Drukarki sieciowe - czynnik ryzyka

Bezpiecznie w sieci

Czwartek, 25 maja 2017 (16:30)

Drukarki sieciowe to często zagrożenie bezpieczeństwa IT. Wyposażone we własne systemy operacyjne, procesory i dyski twarde, z dostępem zdalnym np. za pomocą tabletów i smartfonów, są tak naprawdę komputerami, którym grozi taki sam atak jak wszystkim stacjom roboczym w firmie.

Problem drukarek sieciowych jako urządzeń podatnych na ataki znany jest już od 2011 roku. Wtedy to po raz pierwszy na konferencji DataSec w Waszyngtonie zaprezentowano włamanie do sieci poprzez właśnie drukarkę sieciową. Napisany został w tym celu exploit, który później udostępniono w sieci.

Jednak poza ekspertami bezpieczeństwa, nikt nie zrozumiał wagi problemu. Nie pojęły go instytucje administracji publicznej, aż do 2015 roku, kiedy to poprzez drukarkę sieciową dokonano włamania do sieci Urzędu podatkowego w Atenach, zaś w kwietniu 2016 roku neonazistowscy hackerzy przeprowadzili skoordynowany atak na konfigurację wydruku sieciowego drukarek w sieci kilkunastu uniwersytetów w Niemczech i zmusili drukarki do drukowania antysemickich ulotek. Co ciekawe, najwięcej dla bezpieczeństwa wydruku zrobił "edukacyjny" atak na drukarki sieciowe hackera Stackoverflowin w lutym 2017 r. Przejął on bowiem kontrolę nad 150 tys. drukarek sieciowych na całym świecie, zmuszając je do wydruku złożonych ze znaków Transformersów i dość bezładnych wiadomości. Jak stwierdził sam atakujący, chciał w ten sposób pokazać, ze poprzez każdą drukarkę można włamać się do sieci firmowej.

Reklama

HP z kolei stworzyło zabezpieczenie sprzętowo-programowe dla drukarek, które zapobiegało większości ataków brute force, ale wdrożono je tylko w najdroższych modelach.

Tymczasem większość ataków dokonywana jest po prostu przez malware posadowione na stronie internetowej przejętej przez hackerów lub przez złośliwy skrypt. Ten przy wejściu na przejętą stronę poszukuje drukarki - sieciowej lub lokalnej - po czym zagnieżdża się w jej pamięci. Pierwsze uruchomienie oznacza uczynnienie i zainstalowanie malware. Może ono działać jak klasyczny trojan - przesyłając poprzez sieć na określony serwer dane z dokumentów ładowanych do pamięci drukarki jak faktury, umowy, plany strategiczne czy oferty, jak malware, podmieniając np. numery kont na rachunkach tak aby firmy przelewały pieniądze na rachunki przestępców (takie działanie może być bardzo skuteczne, bowiem firmy dowiedzą się o błędzie dopiero po monitach klientów bądź kontrahentów) lub nawet uszkadzać samą drukarkę.

Tego typu ataki groźne są zwłaszcza w przypadku służby zdrowia - zarówno państwowej jak i prywatnej czy organizacji bądź instytucji państwowych.

Eksperci bezpieczeństwa twierdzą przy tym iż firmy bądź instytucje państwowe wielokrotnie wystawiają się same na atak, wystawiając do sieci drukarki z firmware datowanym na dzień ich zakupu lub nawet sporo starszym. Firmy produkujące drukarki bowiem tworzą nowe sterowniki lub firmware, likwidujące podatności lub stare błędy, ale sterowników lub firmware nie aktualizują administratorzy sieci, jeśli urządzenia działa poprawnie. Tymczasem nie oznacza to wcale prawidłowego działania; urządzenie może już być zainfekowane.

Tymczasem naukowcy z Horst Görtz Institute na Ruhr-University Bochum postanowili sprawdzić podatność najczęściej używanych drukarek sieciowych na ataki. Stwierdzili przy tym, ze ich najsłabszym punktem wcale nie muszą być sterowniki czy firmware, a więc obszary, w których eksperci bezpieczeństwa spodziewają się ataku, a podstawowe języki programowania, używane przez te urządzenia. PostScript i PJL, bo to o nie chodzi sięgają swoimi korzeniami lat 80. Kiedy to problemy bezpieczeństwa znane były tylko w teorii i mają bardzo dużo luk - zarówno znanych jak i słabo udokumentowanych. Obsługują także natywne dość egzotyczne często protokoły, co ma ułatwić i dostęp i prawidłowe sformatowanie wydruku. Dokonali więc bardzo dokładnej analizy bezpieczeństwa na 20 różnych typach drukarek, pochodzących od najważniejszych producentów tych urządzeń.

Pierwszym typem testu była próba zapętlenia działania poprzez DoS w PostScript:

{} loop

Następne to m.in. łamanie haseł PJL i PostScript, wymuszenie przejścia w tryb offline, który to tryb obsługuje większość urządzeń, uszkadzanie pamięci zapisywaniem długich nazw zmiennych do NVRAM, podczas gdy ten rodzaj pamięci ma z góry określoną ilość cykli zapisu, zdalny odczyt danych z NVRAM i to wrażliwych jak np. hasła administracyjnego czy haseł kont, przejęcie polecenia drukowania i zastąpienie poleceniem "blank" co oznacza zablokowanie drukowania, reset do ustawień fabrycznych po SNMP, przeprowadzony zdalnie, modyfikację działających zadań drukowania (zmiana cudzych wydruków za pomocą złośliwych skryptów PostScriptu), zdalny dostęp do plików czy przechwyt dokumentów drukowanych, niezależnie od źródła pochodzenia.

Testy prowadzone były specjalnym narzędziem PRET, stworzonym na potrzeby analizy. Jak się okazało podstawowym problemem był atak pętli nieskończonej.

Tylko w jednym przypadku następował reset drukarki i powrót do normalnego trybu pracy, ale i to po 10 minutach. Zmiana definicji drukowanej strony, co skutkowało uniemożliwieniem wydruku, podobnie jak reset do ustawień fabrycznych, także działały w znacznej większości badanych drukarek. Około 30 proc. urządzeń jest podatne na zdalne przełączenie w tryb offline, kilka wykazywało podatność na uszkodzenia NVRAM przez 24-godzinną serię zapisów, przy czym trzy z nich dawało możliwość odczytu zawartości pamięci, kilka innych - na odczyt plików.

Ponad połowa urządzeń umożliwiała zdalne przechwycenie wydruku, a łącznie na 15 modeli tylko cztery wykazywały mniej niż 7 podatności. Nowe drukarki można łatwo sprawdzić narzędziem PRET jakie zostało udostępnione w sieci, niestety większość modeli z dolnej półki będzie prawdopodobnie wykazywać podatności podobne do stwierdzonych niemieckim teście. Warto zauważyć, ze polskie instytucje publiczne w ogóle nie badają drukarek na podatność na Hawking, włączając je od razu do sieci firmowej i wystawiając w Internecie, co rzekomo ma "obniżyć koszty użycia" i "ułatwić działanie zdalne".

Większości problemów z podatnościami drukarek można uniknąć, stosując proste procedury zabezpieczające: - Poufne informacje wysyłane do drukarki najłatwiej zachować, drukując lokalnie tj. podłączając drukarkę na czas wydruku do komputera poprzez kabel USB. - Drukarka sieciowa musi być chroniona przez firewall lub narzędzie do ochrony dostępu. Nie musi to być najlepszy model, wystarczy że jest i działa. Hacker poszuka takiej drukarki, która nie będzie niczym chroniona, złośliwy skrypt nie zadziała. - Drukarki jak wszystkie urządzenia zdalnego dostępu posiadają własny mechanizm uwierzytelniania. Można więc dostęp do drukarki zabezpieczyć hasłem. Tyle tylko, że jak w koncie pocztowym trzeba je periodycznie zmieniać i nie może być ono zbyt oczywiste. - Drukarka sieciowa nie może być urządzeniem dostępnym dla wszystkich, co oznacza brak dostępu przez login:guest - W konfiguracji drukarki sieciowej należy ustawić szyfrowanie dla wydruków z dysków twardych oraz usuwanie pliku z pamięci po jego wydrukowaniu. - W przypadku tzw. kombajnów czy urządzeń wielofunkcyjnych, zintegrowane dyski trzeba czyścić z danych periodycznie. Wygoda pracowników nie może być drogowskazem - żadnego przechowywania "plików roboczych" na dyskach sieciowych drukarki. - Sieć, zwłaszcza Wi-Fi, która umożliwia dostęp do drukarki, powinna posiadać własne zabezpieczenia. - Firmware i sterowniki powinny być aktualizowane, niezależnie czy drukarka działa doskonale czy gorzej. Zabezpieczenia drukarki są też opisane w instrukcji, której nie należy się zaraz po instalacji pozbywać bo "przecież wszystkie drukarki są takie same". - Przy zakupie drukarki sieciowej najlepiej wybrać firmę, która posiada na tyle sprawny serwis, żeby mógł zainstalować i skonfigurować prawidłowo urządzenie. Zrobi to lepiej niż firmowy administrator, którego interesuje przede wszystkim by drukarka działała.

Marek Meissner