8:17
16/9/2014

Na konferencji 44CON jeden z hackerów, Jordon, pokazał jak wykorzystać błędy w webinterfejsie drukarki Canona (Pixma MG6450) do instalacji kultowej strzelanki — Dooma. Choć wyświetlacz na drukarce jest mały, gra jest w pełni funkcjonalna.

Doom na drukarce

Doom na drukarce

Drukarki: dużo ciekawych i łatwodostępnych informacji

Sieciowe drukarki to bardzo wdzięczny temat pod kątem bezpieczeństwa. W trakcie testów penetracyjnych sieci wewnętrznych (a czasem i tzw. “styku z internetem”) są dość łatwym celem dla pentesterów — zazwyczaj podobnie jak w przypadku domowych routerów, nikt nie aktualizuje ich firmware’u, który zresztą rzadko kiedy pisany przez programistów świadomych ataków sieciowych i aplikacyjnych. Jeśli dodatkowo uświadomimy sobie, że na dyskach twardych drukarek (tak, tak, drukarki i kserokopiarki mają dyski twarde) składowanych może być wiele firmowych tajemnic, od objętych klauzulami poufności kontraktów po …skany pośladków pracowników, to warto zadać sobie trochę trudu, aby dostęp do drukarki odpowiednio zabezpieczyć (i wziąć pod uwagę także jej okolicę, bo znane są zdalne ataki podsłuchiwania wydruków mikrofonem — w praktyce zresztą zaprezentowało to NSA, por. Jak NSA podsłuchuje faksy dyplomatów).

Błędy bezpieczeństwa w drukarkach Canon

Chociaż poniższy opis dotyczy błędów w konkretnym modelu drukarki Canona, to część z nich znajduje się także w drukarkach innych producentów. Zachęcamy czytelników do testów i opisywania wrażeń w komentarzach

Pierwszy z problemów jest powszechny — dostęp do drukarki nie wymaga uwierzytelnienia. Atakujący może drukować testowe strony do wyczerpania tuszu lub papieru.

Drugi z problemów jest ciekawszy — Jordan odkrył, że drukarkę można zmusić, do tego, aby zaakceptowała dowolne oprogramowanie jako swój firmware. Przestawiając ustawienia serwera proxy na dukarce drukarki i jej DNS-ów, można sprawić, że zamiast na serwery producenta, po firmware drukarka “zastuka” na serwer atakującego. Stąd jest już całkiem prosta droga do podmiany fimware’u na własny, choć trzeba jeszcze złamać bardzo słaby algorytm szyfrowania (szczególy na blogu Jordana)…

Doom na drukarce

Doom na drukarce

Na marginesie, model drukarki zaatakowany przez Jordana ma 32 bitowy procesor ARM i 10MB pamięci. Jordanowi przepisanie Dooma na tę architekturę zajęło wiele miesięcy…

Video prezentujące efekt końcowy dostępne jest tutaj.

Doom to dopiero początek zagłady…

Wgranie Dooma, jak się zapewne domyślacie, to nie jedyne zagrożenie. Zamiast gry, atakujący mógłby przygotować firmware, który funkcjonalnością nie różni się od oryginalnego, ale dodatkowo “w tle” wysyła drukowane dokumenty na zewnętrzny serwer złodzieja i generalnie pełni funkcję klasycznego trojana (na marginesie, backdoory na drukarkach to nic nowego — jeden był obecny w drukarkach Samsunga).

Błąd został zgłoszony do Canona w marcu i jest już gotowa poprawka, która dodaje do drukarki ekran logowania. Co ciekawe, skany internetu wykazały, że obecnie wciąż ponad 2 000 podatnych na atak drukarek jest dostępnych online…

A może podpalimy drukarkę?

Na koniec przypomnijmy jeden z ciekawszych ataków dotyczących podmiany firmware’u na drukarkach, ale HP a nie Canona. Badacze opracowali technikę jego zdalnej podmiany na taki, który celowo rozgrzewał elementy drukarki powodując podpalenie papieru.

Trzeba przyznać, że widowiskowe byłoby połączenie obu ataków (tego na Canona z Doomem i tego na HP z płonącym papierem) w jednym i tym samym firmowym print-roomie. Fragowanie na drukarce, podczas gdy inne drukarki obok płoną. Doomsday!

PS. W Dooma da się też pograć na bankomacie…

Przeczytaj także:



32 komentarzy

Dodaj komentarz
  1. Czekam na Ubuntu na pegasusa.

  2. Teraz nasuwa się pytanie: czy pójdzie Quake?

    • a dlaczego nie chyba niejest zbyt wymagajacy xd

    • Może i Quake nie jest wymagający, ale jest robiony inną techniką niż Doom. Silnik dooma działa tak, że algorytm ma w pamięci mapę 2d, pozycję gracza i zakres widzialności, a następnie odczytuje odległości do różnych punktów na ścianach. Obraz tworzony jest w ten sposób, że przed “widzem” rysowane są pionowe kreski – im ściana jest dalej, tym kreska krótsza. Dlatego sufit i podłoga były takie monotonne;) Quake to już inna bajka, ale nie pamiętam dokładnie jak to działa.

  3. Ostatni akapit rządzi ;).

    Swoją drogą, drukarki to chyba jedyne urządzenia, które z zasady zabezpieczenia mają tylko do re-konfiguracji, a drukowanie (sygnalizacja wydruku) jest anonimowe…
    Do tego żaden protokół wydruku chyba nie wspiera wydruku z hasłem, chociaż mogę się mylić.

    • Minolta w mojej firmie właśnie przeszła re-konfigurację i teraz drukuje wyłącznie po wpisaniu hasła lub przyłożeniu osobistej karty drukującego. Widać można…

    • Firmy nie kupują drukarek które są dedykowane do zastosowań domowych a odpowiednie modele “korporacyjne” z wieloma bajerami typu wydruk po podaniu PIN, autoryzacja LDAP czy meilowanie skanów pod adresy zaciągnięte z bazy pracowników.

    • I większość tych zabezpieczeń jest fatalnej jakości – pseudoszyfrowanie wydruków i łatwe do ominięcia systemy uwierzytelnienia. W jednym rozwiązaniu pull printing wystarczyło podać jedną spację zamiast hasła, żeby się uwierzytelnić ;)

  4. ha! tylko po co?

    • ha! po to żeby widzieć wszystkie firmowe dokumenty które są drukowane + skany.

    • ha! hahahah

  5. A on zainstalował Dooma w bankomacie: https://www.youtube.com/watch?v=D0rStdHowAg

    • Bankomat to najczesciej zwykly pecet z bodaj windows xp. drukarka (czy firmware hdd) to jednak co innego

    • Windows Embedded.

    • Ninja: nie, windows xp.

  6. Kiedyś graliśmy na McDonaldowych kasach w Quake, albo na kuchennych monitorach wyświetlaliśmy różne głupoty – wszak to tylko Windows XP. Oczywiście, wszystko w środowisku testowym!

  7. Bardzo fajny artykuł.
    Tak trochę z innej beczki: ostatnio miałem przyjemność zobaczyć bardzo ciekawy system wydruków w jednej z korporacji. W dużych firmach sporym zagrożeniem dla bezpieczeństwa i poufności danych jest przypadkowe wysłanie wydruku na złą drukarkę (znajdującą się na innym piętrze lub nawet w innym biurze).
    System, który widziałem wysyłał każdy wydruk do print serwera. Pracownik może podejść do dowolnej drukarki, przyłożyć swoją kartę do czytnika i drukarka momentalnie zaczyna drukować wszystkie dokumenty, które zakolejkował. Dzięki temu nie ma mowy o pomyleniu drukarki, albo że inny pracownik drukujący na tej samej drukarce, weźmie przez pomyłkę nieswoje dokumenty.
    Niestety takie rozwiązanie widziałem dopiero raz na ileś tam dużych firm, z którymi miałem okazję współpracować.
    Takie rozwiązanie powinno być standardem.

  8. Osobiście próbowałem grać w pierwszego Wolfensteina na centrali telefonicznej, co opiszę.
    Obiekt: Stara, złomowana i całe szczęście odłączona centrala telefoniczna, szafa dużych rozmiarów, w jednym z jej bloków półka z klawiaturą, nad nią blok z wyświetlaczem i stacją dyskietek do zapisu logów. Po wystartowaniu wyświetlacz wyświetla logo, robi stacją jeden ruch przez całą dyskietkę, kilka sekund przerwy, potem drugie sprawdzenie FDD, potem ładuje soft sterujący.
    Pomyślałem, że to może być jakiś pecet. Wciskanie F8 podczas startu softu niewiele dało, ale mignęło mi “DOS4GW”. No to jesteśmy w domu.
    1. Boot z dyskietki – udało się.
    2. Próba wgrania czegokolwiek – już nie (ROMdysk).
    Stwierdziłem więc, że Wolfa odpalę z dyskietki – i tu niespodzianka – nie wiem jak to jest zrobione, ale uruchomienie dowolnej binarki prócz DOSa z dyskietki skutkuje zresetowaniem owego peceta.
    Więc z innej strony: Z tyłu jest port drukarki, do drukowania logów. W ten port włożyłem antycznego 60MB “pendrive’a” opartego o dysk do laptopa (myślałem o module takim jak z nagrywarek na LPT, ale one wymagają uruchomienia EXEka) i na dyskietce umieściłem odpowiedni plik .SYS dodany do config’a.
    Zadziałało. W DOSie pojawił się prócz dysku C tylko do odczytu dysk D:.
    Wgranie Wolfa na dysk na innym komputerze.
    I tak można sobie było na centrali telefonicznej postrzelać do Niemców :). Wydajnośc takiej maszyny to było ok. 486/75MHz.

  9. Jakaś lipa z tym bankomatem na końcu. Co prawda nie mam pojecia, jak wygląda prawdziwy bankomat w środku, ale to coś wygląda jak zwykły pecet, chociaż skoro na bankomatach jest WinXP, to może tak ma być. Najbardziej mi się jednak nie podoba wrzucacz na monety / żetony – przecież nie ma czegoś takiego w bankomatach – to nie automat z salonu gier… skor więc koleś wprowadził aż taką modyfikację, to w ogóle mógł tam wsadzić kompa albo z zewnątrz podłaczyć do klawiatury i monitora bankomatowego.

    • Bo to jest pecet. Tak samo jak w biletomatach komunikacji miejskiej: kiedyś wbiłem z kumplem do nowego MANA a na ekranie biletomatu ukazał się pulpit Win XP z ikonami Kosza i Moich Dokumentów. Ekran migał, po jakimś czasie komp się wyłączył. Próbowaliśmy tymi guzikami po bokach coś zmanipulować ale się nie udało :)

    • Czy wyświetlacze z trasą linii w MPK. Bardzo często na środku widać kursor Windows (Vista, 7 lub 8).

  10. grałbym.

  11. “Jordanowi przepisanie Dooma na tę architekturę zajęło wiele miesięcy…” – miał koleś zacięcie.

  12. To nie są żadne dziury, to feature

  13. Podobne rozwiązanie można podziwiać na Uniwersytecie Masaryka w Brnie. Tylko że tutaj rolę karty identyfikacyjnej odgrywala legitymacja studencka z wbudowanym modulem nfc. Za kazdy wydruk pobierana jest oplata z powiazanego ze studentem, uczelnianego konta pre-paid.

  14. cyt:”Na koniec przypomnijmy jeden z ciekawszych ataków dotyczących podmiany firmware’u na drukarkach, ale HP a nie Canona. Badacze opracowali technikę jego zdalnej podmiany na taki, który celowo rozgrzewał elementy drukarki powodując podpalenie papieru.”

    Co wy pie…ie – nie ma ani jednego słowa o udanym podpaleniu w tym artykule.
    Poza tym drukarka ma zabezpieczenie termiczne – niezależne od elektroniki.

  15. Windows XP chodzi na bankomatach i biletomatach najczęściej dzięki mobo wielkości ITX na której można wsadzić mobilny procek. Spokojnie i3 i5 czy i7 ;)

  16. e tam dooma, ale czy crisis 3 pójdzie na tym?

    • Tylko jak podmienisz czarny tusz na kartridż (śmieszne słowo) z różowym.

Odpowiadasz na komentarz trolo

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: