Просмотров: 15410

Принтер, как источник угрозы. Введение


Современный администратор осторожен и пуглив, он всегда готов к вторжению чужаков на свою сетевую территорию и поэтому постоянно бдит в томительном ожидании очередной атаки. Настроив как следует брандмауэр, пометив свою территорию многочисленными датчиками-флажками от IDS-систем, администратор спускается в логово для изучения своих лог-файлов, подозрительно щуря глаз при каждом необычном коннекте или неясном шевелении в темном дальнем углу серверной. При этом чаще всего его внимание концентрируется на компьютерах и сетевых устройствах, а вот многочисленная офисная периферия остается вне поля зрения, что учитывая современные тенденции, очень даже опасно.

Сегодня речь пойдет о современных сетевых принтерах и МФУ, каждый из которых представляет собой уже почти полноценную копию компьютера. У такого принтера свой сетевой адаптер, собственный винчестер, ОЗУ и ПЗУ, встроенные telnet, ftp и web-серверы и так далее... И как мы покажем в серии публикуемых мною материалов, возможности, которые они дают злоумышленникам, сегодня не только широкодоступны для эксплуатации, но и вполне сопоставимы по опасности со взломом обычных компьютеров, а в чем-то, по своим последствиям, —даже превосходят их.

Итак, поехали: используем чужие удаленные принтеры не по назначению, о котором большинство их пользователей даже не подозревает.

принтеры угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Принтеры в огне

В конце 2011 года профессор Сальваторе Стольфо (Salvatore J. Stolfo) и его помощники-студенты из Колумбийского Университета в Нью-Йорке (Columbia IDS Lab) показали в демонстрационном видео, как большинство принтеров от HP может быть удаленно перепрограммированы через специально созданные задания печати, в которые включается операционный управляющий код, приводящий к стиранию текущей прошивки и установки вместо неё новой, загружаемой через сеть. После чего упомянутыми исследователями были проведены три последовательные демонстрации того, что можно сделать, используя эту технику и её вариации.

В первой версии прошивки логика принтера изменялась так, что каждый присылаемый для печати документ дублировался и отсылался по сети на заданный «хакерами» свой e-mail. Естественно, происходит это совершенно скрытно и без уведомления пользователя. В одной из вариаций этой демонстрации название перехваченного документа (задания печати) публиковалось в Twitter-акаунте экспериментатора в режиме реального времени.

принтеры угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Второй вариант — это использование принтера как опорной точки для дальнейшего проникновения в локальную сеть, в результате этого создавался туннель между интернетом и локальной сетью, после чего экспериментатор использовал Backtrack для взлома рабочей станции внутри локальной сети, работающей под Windows XP SP3 (используя публичный эксплойт). В результате этих операций, атакующий получает консоль с правами администратора на целевом компьютере, и что важно — в данной локальной сети прямой доступ к компьютерам из интернета запрещен правилами брандмауэра работающего на шлюзе, т.е. «хакнутый» сетевой принтер использовался как доверенный прокси-хост в тылу локальной сети.

Ну а третий вариант атаки стал наиболее известным, отчасти благодаря стараниям мировых СМИ. Специально загруженная прошивка с помощью простейшего вечного цикла на одной из ресурсоемких операций приводила к тому, что ранее взломанный принтер непрерывно нагревал свой термоэлемент, что, в конечном счете привело к задымлению помещения и образованию на вставленном листе бумаги коричневой полосы обугленной бумаги, после чего эксперимент решили остановить.

принтеры угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Представители HP довольно оперативно отреагировали на эти уязвимости, но пока только вербально. С одной стороны они подтвердили принципиальную возможность всего перечисленного, успокоив (?) общественность тем, что они относятся ко всем этим уязвимостям крайне серьезно. И как это принято, традиционно есть две новости. Хорошая новость заключается в том, что современные принтеры содержат тепловые выключатели, которые теоретически не допускают возникновения пожара.

взрыв прикол комикс принтер принтерный принтеры угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Ну и плохая новость: некоторые независимые исследователи утверждают, что эти выключатели есть в большинстве, но не во всех моделях принтеров.

Проникаем извне

Если вы уже нервно ерзаете и с опаской поглядываете на принтер стоящий рядом с вами в ожидании его «неадекватного поведения», самое время выпить валокордина, потому что сейчас мы перейдем к рассмотрению практических методов злоупотребления. Но перед их обсуждением давайте определимся с возможными источниками атаки.

Среди системных администраторов принято считать, что все зло в мире исходит от интернета. Исходя из этого не спешите закрывать доступ к принтеру с помощью брандмауэра в качестве панацеи, вероятно, это просто бессмысленно. Интернет — не единственный источник потенциального порабощения ваших принтеров. Современные сетевые принтеры почти все обеспечены возможностью прямого WiFi-подключения к ним. В самом деле, кто уже пользовался такими принтерами, знает насколько это удобно — наконец перестать мучиться с этими вечно короткими и мешающими шнурами. Но при этом учтите: очень даже вероятно, что вы не единственный кто наслаждается благами прогресса — «плохие ребята» за стеной обычно сразу оживляются, когда вдруг обнаруживают новые WiFi-устройства у себя под боком.

Возможен наивный вопрос недостаточно испорченного цивилизацией читателя: «А как же они попадут туда?». У меня есть отличный встречный вопрос для такого случая: «Когда в последний раз вы меняли дефолтный заводской пароль для подобного принтера?». Впрочем, забегая вперед, как бы вы не ответили, это, скорее всего не важно, потому что некоторые критические операции на принтере выполняются всё равно без использования какого-либо пароля.

Кроме внешних угроз, которые могут нежданно-негаданно постучать вам в двери, возможно и нечто с точностью наоборот: эти умные принтеры, будучи подключены к компьютеру или напрямик к локальной сети, способны к добыванию интернета, после чего самостоятельно находят, скачивают и устанавливают самые последние обновления для своей прошивки. Другое дело, что при этом есть множество ходов, позволяющих злоумышленнику отправить принтеру ложное, самостоятельно сфабрикованное обновление под видом оригинального, и сделать это достаточно просто, как это наглядно и продемонстрировали вышеупомянутые исследователи.

HP printer принтер угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Самая часто используемая после взлома функция таких принтеров — это массовый спам. Symantec сообщает о лавинно-образном росте объема электронных писем от офисных принтеров в 2011 году. «Это новая тактика спама, с которой мы раньше не сталкивались», — говорит Пол Вуд, старший аналитик отдела разведки Symantec.cloud. Часто подобные письма содержат вложения в виде архивов или даже зараженные исполняемые файлы. С учетом всего вышесказанного очевидно, что современные принтеры теперь могут рассылать что угодно, так как после их взлома они становятся просто ретранслятором любых отправлений. Специалисты компании Symantec также обнаружили вирус под названием Trojan.Milicenso, который заставляет принтеры распечатывать бумагу, заполненную бессмысленными символами. Этот вирус сейчас широко распространен в США и Индии.

Но, довольно подготовительной теории, ознакомившись вкратце с общей проблематикой, давайте посмотрим теперь, как это устроено на практике, чтобы в итоге понять, как от этого можно защититься.

Общее оглавление статьи:

~

Начать читать этот материал дальше можно тут.

Игорь Савчук // Системный Администратор, 2012
twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , , ,
Эта запись опубликована: Четверг, 2 августа 2012 в рубрике Обзоры.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз