CC BY
72
УДК 004.056.57
А Б. Гольцова, А. Р. Касимова, Л. Х. Мифтахова
АНАЛИЗ МНОГОФУНКЦИОНАЛЬНЫХ УСТРОЙСТВ (МФУ) С ТОЧКИ ЗРЕНИЯ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К КОМПЬЮТЕРНОЙ СИСТЕМЕ
Ключевые слова: многофункциональное устройство, несанкционированный доступ, компьютерная система.
В статье рассматривается многофункциональное устройство как канал утечки информации или несанкционированного доступа. Проведен анализ имеющихся источников и приведены основные методы атаки на корпоративные сети с использованием многофункциональных устройств и направления ликвидации таких уязвимостей. Приведены основные правила для защиты многофункционального устройства от несанкционированного доступа.
Keywords: multi-function device, unauthorized access, computer system.
In this article multi-function devices are analyze as the chance to have an unauthorized access. The article describes the basic methods of attacks on corporate networks using multi-function devices, and towards the elimination of such vulnerabilities. Some simple rules are take part and use to protect multi-function devices from an unauthorized access.
Введение
Многофункциональные принтеры являются неотъемлемой частью как гигантских корпораций, так и мелких предприятий. Они уже стали своего рода периферийной частью персонального компьютера наравне с мышью и клавиатурой, без которых невозможно представить работу современного офисного клерка.
Однако именно МФУ может стать каналом утечки важной информации или несанкционированного доступа наравне с сервером, ПК или ноутбуком. При этом защиты требует не только само МФУ от несанкционированного доступа к его функциям и сохранившимся документам в памяти, но и компания, в которой многофункциональное устройство может стать причиной распространения опасных вирусов или участником бот-сети.
Аналитический центр InfoWateh предложил респондентам указать самые распространенные каналы утечки информации (рис. 1). Отвечая на данный вопрос, респонденты почти полностью повторили результаты общеотраслевого
исследования: мобильные накопители (84%), электронная почта (78%) и Интернет (66%). Однако далее следуют печатающие устройства (42%) [4].
Другае
Рис. 1 - Каналы утечки информации
Дерал Хайланд, консультант по безопасности компании Rapid7, побывал в компании из 1000 сотрудников, у которой имеется собственный парк многофункциональных устройств уровня
business/enterprise. По его словам, на протяжении 4050% времени, когда они включены, существует возможность добывать учетные данные ActiveDirectory для получения более высокого уровня доступа. Многие пользователи и не подозревают, что МФУ могут хранить пароли в адресных книгах. Данные, которые можно извлечь изпамяти МФУ, включают отслеживание использования и действий МФУ, отсканированные файлы, электронные письма иучетные данные LDAP [6].
Таким образом, можно прийти к выводу, что МФУ подлежат неотъемлемой защите наравне с персональными компьютерами и сетями. В представленной статье авторы рассматривают МФУ с точки зрения возможной киберугрозы для крупных предприятий и государственных учреждений.
Основная часть
На сайте такого мирового гиганта в области информационных технологий и кибернетики как Hewlett Packard можно найти информацию об уязвимости некоторых моделей ряда HP LaserJet, позволяющую злоумышленнику получить доступ к файлам компьютера, к которому присоединено данноеМФУ. У данного факта есть только один немаловажный аспект - настройки программного обеспечения данного МФУ должны оставаться по умолчанию. В противном случае проникнуть к данным компьютера будет невозможно [1].
Многофункциональные устройства,
подключенные к сети это очень удобно - можно печатать документы с любого ПК. Однако именно такие устройства, не защищенные брандмауэром, становятся уязвимыми для атак хакеров. Это подтвердил и подробно расписал в своем блоге известный испанский хакер Себастьян Гуерреро из компании ViaForensics. Он обнародовал ряд уязвимостей в технологии JetDirect. Именно они позволяют хакерам использовать эксплойты, которые приводят оборудование к выходу из строя или
открываот доступ к истории ранее отпечатанных документов. Список производителей, выпускающих многофункциональные устройства с поддержкой JetDirect: Canon, Fujitsu, HP, KonicaMinolta, Lexmark, Xerox, Sharp, Kodak, Brother, Samsung, Toshiba, Ricoh, KyoceraMita, Lanier, Gestetner, Infotek, OCE, OKI. Другими словами, уязвимость присутствует в миллионах МФУ, установленных по всему миру [2].
В конце 2011 года профессор Сальваторе Стольфо из Колумбийского Университета в Нью-Йорке и его студенты-помощники доказали, а главное демонстрационно показали, как можно удаленно перепрограммировать многофункциональное
устройство линейки HP через специальные «задания печать». В эти задания вносится операционный управляющий код, который стирает несущую прошивку и устанавливает за место неё новую, которую загружает через сеть. Дальнейшая демонстрация включала в себя три основных вида атаки через МФУ [3]:
1. Прошивка устройства была построена таким образом, что каждый документ, который печатался на нем, дублировался и отсылался на определенный email, который задали экспериментаторы, с условием, что процесс был скрыт от пользователей и лишен уведомления. Данная проблема особо актуальна для секретного делопроизводства.
2. Использование МФУ в качестве опорной точки для дальнейшего проникновения в локальную сеть. Использовался так называемый тип атаки «Маскарад». В результате данной работы создавался туннель между интернетом и локальной сетью и при дальнейшем использовании дистрибутива BackTrack экспериментатор может сломать рабочую станцию внутри локальной сети. А значит, злоумышленник получает консоль с правами администратора на целевом компьютере.
3. Нарушение целостности МФУ - не главная задача злоумышленника, однако порой, используемая для создания чрезвычайного происшествия. Прошивка многофункционального устройства строится таким образом, что запускается вечный цикл. Это приводит к тому, что взломанное устройство непрерывно нагревает свой термоэлемент, что, в конечном итоге, приводит к возникновению задымления и пожара.
Сотрудники компании iTrust, исследовательского центра по кибербезопасности при Сингапурском университете технологий и дизайна (SUTD), придумали способ перехвата сигналов беспроводного МФУ при помощи закрепленного на дроне смартфона.
Изначально система iTrust разрабатывалась для предприятий как недорогой способ проверки безопасности используемых Wi-Fi-сетей, но в процессе работы над проектом исследователи обнаружили, что их разработка может также использоваться в преступных целях.
На первом этапе пользователь отправляет запрос МФУ на печать документов (рис.2). Далее идет процесс печати. В это время злоумышленник подключается к беспроводному идентификаторуМФУ SSID с помощью мобильного приложения
Cybersecurity Patrol, открывая у себя аналог многофункционального устройства. Происходит это потому, что iTrust системы поставляются с открытым по умолчанию Wi-Fi-подключением и многие компании попросту забывают закрыть эту «дыру» при подключении устройства к сетям Wi-Fi. Далее мобильное приложение злоумышленника, подключенное к дрону, собирает печатную работу и отправляет его в облако хранения атакующего. И теперь напечатанные документы оказываются в руках злоумышленников [5].
Рис. 2 - Схема способа перехвата сигнала беспроводного МФУ
Методы защиты
На взгляд авторов статьи, существуют несколько простых и общедоступных правил, которые помогут обезопасить себя и свою организацию от несанкционированного доступа к информации и различных неприятных инцидентов:
1. Собственноручная перепрошивка многофункционального устройства. После выхода любой новой прошивки в ней могут оставаться многие проблемы с безопасностью и, как правило, исправляются они разработчиками достаточно медленно. Используя собственноручную перепрошивку, можно закрыть самые уязвимые дыры в обновлении. Фирменные утилиты для этого присутствуют на сайтах разработчиков. Узнать свой текущий номер прошивки можно через telnet-сеанс, введя там команду текущих настроек «/», в первой же ответной строке и будет указана её версия. Например:
> /
===JetDirect Telnet Configuration=== Firmware Rev.: H.08.32
2. Установка собственного, сложного telnet-пароля к МФУ.
3. Настройка запрета доступа к многофункциональным устройствам на шлюзе из внешних сетей. Доступ нужно запретить как на вход пакетов на адрес сетевого МФУ, так и на отправку пакетов с его адреса вовне. Необходимо при возможности использовать стандартные ихорошо проверенные схемы обеспечения безопасности по взаимодействию с внешним устройством, например, такие как DMZ или ReverseProxy.
4. Настройка правила доступа ACL на самом МФУ через его штатное меню. Так осуществляется запрет доступа к МФУ отовсюду, далее нужно предоставить доступ лишь к требуемым рабочим станциям и к главному контроллеру домена в локальной сети.
5. Отключение на МФУ всех дополнительных сервисовсо штатной web-панели управления МФУ. В самом крайнем случае, можно включить доступ к управляющей web-панели исключительно по протоколу SSL/TLS. Пример подобных настроек:
ews-config: 0 ipp-printing:0 ftp-printing:0 ftp-config:0 lpd-printing: slp-config:0 ipx/spx:0 dlc/llc:0 snmp-config:0 dhcp-config:0 9100-printing:1 ssl-state:1.
6. Отключение встроенного Wi-Fi или, как альтернатива, сложный пароль на него и одновременное понижение уровня мощности сигнала до минимума.
7. Никогда не сохранятьв МФУ каких-либо значимых паролей для его интеграции с возможностями локальной сети. Обычный и штатный экспорт в резервное копирование всех настроек МФУ позволяет получить все пароли, потому как в резервном копированииони почти всегда хранятся в виде открытого текста. Например:
mfp.email.replyAddress postmaster@acmewidget.com mfp.email.subject "Scanned from PRINTZ"
mfp.email.message "Please see attachment."
mfp.email.attachmentType "0" mfp.email.webLinkServer "" mfp.email.webLinkLogin "" mfp.email.webLinkPassword "" mfp.email.webLinkFileName "image" mfp.email.webLinkURL "" mfp.email.webLinkPath "/"
mfp.networkScan.enableFTP "true" mfp.email.smtp.username "LexMarkADM" mfp.email.smtp.password "W1dg3t99" mfp.email.smtp.authenticationRequired
"4"
Выводы
Время не стоит на месте, технологии развиваются, а злоумышленники находят все более изощренные способы нарушения целостности,
конфиденциальности и доступности информации. Очевидно, что предусмотреть все невозможно, но обеспечение безопасности информации является неотъемлемой частью службы безопасности предприятия. Соблюдая простые правила политики безопасности предприятия и рекомендации специалистов можно в значительной степени снизить чрезвычайные происшествия, связанные с утерей, кражей, искажением информации в компьютерной системе в целом.
Литература
1. Лукацкий, А.В. Принтеры не надо защищать/ А.В. Лукацкий// Мифы и заблуждения информационной безопасности. - Москва, 2009. - С. 51-53.
2. БрэдЧакос. Самые странные и шокирующие уязвимости:[Электронный ресурс]// Эксплойты и принтеры. 2013. №07. URL:http://www.osp.ru/pcworld/2013/07/13036189/.
3. Савчук Игорь. Принтер как источник угроз:[Электронный ресурс] // Принтеры в огне. 2012. URL: http://blogerator.ru/page/bezopasnost-i-zashhita-setevogo-printera-mfu.
4. Алексей Доля. Угрозы информационной безопасности в России: [Электронный ресурс]// Cnewsаналитика. 2007. URL:
http://www.cnews.ru/reviews/free/gov2007/articles/inner_dan ger.shtml
5. Владимир Скрипин. Исследователи продемонстрировали способ взлома беспроводных принтеров с помощью закрепленного на дроне смартфона:[Электронный ресурс] // ITCua. 2015. URL: http://itc.ua/news/issledovateli-prodemonstrirovali-sposob-vzloma-besprovodnyih-printerov-s-pomoshhyu-zakreplennogo-na-drone-smartfona/
6. Новая печатающая техника более уязвима для взлома: [Электронный ресурс]// Компьютерное обозрение. IT для бизнеса. Киев, 1998 -2016. URL: http ://ko .com. ua/novaya_pechatayushhaya_tehnika_bo le e_uyazvima_dlya_vzloma_106524
© А. Б. Гольцова - студент 3 курса кафедры информационной безопасности KHHTy,alex-goltsova@mail.ru; А. Р. Касимова -магистрант первого года обучения кафедры «Оборудование химических заводов» КНИТУ, alinakasimova20@gmail.com; Л. Х. Мифтахова - старший преподаватель кафедры информационной безопасности KHHTy,lina_miftahova@mail.ru.
© A. B. Goltsova - 1231-13 student of Information Security Department of Kazan National Research Technological University, alex-goltsova@mail.ru; A. R. Kasimova—master degree student at the Department of Equipment for chemical plantsof Kazan National Research Technological University, alinakasimova20@gmail.com; L. H. Miftahova - senior lecturer of the department of information security of Kazan National Research Technological University, lina_miftahova@mail.ru.
