Drukarka może być najsłabszym ogniwem bezpieczeństwa twojej firmy

Z punktu widzenia bezpieczeństwa IT, im mniej urządzeń ma mikroprocesor, tym lepiej. Im mniej ma połączenie z siecią, tym również lepiej. Niestety, powoli tracimy kontrolę nad tym, które z otaczających nas sprzętów jest urządzeniem inteligentnym. Rozejrzyjmy się wokół siebie: prawdopodobnie jesteśmy w stanie zidentyfikować kilka, o ile nie kilkanaście urządzeń, które mogą bez naszej wiedzy łączyć się z Internetem. Telefony, tablety, telewizory, termostaty, zabawki dziecięce, dekodery kablówki, a nawet pralki.

Drukarki zazwyczaj pozostają pod radarem. Przecież to urządzenia do drukowania, służą do tego, aby przelać nasze dokumenty lub zdjęcia na papier. Tymczasem drukarki, podobnie jak większość innych współczesnych sprzętów, to dziś urządzenia w pełni zintegrowane z siecią. Zauważyliście, że nie potrzebujemy już komputera, który służy jako serwer wydruku? Właśnie dlatego, że typowa współczesna drukarka jest równocześnie serwerem wydruku, jak i serwerem WWW, i prawdopodobnie też routerem.

Wszystkie niebezpieczeństwa jakie są z tym związane, dotyczą również twoich drukarek. Podatne są na przejęcia, ataki typu DDoS (denial of service) oraz na użycie w armii botów, służących do organizowania kolejnych ataków. Jeśli nie zadbasz o bezpieczeństwo tych powszechnych w każdym biurze urządzeń, może się okazać, że są one najsłabszym ogniwem bezpieczeństwa twojej infrastruktury IT.

Pierwszym krokiem do zapewnienia sobie bezpieczeństwa od strony urządzeń inteligentnych jest uświadomienie sobie jednego. To nie drukarki są celem takich ataków. Drukarki są jedynie metodą to dostanie się do twojej sieci i do przejęcia innych zasobów. Na przykład dokumentów, które aktualnie znajdują się w kolejce do wydruku.

Tak - sprawa może być tak prosta. Nawet bez możliwości otrzymania dostępu do sieci w której jest drukarka, mamy po prostu dostęp do dokumentów. Prawdopodobnie zdarzyło ci się biec do drukarki, aby nikt nie zobaczył twojego poufnego dokumentu? Jeśli nie zabezpieczyłeś samego systemu drukarki, może się okazać, że i tak nie zdążyłeś.

A może nie masz nic do ukrycia? Mimo to twoje urządzenia inteligentne tworzące tzw. internet rzeczy (IoT) nadal są łakomym kąskiem. Mogą być użyte przez hakerów do zorkiestrowania ataku DDoS lub do budowy botnetu zajmującego się na przykład rozsyłaniem spamowych wiadomości.

Jak podają analitycy bezpieczeństwa, mimo iż sama koncepcja urządzeń IoT jest szlachetna - dzięki nim duża część infrastruktury informatycznej jest tańsza i mniej złożona - to jest to obszar najgorzej zabezpieczony we współczesnych systemach. Wynika to z innego myślenia na temat tego typu urządzeń. O ile komputery użytkowników i serwery podlegają usprawnieniom i aktualizacjom oprogramowania, to o drukarkach czy kamerach przemysłowych zwykliśmy myśleć jako o urządzeniach, które instaluje się raz, a następnie o nich zapomina. W dobie urządzeń inteligentnych i połączonych takie myślenie traci rację bytu! Niestety, większość użytkowników takich urządzeń nie ma żadnej metody na weryfikację czy zostały one przejęte, czy też nie.

O atakach za pomocą IoT zaczęto mówić głośno pod koniec 2016 roku, gdy okazało się że to właśnie takie urządzenia przejęte przez hakerów mogą być odpowiedzialne za awarie systemów DNS, które spowodowały brak dostępności takich stron jak Amazon czy Twitter.

Dziś podejrzewa się, że dokonano tego za pomocą ataku DDoD (distributed denial of service) w którym główną rolę mogły odegrać urządzenia inteligentne, w tym drukarki. Ataki tego typu są szczególnie łatwe do przeprowadzenia za pomocą urządzeń IoT. Wystarczy tak zmodyfikować system danego urządzenia, aby podać adres atakowanego serwera jako np. serwera aktualizacji. Jeśli będziemy mieli takich urządzeń setki tysięcy - serwer może takiego obciążenia nie wytrzymać.

W marcu 2016 roku miał miejsce atak skierowany właśnie na drukarki udostępnione (świadomie lub nie) przez Internet. Tysiące takich drukarek stojących w uczelniach, firmach, urzędach i domach prywatnych zaczęło drukować antysemickie odezwy, ilustrowane rysunkami swastyk. Oprócz drukarek, atek objął też podłączone do internetu faksy.

Do ataku przyznał się “hacktywista” Andrew Auernheimer, który na Twitterze pochwalił się, że jego “broniący białych” esej drukowany jest właśnie przez tysiące drukarek na godzinę.

Tego typu wydruk, odpowiednio wycelowany w miejscu i czasie, może doprowadzić do kompromitacji kontrahenta lub zerwania negocjacji biznesowych.

Tego typu ataki są tematem nowej kampanii firmy HP mającej na celu uświadomienie użytkownikom zajmującym się bezpieczeństwem infrastruktury IT konieczność zabezpieczenia urządzeń inteligentnych. Mimo że promujący akcję krótki film z Christianem Slaterem The Wolf jest utrzymany w lekkim i nieco ironicznym tonie, to jego konkluzja może spędzić sen z powiek osobie odpowiedzialnej za bezpieczeństwo. Wynika bowiem z niego, że jedynie 2% drukarek znajdujących się w użyciu jest systemowo zabezpieczona przed atakami.

Jak wskazuje raport stworzony przez HP, nie wystarcza już zabezpieczenie za pomocą firewalli w sieciach lokalnych. Nie wystarczy też używanie programów antywirusowych i anty-malware umieszczonych na serwerach czy na komputerach użytkowników. Konieczny jest kolejny krok jakim jest zabezpieczenie urządzeń (w tym drukarek) i komputerów na poziomie firmware i BIOS. Dzięki tego typu zabezpieczeniu możemy uniemożliwić modyfikację systemu operacyjnego urządzenia - udaremniając w ten sposób m.in. próby ataków typu DDoS.

Pracujący w DARPA Michael Walker powiedział w wywiadzie dla New York Times:

Jedną z firm, które postanowiły edukować opinię publiczną na temat zabezpieczeń drukarek i innych urządzeń jest HP. Na ich poświęconej bezpieczeństwie wydruku stronie wymienione są najczęstsze skutki lub bezpieczeństwa związanych z drukarkami:

Przeglądając udostępnione przez HP dokumenty, możemy dokonać szybkiej oceny istniejącej infrastruktury pod kątem bezpieczeństwa, i podjąć odpowiednie decyzje. Nie musimy wcale kupować nowych drukarek - wystarczy odpowiednie zabezpieczenie i aktualizacja istniejących w firmie systemów. Poświęcony na to czas zwróci się w dwójnasób, chroniąc organizację przed kompromitacją lub utratą danych własnych i klientów.