Stampanti sotto attacco

La vostra periferica di stampa ha messo nero su bianco degli strani messaggi non richiesti? Casi realmente successi che mettono in evidenza quanto i device connessi a Internet possano diventare pericolosi

Che la stampante non funzioni correttamente proprio quando si ha urgente necessità di un documento è un problema comune a numerosi utenti. Un caso più singolare è invece quello capitato di recente a 150.000 possessori di stampanti di rete in tutto il mondo: le loro periferiche stampavano malgrado non fosse stato richiesto. Responsabile di questo enigma è l'hacker Stackoverflowin.


La buona notizia è che invece di provocare danni, l'hacker si è limitato a stampare messaggi per richiamare l'attenzione sulla vulnerabilità di questi dispositivi, dimostrando che quasi tutte le stampanti collegate alla rete sono potenzialmente esposte ad attacchi informatici.

Più PC che stampante
Da tempo è stato accertato che le stampanti non sono sicure. Nel corso degli anni le loro funzioni sono aumentate in gran numero: quasi tutti i dispositivi possono essere collegati in rete, offrono piccoli display e programmi, sono comandabili via smartphone o possono ricevere istruzioni tramite email. Le stampanti sono quindi diventate piccoli computer e, analogamente a qualsiasi altro PC, sono anch'esse vulnerabili a intrusioni da parte dei cybercriminali.
Già nel 2011 degli esperti IT, in occasione di una conferenza sulla sicurezza tenutasi a Washington, mostrarono come penetrare in altre reti attraverso una stampante. Avevano addirittura sviluppato un programma specifico che resero accessibile liberamente su Internet. La risonanza fu però scarsa e l'entità e la gravità del problema continuano ad essere non avvertite da molti utenti.


Malgrado ciò, altri casi spettacolari sono stati portati a conoscenza dell'opinione pubblica: nell'aprile 2016, stampanti presenti in diverse università tedesche hanno stampato, come per magia, volantini antisemiti. L'hacker Weev è riuscito a comandare le stampanti via Internet sfruttando una falla nella sicurezza della configurazione di rete.


Recentemente il produttore HP è passato all'offensiva, producendo un cortometraggio ("The Wolf") in cui la star di Hollywood Christian Slater (Mr. Robot nella celebre serie TV) mostra come gli hacker sono in grado di attaccare le stampanti. Lo scopo del video è pubblicizzare i sistemi di sicurezza per stampanti HP, applicabili però solo a una piccola percentuale di costosissimi dispositivi.


Il problema delle stampanti, presenti in milioni di abitazioni private e piccole aziende, vulnerabili agli attacchi di hacker, richiede invece soluzioni praticabili.

Punto debole: il linguaggio della stampante
Il problema è stato scoperto nel corso di una complessa verifica da parte di un team di ricercatori dell'università di Bochum. È stato accertato che i problemi relativi alla sicurezza non sono imputabili al firmware dei dispositivi, bensì ai linguaggi di programmazione PostScript e PJL, attraverso cui vengono impartiti comandi e trasferiti dati alle stampanti.
Antiquati già da decenni, questi linguaggi furono sviluppati in un'epoca in cui il tema della sicurezza sui dati non rivestiva ancora grande importanza. Gli hacker sono oggi in grado di impartire comandi speciali in modalità remota che consentono, ad esempio, di intercettare istruzioni per la stampa di documenti, di assumere il controllo completo del dispositivo, di gestire o addirittura rendere inutilizzabile la stampante.
Nel mirino degli hacker ci sono le stampanti di quasi tutti i produttori leader, come sottolineato dal dottorando Jens Mueller che ha preso parte alla ricerca: "Tra tutte le stampanti, sono stati riscontrati vulnerabili i modelli di HP, Brother, Dell, Lexmark, Samsung, Kyocera, Konica Minolta e Oki (...) In linea di massima, tutte le stampanti che utilizzano questi linguaggi (PostScript e Printer Job Language) possono essere vulnerabili agli attacchi. Dopo la pubblicazione della nostra ricerca, abbiamo avuto la possibilità di controllare anche dispositivi di ultima generazione, riscontrando che anche questi modelli presentano gli stessi punti deboli".


Le stampanti testate dai ricercatori dell'università di Bochum

Per consentire a tutti di verificare se la propria stampante è sicura o meno, i ricercatori hanno realizzato e rilasciato su Github il tool PRET (Printer Exploitation Toolkit).

Appropriazione segreta e manipolazione
Gli attacchi vengono sferrati via Internet attraverso siti Web manipolati. Se uno sfortunato utente accede a una di queste pagine, la sua stampante verrà infettata. I programmi antivirus, come noto, non offrono protezione per questi casi specifici, poiché si occupano unicamente della sicurezza del computer. Questo scenario potrebbe diventare veramente pericoloso soprattutto per banche e imprese, poiché in numerose aziende, documenti estremamente delicati, come conti, contratti, informazioni interne, schemi di progetti o offerte, necessitano di essere stampati. Si trovano particolarmente in pericolo anche studi medici, ospedali, tribunali ed enti statali. Anche qui, il personale si serve di stampanti per riprodurre informazioni sensibili.
Il pericolo non riguarda quindi solo lo spionaggio, ma anche manipolazioni mirate.

In occasione del CeBIT, esperti dell'azienda per la sicurezza Trend Micro, hanno mostrato come potrebbe presentarsi un attacco. Immaginiamo di scrivere una fattura con un computer perfettamente protetto. A video tutto appare in ordine. Dopo aver impartito il comando per la stampa, un virus sfrutterà quest'istruzione per impiantarsi nella memoria della stampante, provvedendo a modificare i dati della fattura, come ad esempio il numero di conto. Il documento viene stampato, senza essere controllato e il destinatario provvede a trasferire l'importo dovuto sul conto del criminale informatico. L'imbroglio verrà scoperto solo al termine della scadenza per il pagamento. Prima che la vittima cominci ad avere dei sospetti, i criminali avranno già preso il largo.

Il firmware aggiornato può aiutare
Il problema principale è che quasi nessuno conosce i veri rischi. Mentre computer e LAN si rivelano spesso ben protetti, le stampanti, relativamente ai problemi sulla sicurezza, sono spesso escluse. Anche se i produttori provvedono a riparare regolarmente le note falle sulla sicurezza relative al firmware dei dispositivi o dei driver, quasi nessuno si accorge di questi aggiornamenti. Avete mai provveduto ad aggiornare il driver della vostra stampante quando tutto funziona senza problemi? Ora avrete senz'altro un altro motivo per controllare l'esistenza di aggiornamenti nelle apposite sezioni del sito del produttore. Chi vorrà andare sul sicuro non ha scelta: scollegare la stampante da LAN o WLAN e connetterla solo al computer. Ma basterà?

fonte immagini: 1, 2
44 Commenti alla Notizia Stampanti sotto attacco
Ordina
  • si e' ricordato (a differenza dei giornalistiCon la lingua fuori) chi ha iniziato[*] questo gioco... i buoni vecchi phenoelit nel 2002 ...... bei tempi



    [*] ovviam anche da prima... ma parlo di info/tool "d'alto bordo/famose"..
    non+autenticato
  • volete prezzi bassi? benissimo, i produttori agiscono sul costo del lavoro prendendo programmatori specializzati nel taglia e incolla, esternalizzano l'help desk, subappaltano la manutenzione, non rilasciano nuovi firmware e cosi via.

    "poco pagare, poco avere"
    non+autenticato
  • Volete inviare ogni scansione o file stampato al produttore della stampante ed al mercato dell'informazione? Ok, comprate stampanti connesse, nuvolose ecc e gioite che così dal vostro smartphone potete mandare in stampa un documento in camera vostra e quando arrivate sarà pronto insieme agli spaghetti del nuovo robot da cucina IoT.

    Costa poco, perché poi noi guadagniamo rivendendo informazioni personali e facendovi buttar via il ferro luccicoso in pochi mesi per il modo in cui (non) funziona, convincendovi che lo stesso ferro con una capote diversa che facciamo uscire poco dopo risolva tutti i problemi del "vecchio".

    I problemi? Bah, poche cose, il dittatore di turno saprà cosa pensate, cosa fate e dove siete in ogni momento, magari il vostro bel robot da cucina metterà ingredienti ricevuti direttamente via drone, grazie ad un apposito modulo di atterraggio sul poggiolo/giardino, che non son proprio salutari, magari la vostra auto connessa deciderà di asfaltare una scolaresca in gita e poi loggare che eravate voi alla guida, non lei, e l'etilometro connesso dirà che è vero; magari il vostro smartphone dirà che avete ucciso voi qualcuno nella casa vicino, il vostro cardio IoT confermerà la cosa e tutto ciò solo perché qualcuno ha sfruttato i meccanismi previsti per cetriolizzarvi qualora diventi opportuno (per alcuni)...

    Ecco, questa è patch che propongo per il tuo postA bocca aperta
    non+autenticato
  • - Scritto da: xte
    > Volete inviare ogni scansione o file stampato al
    > produttore della stampante ed al mercato
    > dell'informazione? Ok, comprate stampanti
    > connesse, nuvolose ecc e gioite che così dal
    > vostro smartphone potete mandare in stampa un
    > documento in camera vostra e quando arrivate sarà
    > pronto insieme agli spaghetti del nuovo robot da
    > cucina
    > IoT.
    >
    > Costa poco, perché poi noi guadagniamo rivendendo
    > informazioni personali e facendovi buttar via il
    > ferro luccicoso in pochi mesi per il modo in cui
    > (non) funziona, convincendovi che lo stesso ferro
    > con una capote diversa che facciamo uscire poco
    > dopo risolva tutti i problemi del
    > "vecchio".
    >
    > I problemi? Bah, poche cose, il dittatore di
    > turno saprà cosa pensate, cosa fate e dove siete
    > in ogni momento, magari il vostro bel robot da
    > cucina metterà ingredienti ricevuti direttamente
    > via drone, grazie ad un apposito modulo di
    > atterraggio sul poggiolo/giardino, che non son
    > proprio salutari, magari la vostra auto connessa
    > deciderà di asfaltare una scolaresca in gita e
    > poi loggare che eravate voi alla guida, non lei,
    > e l'etilometro connesso dirà che è vero; magari
    > il vostro smartphone dirà che avete ucciso voi
    > qualcuno nella casa vicino, il vostro cardio IoT
    > confermerà la cosa e tutto ciò solo perché
    > qualcuno ha sfruttato i meccanismi previsti per
    > cetriolizzarvi qualora diventi opportuno (per
    > alcuni)...

    Niente da dire.
    L'importante e' che le prove ottenute in questo modo valgano in entrambe le direzioni.

    Se il mio etilometro IoT, il mio geolocalizzatore IoT, il mio cardio IoT dicono cose diverse, io devo essere immediatamente depennato dalla lista dei sospetti e non piu' importunato per nessuna ragione al mondo.
  • Il problema è che questi dispositivi non sono propriamente tuoi, tu l'hai pagati ma non in quanto oggetti bensì quali licenze d'uso. Non sai granché di quel che fanno ne hai diritto o possibilità di accedervi, che invece il produttore invece mantiene.

    Come posso fidarmi di quel che dice il mio navigatore se da remoto la "casa madre" lo può gestire (magari raccontandoti che lo fa per darti mappe aggiornate, informazioni utili, ...) ed io non ho alcun reale controllo?

    È come il denaro elettronico: i contanti me li tengo fisicamente in tasca, come la carta bancaria, quest'ultima però non mi basta averla fisicamente e non la controllo io. Posso fidarmi? O meglio ho possibilità di scelta o controllo? In termini di security no e il vecchio adagio dice che la necessità di fiducia è una grave debolezza.

    Le prove fisiche han un certo livello di sofisticabilità, quelle sw ne han uno decisamente più vasto e fuori dalla comprensione di molti. Io stesso che ho tutti cifrato (LUKS e Geli) dalla / in giù come posso provare in tribunale che il portatile sequestrato è si il mio ma il disco che c'è dentro non contiene roba mia che c'ha messo qualche cattivaccio di turno dicendo invece che l'ha trovata li? Se vogliamo dovremo imporre l'immagine del disco con checksum alla presenza di terzi che possano pure controllare il software e l'hw che fa l'immagine... Difficile nella maggior parte dei casi. Il mantra di non aver niente da nascondere è assai pericoloso.
    non+autenticato
  • - Scritto da: xte
    > Il problema è che questi dispositivi non sono
    > propriamente tuoi, tu l'hai pagati ma non in
    > quanto oggetti bensì quali licenze d'uso. Non sai
    > granché di quel che fanno ne hai diritto o
    > possibilità di accedervi, che invece il
    > produttore invece
    > mantiene.

    Ovviamente e' sottinteso che io possa accedere a quei log, sapere quello che fanno e poterli pure modificare.

    Ma il punto non e' questo, il punto e' che se dei log sono considerabili prove attendibili, devono esserlo sempre, non solo quando fa comodo all'accusa.
  • Comprensibile desiderio, ma il mondo non è bianco o nero, è più complesso: se per dire i log sono acquisiti sul mio computer nella forma in cui la polizia arriva con il mandato del caso, fa un'immagine dei miei dischi e ne consegna copia con hash in Procura, magari anch'io alla presenza di qualche pubblico ufficiale faccio la stessa cosa, sul momento, e gli hash coincidono diciamo che i log possono avere il loro peso.

    Certo che però presi con questo sistema avendo tutto cifrato sono inutili. Allora lato polizia postale si cerca di accedere al sistema live, cosa che serve a vedere che c'è dentro, magari indirizzare le indagini ma non può essere una prova in tribunale. Si prova con altri sistemi di intercettazione, MITM, elint/comint ecc. Tutto commisurato alla gravità del caso, alla disponibilità di risorse ecc

    Il mondo non è così semplice.
    non+autenticato
  • - Scritto da: xte
    > Comprensibile desiderio, ma il mondo non è bianco
    > o nero, è più complesso: se per dire i log sono
    > acquisiti sul mio computer nella forma in cui la
    > polizia arriva con il mandato del caso, fa
    > un'immagine dei miei dischi e ne consegna copia
    > con hash in Procura, magari anch'io alla presenza
    > di qualche pubblico ufficiale faccio la stessa
    > cosa, sul momento, e gli hash coincidono diciamo
    > che i log possono avere il loro
    > peso.
    >
    > Certo che però presi con questo sistema avendo
    > tutto cifrato sono inutili. Allora lato polizia
    > postale si cerca di accedere al sistema live,
    > cosa che serve a vedere che c'è dentro, magari
    > indirizzare le indagini ma non può essere una
    > prova in tribunale. Si prova con altri sistemi di
    > intercettazione, MITM, elint/comint ecc. Tutto
    > commisurato alla gravità del caso, alla
    > disponibilità di risorse
    > ecc
    >
    > Il mondo non è così semplice.

    Il mondo non e' semplice.

    E l'informatica non ammette ignoranza.

    Se uno e' ignorante e non sa difendere i sistemi che utilizza, e' giusto che sconti lui l'ergastolo al mio posto, perche' io avro' modificato i log in modo da far ricadere su di lui ogni colpa.

    In alternativa rinuncino ad usare i log e si accontentino del dna trovato nel mozzicone di sigaretta che l'assassino ha lasciato cadere nei pressi del cadavere.
  • - Scritto da: panda rossa
    > Se uno e' ignorante e non sa difendere i sistemi
    > che utilizza, e' giusto che sconti lui
    > l'ergastolo al mio posto, perche' io avro'
    > modificato i log in modo da far ricadere su di
    > lui ogni
    > colpa.

    Agghiacciante ! Deluso

    Vantiamocene pure , mi raccomando.
    non+autenticato
  • - Scritto da: ..4 puntini
    > Agghiacciante ! Deluso
    > Vantiamocene pure , mi raccomando.
    Cosa pretendi da uno schiavo ...
    non+autenticato
  • - Scritto da: ..4 puntini
    > - Scritto da: panda rossa
    > > Se uno e' ignorante e non sa difendere i
    > sistemi
    > > che utilizza, e' giusto che sconti lui
    > > l'ergastolo al mio posto, perche' io avro'
    > > modificato i log in modo da far ricadere su
    > di
    > > lui ogni
    > > colpa.
    >
    > Agghiacciante ! Deluso

    Esatto. Proprio agghiacciante.
    Dare valore di prova ad un log che cani&porci possono modificare a piacimento e' proprio agghiacciante.

    Ed e' proprio quello che succedera' se non si spiegano chiaramenti i rischi di questa solenne idiozia.

    > Vantiamocene pure , mi raccomando.

    Preferisci nascondere la polvere sotto il tappeto perche' tanto a te non succede?
  • Ti voglio vedere andare a cancellare o modificare "un log" da un Barracuda. Ma sicuramente sono macchine che non usi , tu sei piú open.
    non+autenticato
  • Credo fosse il 1996 quando lanciai da torino una stampa sulla nuovissima stampante laser a colori appena acquistata dall'università di cagliari e condivisa con IP pubblico senza password...
    non+autenticato
  • - Scritto da: Jack
    > Credo fosse il 1996 quando lanciai da torino una
    > stampa sulla nuovissima stampante laser a colori
    > appena acquistata dall'università di cagliari e
    > condivisa con IP pubblico senza
    > password...

    E a che cosa e' servito se la stampante sta a cagliari?

    Io almeno stampo da casa sulla stampante dell'ufficio, e il giorno dopo vado a recuperare le stampe.
  • Uno: non è detto che, pure se comprata dall'Università mdi Cagliari, la stampante fosse a Cagliari.
    Due: Pure se fosse, magari voleva fare solo un test di rete. O spedire una stampa a un tizio di Cagliari...
    non+autenticato
  • In effetti spedire via mail un pdf è un lavoraccio, devi trasformalo in base64 (uuencode) aggiungere l'opportuno mimetype, scrive l'header, magari un qualche messaggio per l'umano ricevente, connetterti via openssl/telnet all'smtp del caso (o installare tu un smtp) questo lo spedisce al server della controparte, poi il destinatario deve... Ah, cavolo ma sai che fa tutto ciò (e molto altro) un qualsiasi MUA dagli anni '70 in poi!?

    Ah, per "spedire documenti" in stile stampante remota dagli anni '50 in poi c'eran degli aggeggi fatti apposta chiamati fax (e vari altri nomi, secondo l'epoca), c'è ancora gente che li usa sopratutto i Giappone e nella PA italica...

    Ah, pensa che con le mail non serve manco l'"app" o l'"estensione" dedicata scritta dal produttore della singola "cloud-printer" (versione moderna delle tue stampanti con CUPS esposto al mondo intero) che funziona solo con quella, a patto di aver sempre l'ultima versione sia dell'app estensione sia della limitata selezione di ferro+software su cui essa gira... Cavolo che evoluzione tecnologica, battiamo la squadra dei gamberi di larga misura! Anche per le chat eh, pensa ad WatsApp&c versus le vecchie mail o un normale servizio VoIP...

    Quasi quasi creo una nuova piattaforma: voi mi date il denaro, io lo converto in "punti" nella piattaforma che vi permette di passar del tempo a dar da mangiare a qualche animale (un bot da qualche migliaio di righe di go o rust) o costruire case, far guerre ecc, che dite? Come? C'han già pensato? E pure a far ferro dedicato (console) per questo? Cavolo. Allora potrei proporre una piattaforma di incontro tra domanda&offerta da economia di sussistenza: tipo affittare una camera libera a qualcuno che vuol andare in vacanza ma non ha i soldi dell'albergo o magari per collegare il paninaro (che a sua volta sfrutterà uno studente squattrinato per consegnare il panino) al mangiatore di panini sparapanzato sul divano. Prendo il 30% del prezzo di vendita del panino, ed ovviamente sovrintendo alla transazione tanto per evitare fregature. Ah, anche questo c'è già? Cavolo...

    Ditemi, ma vi sarà mai una massa sufficiente di bipedi che capirà queste cose?
    non+autenticato
  • - Scritto da: xte
    > In effetti spedire via mail un pdf è un lavoraccio
    [...]
    > Ah, c'eran degli aggeggi fatti apposta chiamati fax
    [...]
    > Cavolo...
    >
    > Ditemi, ma vi sarà mai una massa sufficiente di
    > bipedi che capirà queste cose?

    Oddio non sapevo esistessero i fax, le email, l'ftp ecc ecc, meno male che me lo hai insegnato tu...

    Grazie! Occhiolino

    Ora posso finalmente smettere di chiedere alla gente l'ip della stampante quando devo mandar loro dei documenti.... in effetti era un casino ricordare tutti i driver da utilizzare appuntandoli solo sui postit...
    non+autenticato
  • Cavolo, quindi manco una stampante pdf e manco un DNS in piedi? Facciamo una petizione: Avahi WAN-Wide per tutto interdet!A bocca apertaA bocca apertaA bocca aperta

    Non prendertela anche dalle mie parti l'uni dava ipv4 pubblici per ogni cavolata, lasciava switch managed con credenziali di default (anche perché di default lo switch funzionava da unmanaged, con tanti insulti da parte mia all'HP), aveva servizi con autenticazione in chiaro e roba del genere.

    Lo sport era scovare queste cose e farle vedere, magari in forma carina/non distruttiva: un es. una demo di un bipede commerciale, teoricamente ingegnere informatica di una grossa azienda di sicurezza "mediorientale" che attaccò il suo portatile Windows con share di C: e D: libere con tutti i diritti del caso alla LAN della sala conferenze e gli comparirono mentre girellava sulle slide un po' di porno gay&c sottobanco, messaggi a raffica di net send e giochini del genere...
    non+autenticato
  • - Scritto da: xte
    > Cavolo, quindi manco una stampante pdf e manco un
    > DNS in piedi? Facciamo una petizione: Avahi
    > WAN-Wide per tutto interdet!A bocca apertaA bocca aperta
    >A bocca aperta
    >
    > Non prendertela anche dalle mie parti l'uni dava
    > ipv4 pubblici per ogni cavolata, lasciava switch
    > managed con credenziali di default (anche perché
    > di default lo switch funzionava da unmanaged, con
    > tanti insulti da parte mia all'HP), aveva servizi
    > con autenticazione in chiaro e roba del
    > genere.
    >
    > Lo sport era scovare queste cose e farle vedere,
    > magari in forma carina/non distruttiva: un es.
    > una demo di un bipede commerciale, teoricamente
    > ingegnere informatica di una grossa azienda di
    > sicurezza "mediorientale" che attaccò il suo
    > portatile Windows con share di C: e D: libere con
    > tutti i diritti del caso alla LAN della sala
    > conferenze e gli comparirono mentre girellava
    > sulle slide un po' di porno gay&c sottobanco,
    > messaggi a raffica di net send e giochini del
    > genere...

    Quello era un ingegnere informatico tanto quanto gli applefan di questo forum.
  • - Scritto da: panda rossa
    > Quello era un ingegnere informatico tanto quanto
    > gli applefan di questo forum.
    In pratica un tuo predecessore ... visto le modalità operative
    non+autenticato
  • - Scritto da: panda rossa
    > E a che cosa e' servito se la stampante sta a
    > cagliari?

    Quando ero giovane e piciu anche far uscire una pagina stampata nell'aula di informatica degli altrettanto giovani e piciu compagni di chat sembrava un'idea furba A bocca aperta
    non+autenticato
  • - Scritto da: panda rossa
    > E a che cosa e' servito se la stampante sta a
    > cagliari?
    Bravo sei riuscito a inserire l'ennesimo commento inutile.
    Continua così che vai forte
    > Io almeno stampo da casa sulla stampante
    > dell'ufficio, e il giorno dopo vado a recuperare
    > le stampe.
    E a noi che cippa ci frega di quello che fai tu?
    Lui almeno ha instillato il dubbio a qualcuno che forse la stmpante così esposta sulla rete non era sicura, il tuo commento invece espone la tua inutilità
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > E a che cosa e' servito se la stampante sta a
    > > cagliari?
    > Bravo sei riuscito a inserire l'ennesimo commento
    > inutile.
    > Continua così che vai forte
    > > Io almeno stampo da casa sulla stampante
    > > dell'ufficio, e il giorno dopo vado a
    > recuperare
    > > le stampe.
    > E a noi che cippa ci frega di quello che fai tu?
    > Lui almeno ha instillato il dubbio a qualcuno che
    > forse la stmpante così esposta sulla rete non era
    > sicura, il tuo commento invece espone la tua
    > inutilità


    E te perché continui a cambiar nick name?
    non+autenticato