Drukarka to komputer — powinieneś ją zabezpieczyć

By in , , , ,
Drukarka to komputer — powinieneś ją zabezpieczyć
Chyba nie ma dziś firmy, która nie posiada “sieciowej” drukarki. Te urządzenia mają dostęp do wrażliwych danych i nierzadko są osiągalne z internetu, ale paradoksalnie prawie zawsze są gorzej zabezpieczone niż wykorzystywany w firmie sprzęt komputerowy. Zresztą, sam odpowiedz sobie na pytanie, kiedy ostatnio aktualizowałeś firmware swojej drukarki? A przecież drukarka to komputer, choć niestety obecnie w wielu firmach zupełnie niezabezpieczony przed atakami. Warto się więc drukarkom przyjrzeć bliżej, zanim zrobi to ktoś przed nami.
Wiele sposobów na zhackowanie drukarki

Drukarki są podatne zarówno na ataki z dostępem fizycznym jak i na ataki od strony internetu oraz — co może nie do końca oczywiste — “zhackować” mogą je także odpowiednio spreparowane pliki wysyłane do druku. Grafika poniżej pokazuje jak szeroki jest wachlarz możliwych luk w zabezpieczeniach.

To do czego może doprowadzić posiadanie niezabezpieczonej, osiągalnej z Internetu drukarki, świetnie obrazuje przypadek z grudnia 2018 roku, kiedy to jeden z hackerów przejął ponad 50 tysięcy urządzeń w Stanach Zjednoczonych, aby wydrukować na nich swój manifest namawiający do subskrybowania kanału swojego ulubionego youtubera – PewDiePie:

Ta akcja może oczywiście być traktowana jako niewinna zabawa czy też niewinny trolling, ale pokazuje ona również jak wiele drukarek może być od ręki przejętych przez osobę o każdego, kto potrafi użyć nmapa i napisać prostą pętlę w pythonie.

Trolling czy jednak szpiegostwo gospodarcze?

Czy podobny udałoby się też zrealizować na terenie Polski? Aby to ocenić, możemy posłużyć się narzędziem “Shodan“, które wskazuje przybliżoną liczbę drukarek podpiętych do internetu na terenie naszego kraju w chwili pisania tego tekstu.

Shodan twierdzi, że ma dostęp do 786 urządzeń z Polski poprzez jeden z licznych protokołów: HTTP/HTTPS, FTP, CUPS itp. Nie każda pozwala na “podrzucenie” jej nieautoryzowanego wydruku. Dostęp do drukarki poprzez porty HTTP/HTTPS oznacza w praktyce osiągalność ich panelu administracyjnego. Ten powinien być zabezpieczony hasłem, ale istnieje szansa, że nieodpowiedzialny administrator pozostawił w nim domyślne dane logowania lub ustawił własne, ale łatwe do złamania (np. metodą słownikową) hasło (por. Jakie hasło jest najpopularniejsze wśród Polaków?).

Co może się wydarzyć jeśli hacker uzyska dostęp do panelu sterowania urządzeniem? Pomijając oczywiste ataki polegające na dokonywaniu nieautoryzowanych wydruków na urządzeniach, może on sprytnie zmodyfikować zachowanie samej drukarki. Współczesna drukarka często oferuje funkcję skanera lub kserokopiarki. Hacker może więc zmienić konfigurację np. tak, aby drukarka automatycznie dodawała pole BCC (z adresem e-mail hackera jako odbiorcy) do każdej kopii dokumentu wysyłanej za pomocą funkcji “skanuj i przesyłaj na maila“. To już nie wyglądałoby na zabawny atak, a na poważny wyciek danych firmowych ocierający się o szpiegostwo gospodarcze.

Firmwarem przez FTP

Drugim najczęściej wystawianym na świat portem drukarek 21/tcp, czyli FTP. Bardzo często drukarki oferują możliwość wrzucania dokumentów do wydruku właśnie przez usługę transferu plików lub też pozwalają na przechowywanie na na FTP często drukowanych dokumentów (karty urlopowe, obiegówki, itp.). Dostęp do takiej usługi najczęściej możliwy jest za pomocą domyślnych, anonimowych kont dostępowych, tj. “ftp” lub “anonymous” itp.

Dostęp do panelu administracyjnego oraz możliwość zdalnego wgrywania plików może grozić właścicielowi drukarki atakiem podmiany firmware. Jest to oczywiście możliwe jedynie w modelach, które nie weryfikują podpisu cyfrowego aktualizacji softu. Niektóre drukarki – np. producenta HP – posiadają funkcje zabezpieczające przed nieautoryzowaną zmianą oprogramowania drukarki, także w przypadku ataków Man in the Middle — czyli podczas uruchamiania standardowej funkcji “poboru” nowego oprogramowania ale poprzez nieszyfrowane połączenie.

Warto zauważyć, że nie wszystkie drukarki w firmie mogą być źle skonfigurowane. Ale wystarczy jedna, aby firma miała klopot. Dlaczego w przypadku drukarek firmowych nie wszystkie są tak samo zabezpieczone? Bo zarządza się nimi trudniej niż komputerami, z reguły spiętymi np. w AD. Oprogramowanie HP dla administratorów firmowych pozwala pozbyć się tego typu problemów, ponieważ zamiast konfigurować każdą z drukarek oddzielnie, można nimi zarządzać wspólną polityką bezpieczeństwa i kilkoma kliknięciami ujednolicić konfigurację na każdym z urządzeń.
To nie są “nowe” ataki…

Opisany atak związany z PewDiePie nie był jedynym globalnym atakiem na firmowe drukarki. W lutym 2017 r. hacker znany jako Stackoverflowin wydrukował swoją własną wiadomość na ok. 1500 drukarek różnych marek. Na forach poświęconych wsparciu dla urządzeń natychmiast pojawiły się pytania o problem. Stackoverflowin wyjaśnił, że wykorzystał skrypt swojego autorstwa, który sam wyszukiwał podatne urządzenia i wysyłał do nich “złośliwe” zadanie drukowania. Akcja miała być zaledwie żartem, ale po wpisach na forach było widać, że firmom nie było do śmiechu. Podobne akcje zresztą uruchamiali już w roku 2016 ekstremiści, których celem było drukowanie rasistowskich ulotek, zaś możliwość zmodyfikowania firmware’u drukarki została opisana w artykułach naukowych już w roku 2011. Teoretycznie temat bezpieczeństwa drukarek jest dyskutowany od wielu lat, ale z praktycznego punktu widzenia wciąż traktuje się go po macoszemu.

Nie tylko hakerzy mogą być problemem…

Posiadacze drukarek nie powinni obawiać się tylko hakerów. Okazuje się, że sporo strat przysporzyć mogą “autoryzowani” użytkownicy drukarek — pracownicy. Zaprzyjaźnione z nami firmy wielokrotnie wskazywały na ciekawą anomalię, jaka pojawia się w trzecim kwartale. Liczba wydruków, a zatem koszty papieru i tonerów mocno idą w górę. Winny jest początek roku szkolnego. Okazuje się, że wielu pracowników to rodzice, którzy na firmowych drukarkach kserują bądź drukują podręczniki i materiały naukowe dla swoich dzieci. Często zostając po godzinach, aby ukryć ten fakt przed współpracownikami…

W kontrolowaniu niekontrolowanych wydruków przydaje się wdrożenie odpowiednich limitów na pracownika lub dany dział, za co — w przypadku drukarek HP — odpowiada moduł Access Control. Komórki audytowe mają też możliwość wygodnego przejrzenia logów z drukarek i sprawdzenia, co faktycznie było na nich drukowane i czy materiały te rzeczywiście są pracownikowi potrzebne do wykonywania swoich zawodowych obowiązków. W ten sposób chronimy nie tyle sprzęt przed atakiem, co firmowy rachunek bankowyprzed zbędnymi wydatkami.

Spójrz na swoją drukarkę inaczej

Drukarki są jego istotnym elementem firmowej infrastruktury i źle skonfigurowane mogą go osłabić. Jeśli kupujesz nowe urządzenia to weź pod uwagę nie tylko wydajność lub szybkość drukowania, ale również możliwości konfiguracji w obszarze zabezpieczeń. Jeśli nie kupujesz nowych urządzeń, to masz powody by przemyśleć na ile bezpieczne są te obecnie używane. Przejrzyj ustawienia swojego sprzętu, wyłącz niepotrzebne usługi i niewykorzystywane protokoły, skonfiguruj VLAN-y oraz — być może po raz pierwszy — zmień hasło do panelu zarządzania. Jeśli sama drukarka nie pozwala się “zabezpieczyć” możesz rozważyć wstawienie przed nią prostego RaspberryPi, który pełnić będzie funkcję firewalla (a może już ktoś wstawił przed Twoją drukarkę podobne, ale złośliwe urządzenie, a Ty nawet o tym nie wiesz?). Wiele porad jak zabezpieczyć drukarkę przed atakami krok-po-kroku znajdziesz w tych dwóch dokumentach.

Źródło:/niebezpiecznik.pl/