Alfonso Maruccia

HP, stampanti a rischio intrusione

VulnerabilitÓ per certe stampanti laser marchiate HP: sono dispositivi suscettibili all'installazione di firmware malevoli e potrebbero persino prendere fuoco se istruite da remoto. HP contiene l'allarme

Roma - I ricercatori dell'Intrusion Detection Systems Lab presso la Columbia University hanno reso nota l'esistenza di una falla presente all'interno di certe stampanti LaserJet di HP, potenzialmente in grado di permettere l'installazione di software malevolo o (peggio ancora) spingere la stampante stessa a prendere fuoco con istruzioni impartite da remoto.

Il team del professor Salvatore Stolfo è specializzato nel dare la caccia alle vulnerabilità presenti nei sistemi embedded, e per quanto riguarda le stampanti HP le attenzioni dei ricercatori USA si sono focalizzate sui firmware integrati in dispositivi che da anni fanno molto più che stampare potendo comunicare in rete, ricevere email e sfoggiare un proprio indirizzo IP nella Intranet locale.

Sfruttando la vulnerabilità identificata dal team statunitense, un malintenzionato potrebbe istruire la stampante all'installazione di un update non ufficiale al firmware già montato contenente ogni genere di istruzione malevola, compresa quella di riscaldare la testina di stampa ben oltre i limiti consentiti mandando a fuoco le plastiche della stampante.


La vulnerabilità software scovata nei firmware delle LaserJet HP sarebbe insomma potenzialmente in grado di portare al danneggiamento dell'hardware sottostante, un problema da non sottovalutare considerando i milioni di esemplari di stampanti HP funzionanti negli uffici e negli ambienti domestici di ogni parte del mondo.

Il problema è serio ma a parere di Hewlett-Packard l'allarme è esagerato: il colosso statunitense non ha tardato a fornire una risposta ufficiale al lavoro di ricerca portato a termine dalla Columbia University, sostenendo che "nessun cliente ha riferito di accessi non autorizzati" e "le speculazioni riguardo il potenziale incendio dei dispositivi a causa di una modifica del firmware sono false".

Gli eventuali malintenzionati non riuscirebbero comunque a bypassare l'"interruttore termico" che spegne la stampante in caso di surriscaldamento, rassicura HP, e per quanto riguarda la vulnerabilità nel firmware l'azienda è al lavoro per un upgrade - questa volta legittimo - in grado (augurabilmente) di metterci una pezza.

Alfonso Maruccia
Notizie collegate
  • AttualitàTutti contro le stampanti-spiaUn gruppo di ricerca del Computing Culture del MIT ha dato vita alla campagna che potrebbe rendere finalmente palese a tutti l'inserimento di marcatori antiprivacy nelle pagine stampate dagli utenti
  • TecnologiaIl futuro di webOS è sulle stampanti. O altroveL'OS Palm potrebbe sopravvivere su altri dispositivi o nelle mani di un partner interessato. Nel frattempo gli sviluppatori si aggrappano al salvagente Microsoft
  • SicurezzaFBI: nessun attacco all'acquedottoLe autoritÓ federali negano l'esistenza di un cyber-attacco proveniente dall'esterno contraddicendo i rapporti diffusi inizialmente. Nello scontro tra diverse versioni gli esperti avvertono: stiamo perdendo tempo prezioso
20 Commenti alla Notizia HP, stampanti a rischio intrusione
Ordina
  • basta tenere la stampante accesa solo quando la si usa e il resto tutte cavolate.

    cominceranno a uscire film della serie la notte delle stampanti viventi, hp e la morte nera, cartucce demoniache etc...
  • - Scritto da: iupiter
    > basta tenere la stampante accesa solo quando la
    > si usa e il resto tutte cavolate.

    Stai parlando della tua cameretta o dell'openspace da cento impiegati ?


    > cominceranno a uscire film della serie la notte
    > delle stampanti viventi, hp e la morte nera,
    > cartucce demoniache etc...
    krane
    22544
  • quelli dell'openspace meritano di andare a fuoco.comunque la mia cameretta e' piu' grande di tutta casa tua man.
  • - Scritto da: iupiter
    > quelli dell'openspace meritano di andare a
    > fuoco.comunque la mia cameretta e' piu' grande di
    > tutta casa tua man.

    BOOOOMMMMM!!!!!
    non+autenticato
  • Basterebbe che la procedura di aggiornamento del firmware verificasse la firma digitale.

    Ma naturalmente queste soluzioni abbastanza ovvie le mettiamo in campo solo quando si tratta di rompere inutilmente le 00 ai clienti col DRM e il tentativo di lock-in.

    Per nostra fortuna e loro sfortuna però in quel caso nonostante la apparente similitudine dei due casi quando si tratta di bootloader+os+aplicazioni+devices e relativi drivers la cosa diventa più complicata... e qualche buchetto in cui infilarsi rimane sempre.
    non+autenticato
  • Ho guardato il video. Salvatore Stolfo (!!!) dice chiaramente che la stampante non puo' arrivare al punto di prendere fuoco perche' c'e' un sensore termico che la spegne prima che possa succedere. Non vedo quindi dove sia la falsità (secondo HP) in quanto divulgato.
    Non so voi, ma anche se in fondo il problema di sicurezza derivante dal potere aggiornare un firmware semplicemente inviando una coda di stampa è piuttosto ovvio come pure l'intento di questi ricercatori di attirare l'attenzione sulla loro ricerca, questo video è stato un "eye opener".
    non+autenticato
  • E se il sensore termico fosse gestito dallo stesso firmware? Quanto ci metti a bypassarlo?
    Wolf01
    3342
  • - Scritto da: Wolf01
    > E se il sensore termico fosse gestito dallo
    > stesso firmware? Quanto ci metti a
    > bypassarlo?

    Suppongo che il sensore termico sia un sensore elettromeccanico: primitivo ma sicuro...
    Mi domando però che necessità ci sia a lasciare il firmware su di una memoria riscrivibile. Quante volte può succedere di dover fare un upgrade su di una stampante prima che sia obsoleta?
    Una rom cancellabile con la lamapada ad ultravioletti non andrebbe bene?
    Boh....
  • Io ho aggiornato molto spesso il firmware, invece, su tutte le nostre stampanti di rete. Ogni volta perche' la nuova versione conteneva fix per problemi che avevamo effettivamente riscontrato. Direi che mediamente ho aggiornato il firmware almeno 3 volte su ogni stampante.
    non+autenticato
  • - Scritto da: FridayChild
    > Io ho aggiornato molto spesso il firmware,
    > invece, su tutte le nostre stampanti di rete.
    > Ogni volta perche' la nuova versione conteneva
    > fix per problemi che avevamo effettivamente
    > riscontrato. Direi che mediamente ho aggiornato
    > il firmware almeno 3 volte su ogni
    > stampante.

    Ho capito, naturalmente non ho esperienza di reti e relative problematiche.
    Mi domando però se sia opportuno sacrificare sicurezza alla praticità.
    Una rom riscrivibile soltanto dopo irradiazione agli UV darebbe sicuramente più impegno per riprogrammare, ma sicuramente maggior sicurezza. Ovvia valutazione tra costi e vantaggi...
    Può darsi che la HP abbia preferito la soluziuone più semplice mettendo una sicurezza sul surriscaldamento con un termostato di tipo elettromeccanico che è poco costoso e sicuro.
  • Quando la HP ha progettato il sensore termico non l'ha fatto sicuramente pensando a compromissioni dolose tramite firmware malevoli, ma semplicemente per evitare il rischio di incendio da surriscaldamento.
    Il problema di sicurezza e' risolvibile semplicemente progettando il firmware con una funzione che limita le possibilita' di aggiornamento del firmware sottoponendole a vari tipi di restrizione. Le possibilita' software sono svariate, senza bisogno di pensare a sistemi alternativi alle memorie flash.
    non+autenticato
  • - Scritto da: ninjaverde
    > Mi domando però che necessità ci sia a lasciare
    > il firmware su di una memoria riscrivibile.
    > Quante volte può succedere di dover fare un
    > upgrade su di una stampante prima che sia
    > obsoleta?

    Non è una situazione così rara.
    Comunque per evitare il problema basterebbe che per aggiornare il firmware sia necessario un intervento fisico sulla stampante.
    Basterebbe un interruttore che la metta in modo che funzioni soltanto l'aggiornamento (altrimenti gli utonti la potrebbero lasciare così tutto il tempo e la sicurezza verrebbe meno).
    Mi dirai che così viene meno l'aggiornamento da remoto. Ma da quanto remoto dev'essere quest'aggiornamento? Anche ammesso sia dall'altra parte del pianeta, qualcuno vicino alla stampante deve pur esserci per ritirare i fogli che vengono stampati, nel caso lo si chiama e si chiede a lui di muovere quel dannato interruttore.
  • E cosa dovrebbe impedire a chiunque altro abbia accesso fisico alla stampante di girare l'interruttore?
    La soluzione e' piu' semplice, ed applicabile anche alle stampanti attuali, basta rilasciare un aggiornamento del firmware che preveda dei criteri di autenticazione per il firmware update e/o la possibilita' di disattivarlo dall'interfaccia di gestione remota della stampante, per riattivarlo solo quando serve.
    non+autenticato
  • Sono d'accordo.

    Ce ne vorrebbero di piu' di cari vecchi interruttori fisici, vedi jumperini sulle schede madri per flashare il bios.

    Essendo una operazione cos' a rischio il flash di un firmware, non deve essere possibile farla solo via software.
    non+autenticato
  • Quali sarebbero i modelli?
    non+autenticato
  • Immagino un po' tutti quelli con interfaccia di rete, visto che è abbastanza comune la pratica di riciclare le tecnologie su tutta la gamma (come mi par giusto che sia) invece di sviluppare da zero una soluzione ad-hoc per ogni modello
    Wolf01
    3342
  • "nessun cliente ha riferito di accessi non autorizzati" e "le speculazioni riguardo il potenziale incendio dei dispositivi a causa di una modifica del firmware sono false".

    Ma come puo' un demente incapace di cambiare una cartuccia d iinchiostro accorgersi se ci sono stati accessi non autorizzati?
    va be che HP deve pararsi il culo, ma dichiarezioni meno da faccia come il sopracitato non guasterebbero.
    non+autenticato
  • Concordo. Stavo per scrivere la stessa cosa.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)