Jeszcze jeden słaby punkt sieci

Na razie hakerzy jakby zapomnieli o sieciowych drukarkach i urządzeniach MFP, ale już wkrótce może się to zmienić, zwłaszcza że jest to wciąż względnie łatwy cel ataków.

Na razie hakerzy jakby zapomnieli o sieciowych drukarkach i urządzeniach MFP, ale już wkrótce może się to zmienić, zwłaszcza że jest to wciąż względnie łatwy cel ataków.

Jeszcze jeden słaby punkt sieci

Nashuatec MPC 4500 to komputer z funkcjami drukowania, skanowania i faksowania wyposażony w procesor, RAM, dysk 80 GB, książkę adresową i serwer WWW umożliwiający m.in. wysyłanie raportów i listów z zeskanowanymi dokumentami.

Gdy w 2003 r. robak Blaster zainfekował sieć amerykańskiej firmy McCormick and Co., jej administratorzy rozpoczęli systematyczne czyszczenie systemu IT. Ku ich zdziwieniu, robak nieoczekiwanie zaczął ponownie się pojawiać w już przeskanowanych i wyczyszczonych segmentach sieci. Jak wykazała przeprowadzona wówczas szczegółowa analiza, Blaster - podobnie jak niektóre rodzaje robaka Sasser - próbował propagować się z zarażonych tym wirusem drukarek sieciowych, które zostały pominięte w procesie skanowania antywirusowego. To chyba najlepszy przykład dowodzący tego, że urządzenia drukujące przestały być tylko peryferyjnymi elementami systemu IT, a stały się jego aktywnymi składnikami, które wymagają takiego samego zabezpieczania, skanowania i aktualizowania, jak serwery, komputery PC i aplikacje.

Cisza przed burzą?

Choć informacje o atakach na systemy IT przy wykorzystaniu drukarek lub urządzeń wielofunkcyjnych nie pojawiały się dotąd zbyt często, to nie ulega wątpliwości, że nowoczesne systemy drukujące stały się wrażliwym elementem sieci, który może wprowadzać do niej luki i słabe punkty. Zdaniem specjalistów ds. bezpieczeństwa systemy drukujące, wyposażone w system operacyjny, pamięć RAM, procesor, dyski, serwery WWW, funkcje zdalnego zarządzania i coraz bardziej skomplikowane aplikacje umożliwiają uruchamianie prawie każdego typu szkodliwych funkcji i usług, a najgorsze, że ich aktywność z reguły wymyka się spod kontroli systemów do zarządzania siecią.

Jednocześnie większość administratorów zajmuje się zabezpieczeniami serwerów, routerów, komputerów PC, notebooków, a nawet palmtopów i smartfonów, a zapomina lub pomija drukarki traktując je jako nieaktywne "głupie" urządzenia peryferyjne. Wynika to przede wszystkim z tego, że wszyscy przyzwyczaili się, że drukarkę trzeba kupić, zainstalować, skonfigurować, a później już tylko uzupełniać papier, toner, a czasem co najwyżej dołączyć nowy podajnik lub dodatkową kasetę odbiorczą. Świadomość, że drukarka lub urządzenie wielofunkcyjne to komputer, tyle że wyposażony w specjalizowane systemy sprzętowe do druku lub skanowania, dopiero ostatnio zaczyna docierać do administratorów.

Nie takie głupie, jak się wydaje

Nie ulega wątpliwości, że w praktyce współczesne drukarki sieciowe powinny być traktowane na takich samych zasadach jak serwery lub stacje robocze, a nie jak "głupie" terminale. Urządzenia te są bowiem wyposażone we wbudowane systemy Windows lub Linux komunikujące się z siecią, podobnie jak w przypadku innych urządzeń lub komputerów. Częstym wyposażeniem są też serwery WWW z własnym adresem IP umożliwiające zdalne zarządzanie, konfigurację i świadczenie usług zarówno w sieci LAN, jak i za pośrednictwem Internetu.

W efekcie możliwe są zewnętrzne ataki mogące prowadzić do unieruchomienia sprzętu, zdalnej kradzieży drukowanych dokumentów lub nawet przekształcenia urządzeń w elementy sieci botnet służącej do rozsyłania wrogich kodów lub przeprowadzania ataków typu DoS. W praktyce hakerzy mogą wykorzystać bardzo podobne narzędzia, bo luki mają taki sam charakter jak w przypadku PC lub serwerów - przepełnienie bufora, błędy w skryptach (cross-site scripting) lub każda inna dziura umożliwiająca uruchomienie w urządzeniu kodu wykonywalnego.

Od teorii do praktyki...

Podczas konferencji Black Hat w sierpniu 2006 r. Brendan O'Connor, naukowiec zajmujący się bezpieczeństwem, pracujący w jednej z amerykańskich instytucji finansowych jako inżynier ds. bezpieczeństwa, zaprezentował, w jaki sposób można ominąć mechanizmy autoryzacji dostępu, wykonać polecenia na poziomie jądra systemu operacyjnego i zainstalować kod umożliwiający przejęcie kontroli nad sieciowymi drukarkami Xerox WorkCentre wykorzystującymi system Linux. Kod taki może służyć do kradzieży haseł dostępu wprowadzanych przez użytkowników, ich zmieniania, przechwytywania zadań drukowania (a więc treści drukowanych dokumentów), a także modyfikacji danych systemu billingowego, który rejestruje np. jakie działy lub użytkownicy powinni być obciążeni kosztami druku.

RokLiczba luk wykrytych w oprogramowaniu systemów drukujących
2005 r.10
2006 r.12
od 1997 r.52
Jak twierdzi Brendan O'Connor, nie są to zagrożenia tylko teoretyczne, bo jak wynika z przeprowadzonych przez niego testów praktycznych (w warunkach laboratoryjnych) wszystkie wymienione funkcje mogą zostać zrealizowane. Mówi on jednocześnie, że zaprezentował publicznie tylko niektóre luki występujące w systemach drukujących, a jest ich znacznie więcej. Wyniki tych badań zostały oczywiście uwzględnione przez Xeroxa, który opublikował odpowiednie poprawki dla oprogramowania sterującego pracą swoich urządzeń. Ale nie oznacza to pełnego zabezpieczenia sprzętu, bo wciąż pozostało wiele innych luk, których jednak Brendan O'Connor nie ujawnia.

Panuje powszechne przekonanie, że drukarki są wrażliwe jedynie na ataki mające źródło w wewnętrznej sieci LAN, a z zewnątrz tylko przy wykorzystaniu zabezpieczonych, wymagających logowania kanałów VPN. Funkcje związane z drukiem z reguły nie są swobodnie udostępniane w Internecie. "Jest to błędne przekonanie" - uważa Alan Paller, dyrektor z SANS Institute. "Już pięć lat temu cztery kontrolery druku HP Jetdirect zostały wykorzystane w ataku DoS skierowanym przeciwko jednemu z amerykańskich dostawców usług internetowych, a ostatnio w jednej z firm współdzielone drukarki sieciowe hakerzy wykorzystali jako furtkę umożliwiającą przedostanie się z sieci słabo chronionej do segmentu o wysokim poziomie zabezpieczeń" - przypomina.

Małe zagrożenie, ale do kiedy...

"Liczba ataków na systemy drukujące jest wciąż bardzo mała, ale wydaje się, że jesteśmy w fazie, gdy hakerzy dopiero zaczynają się przygotowywać do ataków na sieciowe systemy druku. Ich upowszechnienie to tylko kwestia czasu" - mówi Dean Turner z Symanteca. Jego zdaniem, wynika to przede wszystkim z tego, że wciąż łatwiej można włamać się do komputerów. Ponieważ jednak ich poziom zabezpieczeń systematycznie rośnie, być może już wkrótce włamywacze zaczną poszukiwać innych urządzeń i systemów, które można będzie zaatakować przy mniejszym wysiłku. W tym wypadku nie ulega wątpliwości, że urządzenia drukujące z nieaktualizowanym i "dziurawym" oprogramowaniem staną się łakomym kąskiem i logicznym celem dla hakerów.

W ubiegłym roku Symantec wykrył dwanaście nowych luk w sprzęcie drukującym znanych firm: Brother, Canon, Epson, Fujitsu, HP, Lexmark i Xerox. Dwanaście wydaje się liczbą śmiesznie małą w porównaniu z liczoną w tysiącach liczbą luk wykrywanych corocznie w systemach operacyjnych i aplikacjach, ale nie należy jej lekceważyć.

Co na to producenci

W nowych modelach drukarek i urządzeń wielofunkcyjnych systematycznie rośnie liczba usług i funkcji, czego ubocznym efektem jest zwiększenie liczby potencjalnych luk i błędów w oprogramowaniu. Wyłączenie tych funkcji, choć może zwiększyć bezpieczeństwo, ogranicza możliwości ich zastosowania. Producenci sprzętu wprowadzają mechanizmy filtrowania ruchu, zabezpieczania dostępu do dokumentów i urządzeń, ale znacznie mniej dbają o szybką publikacje łat, a mechanizmy automatycznej aktualizacji są praktycznie niedostępne - z reguły administratorzy muszą ręcznie instalować poprawki.

Dodatkowym problemem jest to, że nie wszystkie modele drukarek umożliwiają aktualizację oprogramowania sterującego ich pracą. W niektórych wersjach urządzeń może to wymagać wymiany sprzętowej pamięci ROM. W efekcie podstawowa i oczywista staje się rada, że dobra konfiguracja mechanizmów zabezpieczeń dostępu i systematyczna instalacja poprawek oprogramowania to podstawowe elementy bezpieczeństwa, o które należy dbać w przypadku urządzeń drukujących, co oznacza dodatkowe i wcale niełatwe i proste zadanie dla administratorów IT.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200