Принтер – самое слабое звено информационной безопасности

Стоит ли говорить, что информационную безопасность предприятия никогда нельзя настроить «раз и навсегда»? Враг не дремлет, ищет новые пути, совершенствует свой инструментарий. Тем более угрозы множатся в наше нестабильное время, когда соблазн получить дополнительных доход для хороших, но безработных специалистов, велик как никогда.

 

 

 

На форуме DLP-Эксперт, все участники были едины во мнении, что практически без внимания служб информационной безопасности в организациях остаются «невинные» устройства, такие как принтеры, сканеры, МФУ, факсы и копировальные аппараты. А ведь они уже давно не являются примитивными железками. У всех у них есть свой процессор, память, операционная система; у многих – жесткий диск и сетевой интерфейс.

 

По мнению Александра Глотова, руководителя отдела продуктового маркетинга офисного оборудования Xerox Russia, «Эксперты уже достаточно давно призывают рассматривать МФУ как полноценный сервер, и подходить к проблеме обеспечения его безопасности соответствующим образом». Он говорит, что довольно часто приходится сталкиваться с ситуацией, когда ни служба ИТ, ни служба безопасности не уделяют вопросам эксплуатации печатающих устройств почти никакого внимания. И в таком случае страдает не только безопасность, но и функциональность: многие возможности МФУ просто не используются, хотя и могли бы.

Но не только пользователи недооценивают уязвимость периферийных устройств: мнение производителей также не всегда неоднозначно. Одни считают потенциальные риски небольшими. Другие – приводят конкретные примеры уязвимостей и делятся опытом о происходивших атаках.

 

По мнению технического специалиста представительства Brother в России и странах СНГ, Сергея Серегина: «как перехват информации, так и нарушение работоспособности устройства являются нецелесообразными, т.к. усилия, затраченные на перехват этой информации, в большинстве случаев будут несоизмеримо больше, нежели ценность полученных данных».

 

 

Артемий Васюков, системный инженер представительства Lexmark в СНГ и странах Балтии, также считает, что угрозы, связанные с МФУ невелики: «чтобы совершить полномасштабную атаку на принтер или МФУ нужно как минимум знать, на какой процессорной архитектуре он работает и иметь нужные программные средства разработки именно под эту архитектуру. Но даже если злоумышленник имеет этот критически "необходимый минимум" (который получить совсем не просто), то это еще не означает, что он сможет добиться успеха и получить, например, "вирус для всех Lexmark'ов": его ждет очень много "сюрпризов", касающихся вопросов бинарной совместимости, отладки (в принтер не залезешь дизассемблером или отладчиком) и практически слепого поиска уязвимости... Таким образом, злоумышленник, вложив колоссальные трудозатраты во взлом системы, получит сомнительную выгоду, так как устройств, где уязвимость будет гарантированно работать, будет слишком мало».

 

Да, можно согласиться с тем, что для большинства офисов более приоритетным остается вопрос сохранности данных системы, хранящихся в базе на серверах и локальных рабочих станциях. Зачастую информация, уходящая на принтер или принт-сервер, взывает небольшой интерес со стороны злоумышленников, тем более что сетевые принтеры и МФУ в России намного реже распространены, чем их локальные собратья. Тем не менее, существуют отрасли, где безопасность устройств печати является критичной. Достаточно вспомнить, что любая техника, поставляемая в места печати конфиденциальных документов, проходит спецпроверку на наличие в ней незадокументированных средств передачи данных. После проверки техника опечатывается и получает сертификат на допуск к печати конфиденциальных сведений.

 

Сергей Лебедев, менеджер по обучению представительства OKI, замечает: «Сам факт существования такой проверки однозначно даёт возможность предположить, что случаи оснащения печатающего оборудования следящими устройствами когда-то были зафиксированы».

 

Действительно, в России нет статистики по утечкам данных через принтеры и МФУ, поскольку зафиксированные случаи единичны. Но это не значит, что их на самом деле было мало. Вспоминается упомянутый уже форум DLP,  на котором участники в один голос говорили, что корпоративный сегмент часто не готов по тем или иным причинам, оглашать произошедшие утечки данных, так как считается, что инциденты отрицательно скажутся на имидже компании. Тем более заметить, что устройство было подвержено атаке, невозможно, если вопрос о его безопасности не рассматривается в принципе.

Александр Глотов поделился воспоминанием об обнаруженной в 2006 году уязвимости встроенного ПО для Xerox серии 2XX. Она была обнаружена Бренданом О’Коннором, экспертом по безопасности одной из американских финансовых компаний, и он сделал на эту тему доклад на конференции Black Hat. Правда нужно отдать должное г-ну О’Коннору, за то, что перед публичным заявлением он проинформировал Xerox и дал возможность выпустить обновленную версию уязвимого приложения и даже выложить ее на свой сайт.

 

 

В своей книге "Мифы и заблуждения информационной безопасности" Алексей Лукацкий, менеджер по развитию Cisco Systems, рассказывает о другом, сравнительно недавнем случае: «23 октября 2008 года компания Digital Defense обнаружила, что во встроенном в принтеры HP Web-сервере, требуемом для удаленного управления, существует возможность доступа к различным файлам, хранящимся на уязвимом принтере. Это могут быть как файлы конфигурации, так и кэшированные напечатанные документы, содержащие в т.ч. и конфиденциальную информацию. HP поместила на своем сайте рекомендации по борьбе с этой проблемой».

 

Если не брать во внимание последний пример и случаи с доступом к файлам, хранящимся не только на принтере, но и на ПК и серверах, возникающие довольно редко, то угрозы можно разделить на два типа. Во-первых, это утечки информации, так или иначе посланной на принтер или сканируемой на компьютер; во-вторых, это угроза потери контроля над принтером/МФУ: спам, выход из строя, смена настроек.

В первую категорию входят - перехват данных по сети, перехват напечатанных документов, использование документов в памяти и на жестком диске, отправка данных себе на электронный ящик.

 

Среди способов перехвата документов, отправленных на печать, есть и экзотические. Например, все данные, печатаемые на лазерных принтерах, можно фиксировать на небольшом удалении от устройства, без непосредственного подключения к нему. Лазерный диод, работающий в лазерном принтере в качестве источника света, излучает серии последовательных световых импульсов (лазерный луч), которые доходя до поверхности фотобарабана, создают на нём электростатическое изображение. Однако, как и любое другое электронное устройство, лазерный диод излучает не только в своём рабочем диапазоне, но и в радиодиапазоне, являясь, фактически, радиопередатчиком. То есть каждой точке, которую принтер ставит на бумаге, соответствует радиоимпульс на определённой частоте с известным набором параметров. Используя современную технику, эти импульсы можно принять, передать в компьютер и восстановить по точкам печатаемое принтером изображение. Эта уязвимость лазерных принтеров хорошо известна в спецслужбах, которые вынуждены использовать дополнительные меры защиты принтеров, работающих с закрытой информацией.

 

Рассматривая этот пример, Сергей Лебедев заявляет, что принтеры, работающие на светодиодной линейке (как например OKI) лишены данного недостатка: «В них вместо лазерного диода используется неподвижная светодиодная линейка, работающая не в последовательном, а в параллельном режиме. При создании изображения одновременно вспыхивают тысячи отдельных источников света, создавая в эфире радиошум, расшифровать который невозможно ни какими средствами. Такие принтеры есть возможность устанавливать на рабочем столе, не опасаясь удалённого перехвата печатаемой информации».

 

Что касается потери контроля над устройством печати, то этот вид угроз, пожалуй, действительно малоинтересен серьезным злоумышленникам. Прорехи в защите управления принтерами и МФУ используются, как правило, не профессионалами, а любителями, забавы ради. Потери от таких действий могут быть как малозначительными (печать нескольких страниц со спам-рекламой), так и дорогостоящими (вплоть до выведения из строя всего устройства DoS-атакой или загрузкой новой прошивки и прерывания этого процесса на полпути).

 

Основной причиной, делающей принтеры и МФУ потенциально опасными с точки зрения ИБ предприятия, состоит в том, что специалисты ИБ просто недооценивают всю сложность проблемы и ее опасность. Например, известная возможность поисковика Google искать части адресных строк дает возможность получить список видимых в Интернет принтеров и МФУ, настройки которых можете изучать, и которыми вы можете управлять, подобрав пароль. Это не так сложно. А недооценка данной тематики в организации часто приводит к тому, что пароли, заданные по умолчанию (и указанные в инструкции пользователя) просто не меняются.

 

Достаточно ввести inurl:"printer/main.html", и вы получите список устройств Brother. А с помощью строчек inurl:"port_255" –htm, или inurl:hp/device/this.LCDispatcher или intitle:"web image monitor", вы получите аналогичные списки Lexmark, HP и Ricoh соответственно.

 

Чтобы закрыть такие простые лазейки и избежать досадных потерь, производители рекомендуют пользователям следовать ряду элементарных правил, являющихся простыми и бесплатными средствами обеспечения безопасности.

 

Алексей Лукацкий советует настроить SNMP так, чтобы усложнить использование этого протокола для получения дополнительной информации об устройстве или манипулирования им. Списки контроля доступа на принтере должны быть настроены так, чтобы к нему могли подключаться только заранее определенные адреса. Если нет серьезной потребности в Web-сервере на принтере, то необходимо его отключить. По возможности поместите принтер за фильтрующим устройством (это может быть IPS или межсетевой экран), которое будет дополнительно смотреть, кто и как пытается получить к нему доступ. Необходимо регулярно обновлять ПО принтера и следовать рекомендациям его производителя (если он думает об информационной безопасности своей продукции).

 

Артемий Васюков рекомендует, в случае если у вас маленькая локальная сеть, просто закрыть доступ к настройкам устройства паролем. Если сеть большая – внедрить LDAP-сервер (не обязательно использовать для этой цели именно Microsoft Active Directory), по возможности ограничить все, что только можно и задуматься о собственных SSL-сертификатах. Пароли следует использовать везде, где только можно и желательно не такие простые, как "12345" или "qwerty". Он также советует уничтожать все отпечатанные черновики, а не хранить их у себя на рабочем столе пачками. Кроме того, Артемий предлагает исключить возможность использования оборудования вне рабочего времени и отключить все ненужные для конкретной сети компании порты и протоколы. А если на принтере или МФУ есть жесткий диск, то имеет смысл поинтересоваться у производителя возможностями шифрования его содержимого.

 

Говоря об уже напечатанных документах, оставленных без присмотра, Сергей Серегин напоминает об уже давно существующем у всех производителей решении ‘конфиденциальной печати’. Устройства с этой технологией начинают печать документов только в тот момент, когда пользователь, отправивший задание на печать, подойдет непосредственно к принтеру и введет пароль.

 

 

В заключение статьи хочется заметить: ее цель еще раз обратить внимание информационных служб предприятий на такие, казалось бы, «невинные» периферийные устройства, как принтеры, МФУ, сканеры и факсы. Неисполнение простых правил может привести к неприятным последствиям. Обеспечение безопасности устройств печати не требует почти никаких затрат, и реализуется очень просто. Говоря попросту, каждое печатающее устройство уязвимо ровно настолько, насколько это допускает системный администратор компании.

 

Автор: Александр Голощапов

computerra.ru