem (niedawno władze chińskie nazwały podpalających się protestujących mnichów terrorystami) są zawsze dobrym argumentem na wszystko.

  10. “Badacze wysłali do drukarek Hewlett-Packard instrukcje powodujące ciągłe nagrzewanie podzespołów służących do wysuszania tonera po naniesieniu go na papier” – nie wysuszania, lecz utrwalania, gdyż toner sam w sobie jest suchy – ot taka drobna różnica ;)

    • Racja, sypki toner, naladowany przeciwnie do obszarow papieru ktory powinien byc zadrukowany, ‘przykleja’ sie a nastepnie po podgrzaniu jest wtapiany w papier.

  11. Z tym podpaleniem to trochę naciągana sprawa. Każda drukarka ma bezpiecznik termiczny na utrwalaczu (piecu) który po przekroczeniu zadanej temperatury wyłączał utrwalacz bądź całą drukarkę. Nie ma co się stresować że Firma spłonie w nocy gdy nikogo nie ma w budynku.

    • A jak spłonie to z ubezpieczenia kupi się nową. Bo backupy są w osobnej lokalizacji :)

    • O termicznym zabezpieczeniu pierwszych AMD-ków też tak mówili, a na sieci jest mnóstwo filmików, w których procki z zabezpieczeniem szły z dymem. ZTCP to ludzie z TomHardwaresBook testowali poprzez zdjęcie radiatora z proca w trakcie pracy. Sam też mam na koncie kilka procesorów AMD z zabezpieczeniem, z których poszedł siwy dym.

    • Tia, Athlony palone po 3 sekundach od zdjęcia radiatora; Durony z których dym szedł tuż po zdjęciu radiatora – pamiętam ten filmik. Chyba nawet w Duke’a albo Doom’a grali podczas testów. Również sporo AMDków mam na koncie. Jak widać – zabezpieczenia termiczne nie zawsze działają tak jak powinny.

  12. A to ciekawe, w firmie mam jakieś ….800 drukarek, z czego 120 w jednej lokalizacji ;)

  13. Oprócz podpalani i masowym psuciom drukarek, firmom można niezłe rachunki za prąd nabić.

  14. Już widzę zaproszenia w stylu: “Wpadnijcie na grilla, mamy w biurze nowego LaserJeta” ;]

  15. Jedynym skutecznym rozwiązaniem tego problemu jest montarz czujników termicznych pozwalających interweniować z pominięciem softu w razie realizacji destrukcyjnych poleceń np. ciągłego nagrzewania fusera powodującego przegrzanie. Jak widac nie można zaufać jedynie oprogramowaniu sterującemu, bo ono może zawieść.

  16. Bezpiecznik działa poza oprogramowaniem, ale i to można obejść. Autorzy uzyskali efekt przypalenia papieru więc odpowiednio sterujęc fuzerem można zapalić papier i nie załączyć bezpiecznika.Należy jedynie odczytywać temperaturę fusera i dbać aby nie przekroczyła warości granicznej bezpiecznika.

  17. Zgadza się kluczowe jest odczytywanie temperatury fusera i odcinanie zasilania w razie jej przekroczenia bez udziału softu. Co ciekawe kilkanaście lat temu jeszcze w XX wieku słyszałem o wirusie który zmuszał stację dysków 3.5 do realizacji niewykonalnych poleceń mechanizmu. Jeśli stacja nie miała zabezpieczeń (a to z natury urządzenie dość proste i głupie) mogła się uszkodzić.

    Innym wyjściem jest dodatkowy chip z kopią zapasową firmware lub, co jest chyba prostrze, wymóg podania kodu PIN do aktualizacji. Tyle, że taki kod nie mógłby być łatwy do zdalnego wyciągnięcia. Najprościej jednak dopracować mechanizm aktualizacji i sprawdzać podpisy plików z firmware. Niegłupie byłoby także narzędzie do sprawdzania zgodności sum kontrolnych plików z firmware analogiczne do tego, którym można sprawdzać pliki ISO (firmware do wielu urządzeń jest zwykle w plikach BIN).

  18. Gdyby się im udało zapalić drukarce to można by mówić o zapłonie. Zadziałały zabezpieczenia więc to tak jak prawie wygrać w totka bo mieliśmy 2 a było 3 lub 45 a było 46. Niestety prawie robi dużą różnicę. Chcieli by było o nich głośno więc pojechali z tekstem a prasa złapała haczyk.

  19. Ja mam z kolei prościutkiego dosa na HP 6500: http://cronylab.pl/art,dos,na,hp,officejet,6500,172.html

  20. Można pszeszukać inurl-em internet w poszukiwaniu drukarek hp i zabrać się do roboty ;)

  21. Nie chce mi się wierzyć w ten cały atak. To jakaś tania zagrywka żeby zblamić oblicze Hp. Moim zdaniem to są bardzo dobre drukarki i żaden plik nie byłby w stanie jej doprowadzić do takiego wrzenia;]

  22. wyszlo akurta przy hp, ale wszystko co jest podlaczone do sieci i nie zabezpieczone firewallem jest podatne na ataki hakerow, warto o tym pamieta i sie samemu zabezpieczyc

  23. […] W przypadku systemów, które aktualizacje pobierają z adresów IP uzyskiwanych przez rozwiązanie nazwy domenowej, jej przekierowanie na inne adresy IP (“zaparkowanie domeny na stronie z reklamami”) może być sporym problemem. Przed możliwym w takim przypadku atakiem Man in the Middle firmy chronią się podpisywaniem aktualizacji, ale i z wykorzystywaną do podpisu kryptografię asymetryczną czasem da się obejść… […]

  24. […] odkryty przez niego błąd. Miejmy nadzieję, że nie jest to kontynuacja badań umożliwiających podpalenie drukarki przez internet […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: