Uwaga - ty drukujesz dokument, oni włamują się do sieci

pik
02.01.2012 14:27
A A A
Ang Cui i Jonathan Voris - Print Me If You Dare.

Ang Cui i Jonathan Voris - Print Me If You Dare. (fot. Youtube)

Na ostatniej konferencji Chaos Communications Congress (28C3) pokazano bardzo ciekawe rozwiązanie - jak za pomocą inżynierii odwrotnej włamać się do drukarki Hewlett-Packard, a z niej do komputera.

Ang Cui, doktorant uniwersytetu Columbia wraz z Jonathanem Vorisem zaprezentował zebranym jak modyfikacja oprogramowania sterującego drukarką (firmware) może stać się furtką do biurowej sieci.

Na początku omówił stosowane w urządzeniach HP firmware, pokazał jak rozpakować pliki z nim i przygotować własne oraz wskazał, które modele drukarek są zagrożone. Oto ich lista:

Lista drukarek HP narażonych na atak wg Anga Cui i Jonathana Vorisa

Zaś w 36 minucie 47 sekundzie prezentacji można zobaczyć, jak Ang Cui przejmuje drukarkę podłączoną do firmowej sieci i ukrytą za firewallem. Niczego nieświadomy pracownik firmy drukuje na niej dokument ze swojego laptopa. W tym momencie przejęta drukarka przesyła jego zawartość przez internet do laptopa hakera i na drukarce Cui pojawia się kopia wydruku.

W drugim przykładzie Ang Cui i Jonathan Voris zdalnie przejmują drukarkę, która skanuje dla nich sieć LAN - za jej pomocą dostają się do komputera, zmieniając go w proxy pozwalające dostać się za firewall i przy okazji wyświetlające zawartość tegoż komputera na laptopie hakera (i pozwalając na niegroźny wybryk - ułożenie penisa z ikonek).

Jak zainstalowano szkodliwe oprogramowanie w drukarce? Nadpisując jej firmware. Można to zrobić albo podłączając się do niej przez sieć, przy pomocy portu 9100 - to rozwiązanie działa to tylko na drukarkach nie ukrytych za firewallem. Wydawałoby się, że nie ma takich wiele. Jednakże Ang Cui przeskanował internet i znalazł 76,995 drukarek, które są w otwartych sieciach, bez firewalla. Z tego 43 należą do rządów, a z tego 16 do amerykańskiego rządu. W internecie można też znaleźć 9 drukarek nazwanych WYPŁATA - wszystkie należą do uniwersytetów.

Drugi sposób to kod dodany do dokumentu, który będzie na niej wydrukowany. Można to zrobić np. z CV, które wyślemy do interesującej nas firmy z nadzieją, że je wydrukują. Ataki nie są możliwe do zablokowania za pomocą procesów potwierdzania autentyczności użytkownika stosowanych w drukarkach.

W dodatku atakujący po nadpisaniu oprogramowania drukarki swoim, może skutecznie zablokować możliwość zrobienia tego ponownie - jeśli się ofiara się zorientuje, pozostaje jej kupić nową drukarkę, bowiem zmienione firmware jest na stałe wgrane na mikrochip nią zarządzający.

Cui dał HP miesiąc na naprawienie błędów i już przygotowano odpowiednią poprawkę. Specjalista namawia wszystkich, by ją zastosowali - dodaje jednak, że odpowiednio zmodyfikowane oprogramowanie może zgłosić przyjęcie i zainstalowanie poprawki, choć tego nie zrobiło.

Polecamy całą prezentację:

[Boing Boing]

Komentarze (14)
Zaloguj się
  • nierobicjaj

    0

    Hmm... a jak to jest możliwe?
    "W dodatku atakujący po nadpisaniu oprogramowania drukarki swoim, może skutecznie zablokować możliwość zrobienia tego ponownie - jeśli się ofiara się zorientuje, pozostaje jej kupić nową drukarkę, bowiem zmienione firmware jest na stałe wgrane na mikrochip nią zarządzający."

    Może to ktoś, znający się na rzeczy, wyjaśnić?
    Bo mi to już wygląda na dziennikarską bzdurę.

  • ffamousffatman

    0

    @tk74zg
    "Co to za bzdury???!!! "Jak miałby tego dokonać z zewnątrz?" Normalnie, wykorzystuje się niezablokowaną przez użytkownika (fabrycznie otwarte) zdalną możliwość (Ach, jakże wygodną!) upgrade'u firmware.

    "Zakładając , że to możliwe można przyjąć, że haker może przejąć dowolne urządzenie"
    Niczego nie trzeba zakładać, tak można złamać zdalnie nawet serwer linuksowy.
    Jest to możliwe.
    A co tu przyjmować?
    Dotyczy dowolnego urządzenia sieciowego.

  • Gość: iddqd

    0

    Ignorancie poczytaj troche, zanim sam zaczniesz wypisywac bzdury. Poszukaj info o CVE-2011-4161

    The Remote Firmware Update (RFU) feature is enabled by default. A firmware update can be sent remotely to port 9100 without authentication. This could allow unauthorized modification of the device firmware. The unauthorized firmware could impact the confidentiality and integrity of data sent to and received from the device. The unauthorized firmware could also cause a Denial of Service (DoS) to the device.

    RESOLUTION
    The following steps can be taken to avoid unauthorized firmware updates:

    •Update the firmware to a version that implements code signing
    •Disable the Remote Firmware Update
    The code signing feature verifies that firmware updates are properly signed. This will prevent the installation of invalid firmware updates.

  • 0

    Co to za bzdury? a jak miałby tego dokonać z zewnątrz : "modyfikacja oprogramowania sterującego drukarką (firmware)"?? Zakładając , że to możliwe można przyjąć, że haker może przejąć dowolne urządzenie, nawet ekspres do kawy :). Jeżeli jest w stanie modyfikować oprogramowanie sterujące danym urządzeniem, może zrobić wszystko. Szkopuł w tym, że nie jest w stanie w łatwy sposób zmodyfikować z zewnątrz takiego firmware.

  • bartek2182

    0

    zawsze haker moze sie wlamac, na to wiekszej rady nie ma, ja drukuje na mojej hp, bo jakosc wysoka i koszty eksploatacji nieskie, i nie mam zamiaru sie przejmowac takim wiadomosciami

Aby ocenić zaloguj się lub zarejestrujX