Популярные принтеры несут угрозу безопасности данных
Экспертный комментарий Дениса Суховея, руководитель департамента развития технологий компании "Аладдин Р.Д."
Производители принтеров не спешат исправлять уязвимости в своих продуктах.
Принтеры прочно вошли в повседневную жизнь, однако нельзя недооценивать угрозу кибербезопасности, которую они представляют. К такому выводу пришли трое ИБ-экспертов из Германии, Йенс Мюллер (Jens Müller), Владислав Младенов (Vladislav Mladenov) и Юрай Соморовски (Juraj Somorovsky).
Исследователи создали инструмент PRET (Printer Exploitation Toolkit) для автоматизации атак на популярные многофункциональные принтеры марок HP, Brother, Lexmark, Dell, Samsung, Konica, OKI и Kyocera с использованием давно известных и недавно обнаруженных уязвимостей. С помощью PRET они осуществляли атаки через USB, локальную сеть и интернет. В качестве вектора атак использовался язык описания страниц PostScript и язык, реализующий уровень контроля заданий и расширенного управления принтером, Printer Job Language (PJL).
Эксперты продемонстрировали, как злоумышленник может получить доступ к энергонезависимой памяти (NVRAM) устройства и получить доступ к конфиденциальной информации, такой как документы, учётные данные и т.д. Более того, уязвимости в популярных многофункциональных принтерах позволяют получить пароли к локальным серверам SMB, FTP, LDAP, SMTP и POP3, поскольку настройки "умных" устройств предусматривают подключение к ним. С помощью других уязвимостей злоумышленник также способен вывести из строя принтер целиком или некоторые его компоненты.
Некоторые проэксплуатированные исследователями проблемы безопасности обнаружены недавно, однако некоторые известны уже давно, но производители не спешат их исправлять.
Официальный комментарий руководителя отдела продуктового маркетинга офисного оборудования компании Xerox Россия Елены Теплушкиной
Борьба с угрозами информационной безопасности — важнейшая задача современных компаний, поскольку промышленный шпионаж может нанести серьёзный удар по бизнесу. Получив доступ к корпоративной сети, конкуренты могут узнать о стратегических планах компании, увидеть документы, которые содержат коммерческую тайну, или похитить новейшие разработки, ещё не запущенные на рынок. Во многих случаях несанкционированный доступ к корпоративной сети и утечку конфиденциальной информации можно предотвратить с помощью административных методов: например, обеспечить мониторинг и фильтрацию трафика, установить жёсткую политику безопасности и отключить поддержку внешних накопителей.
Для борьбы с промышленным шпионажем современное печатное оборудование оснащается средствами шифрования данных, мониторинга сетевой активности, защиты системных файлов МФУ и предотвращения неавторизованного доступа.
Развитие технологий информационной безопасности — ключевой приоритет Xerox. В прошлом году компания обновила платформу Xerox ConnectKey, которая обеспечивает комплексную защиту МФУ от внутренних и внешних угроз в режиме реального времени. В печатных устройствах на базе Xerox ConnectKey по умолчанию используются безопасные протоколы передачи данных, 256-битное шифрование жёсткого диска с автоматической перезаписью, защищённая печать с удалением напечатанных файлов по расписанию, а также защита и шифрование внешних подключений электронной почты. Платформа Xerox ConnectKey интегрирована с передовыми системами безопасности, ранее недоступными для моделей офисного уровня. Технологии McAfee гарантируют обработку на МФУ только безопасных приложений, фрагментов кода и файлов из предварительно заданного "белого списка". Решение McAfee Embedded Control поддерживает целостность встроенного ПО печатных устройств, отслеживая состояние системных файлов и уведомляя о попытках их изменения. Технология McAfee Integrity Control предотвращает запуск неавторизованных программ. Cisco TrustSec обеспечивает комплексную защиту сетей и доступа к важным ресурсам, автоматически распознавая и классифицируя все устройства с поддержкой IP, подключающиеся к корпоративной сети.
Риск утечки информации также можно снизить посредством контроля и ограничения доступа к печати, копированию и сканированию документов. В частности, таким функционалом обладает система YSoft SafeQ, которая отслеживает каждое обращение к печатной технике и формирует отчёты со статистикой, отсортированной по пользователям, подразделениям, проектам и другим параметрам.
Владимир Лебедев, директор по развитию бизнеса Stack Group
Идея атак на периферийные устройства не нова, и данные угрозы всегда несли достаточно неприятные последствия. С одной стороны, принтеры (МФУ) являются устройствами ввода и вывода информации и могут стать целью для похищения конфиденциальной информации путём копирования и передачи третьей стороне распечатываемых документов на самом устройстве или несанкционированного доступа к очереди печати на принт-сервере. С другой стороны, МФУ как сетевые устройства могут являться предметом атак для создания бот-машин и, к примеру, могут участвовать в распределённых атаках отказа в обслуживании (DDOS). Ряд атак может быть направлено на сами устройства с целью нарушения их работоспособности. Так, ещё в эпоху существования матричных принтеров была широко распространена атака на контроллер управления катёткой принтера, которая позволяла позиционировать её в таком месте принтера, где разрушались печатающие головки, и принтер выходил из строя.
Для предотвращения негативных последствий от атак на периферийные устройства подобные источники и объекты атак должны быть включены в модель угроз безопасности, и должны быть оценены соответствующие риски, и приняты меры по их снижению. Большое количество успешных атак реализуются именно на те объекты инфраструктуры компании, которые по тем или иным причинам не были учтены при оценке.
Денис Суховей, руководитель департамента развития технологий, компания "Аладдин Р.Д."
Проблема информационной безопасности в вопросах повсеместного использования периферийной офисной техники только набирает "обороты". Причиной возникновения такой "экзотичной" проблемы является совокупность нескольких заблуждений.
Заблуждение №1: Ментальное представление принтера – как "железного" устройства со специфичной микропрограммой на борту. При этом современные принтеры многофункциональны. Они представляют высокую степень кастомизации и возможность тонкой настройки множества параметров. Все это обеспечивается развитым программным обеспечением, зачастую работающим на ядрах стандартных операционных систем. Таким образом, современный принтер намного больше сопоставим с компьютером, чем с печатной машинкой.
Заблуждение №2: Принтер это внутреннее устройство, на котором не хранится конфиденциальная информация – атаки на принтер нелогичны и неэффективны. В большинстве крупных организаций используются сетевые принтеры. Это удобно и экономично. В такие принтеры направляются не только служебные но и коммерчески-значимые документы, например, квартальные отчёты нескольких коммерческих отделов. Совокупно, такая информация может быть критически важной с точки зрения сохранения её конфиденциальности.
Заблуждение №3: Принтер это маломощное и низкопроизводительное устройство. Использование принтера для реализации атак на другие ресурсы невозможно или малоэффективно. Однако по различным исследованиям 80% рабочего времени среднестатистический принтер простаивает (работает в режиме ожидания), все ресурсы в этом режиме высвобождены и могут быть использованы злоумышленником.
Таким образом, парк принтеров любой организации может стать очень удобным плацдармом для осуществления атак как на внутренние ресурсы самой организации (владелец принтеров), так и на внешние объекты. Спектр последствий от реализации таких атак самый широкий – от репутационных провалов организации до потери коммерческих преимуществ на своих рынках.
На мой взгляд, подобные виды угроз проходят первую фазу коммерциализации и на текущий момент представлены в глобальных масштабах применения. Преступные группы активно использую принтеры различных организаций для наращивания мощности своих бот-сетей. При этом современные тенденции, например стремительное развитие интернета вещей, значительно расширяют базу устройств, на которые можно установить вредоносное обеспечение. Второй фазой является ресурсная диверсификация – использование для реализации угроз широкого спектра различных периферийных устройств. Принтеры - это только начало!