Attacchi informatici alle stampanti: i moderni obiettivi dei cyber criminali

Gli attacchi informatici e le violazioni dell’infrastruttura IT sono diventati eventi non così tanto rari.
I virus informatici infettano quotidianamente aziende e individui provenienti da tutto il mondo.
Infatti, gli hacker rinnovano costantemente le loro tecniche di attacco sfruttando gli anelli più deboli nella sicurezza informatica.

La stampanti sono tra i dispositivi più esposti al problema degli attacchi informatici.

Il problema con le stampanti al giorno d’oggi è che possono connettersi ad altri dispositivi, alla rete e a Internet.
Grazie a questa nuova funzionalità, le stampanti fungono da ponte negli attacchi informatici.
Una volta violate le stampanti è possibile attaccare le reti aziendali.

Sfortunatamente, le aziende trascurano la necessità della sicurezza della stampante e si concentrano invece sugli altri dispositivi come i computer, server: a volte nemmeno di quelli.

La maggior parte delle persone pensa ancora alle stampanti come a dispositivi finalizzati ad alcune funzioni di base.
Ebbene non è così che funziona, oltre a eseguire lavori di stampa, gli hacker possono utilizzare una stampante per ottenere l’accesso a informazioni private e a qualsiasi dispositivo o persino alla rete .

Potresti anche non essere a conoscenza della quantità di dati che la tua stampante potrebbe conservare su di te, come dichiarazioni dei redditi, informazioni sul conto bancario, documenti finanziari, informazioni sui dipendenti, informazioni personali, ecc.

Un hacker deve solo accedere al sistema operativo della stampante per ottenere l’accesso a questi dati sensibili.

La vecchia generazione di stampanti non garantisce un’adeguata protezione dagli attacchi informatici.
Infatti, un hacker o un malintenzionato che accede ai locali dell’azienda può semplicemente infettare l’intera rete aziendale collegando un’unità usb infetta a una delle stampanti connesse in rete.

Sebbene le probabilità che ciò accada sono basse, la situazione è tecnicamente possibile.

Questo stesso scenario può potenzialmente verificarsi anche su stampanti più moderne se si abilitano funzionalità che consentono di accedere ai documenti archiviate sulle stampanti dal computer. Questo significa che un utente malintenzionato può hackerare la stampante, accedere a questi documenti e quindi accedere alla tua rete.

Quando si configurano le stampanti, disattivare questa funzione se possibile.
Le stampanti ad uso privato, in particolare i modelli meno recenti, utilizzate negli uffici dei dirigenti presentano una serie di rischi per la sicurezza.
Poiché queste macchine sono generalmente destinate ad uso domestico, la sicurezza non è una priorità quando vengono progettate.

Ad esempio, le “stampanti domestiche” possono includere una funzione stampa remota che consente di stampare documenti anche quando non si è alla scrivania. Tuttavia, poiché richiede un’apertura nel firewall per interagire con la stampante, questa funzionalità di stampa remota comporta gravi rischi di sicurezza.

L’apertura nel firewall può consentire a un hacker di ottenere l’accesso alla stampante e a tutte le informazione scansionate da quest’ultima.

Un’ulteriore lacuna di sicurezza sui computer personali che potresti non considerare è un’impostazione predefinita che, quando si esegue la scansione sul disco rigido su una stampante, consente di aprire la cartella dai computer in rete per recuperare i file. Questa impostazione consente di scrivere e rimuovere le informazioni da quel dispositivo da qualsiasi punto della rete aziendale e generalmente viene eseguita con una sicurezza minima o nulla. Se le tue stampanti hanno questa impostazione predefinita, disattivala.

Sebbene la selezione di una funzione “strumenti di supporto remoto” consenta al fornitore della stampante di assisterti in remoto nella risoluzione dei problemi, questo tipo di connessione bidirezionale introduce lacune nella rete che gli hacker possono utilizzare per ottenere informazioni scansionate o stampate in precedenza o addirittura diventare un membro della tua rete. Se si dispone di questa funzione sulle stampanti, disattivare questa funzione o provare ad attivare il supporto della stampante in uscita unidirezionale.

Esistono quattro modi per attaccare le stampanti.
eccoli qui:

• L’interfaccia amministrativa basata sul Web (WebUI);

• SMTP;

• FTP;

• SNMP.

Nessuna di queste tecniche di attacco richiede la presenza fisica dell’hacker.
La WebUI di molte stampanti sono una prima tappa per chiunque attacchi una stampante.
Qualsiasi compromissione della WebUI, sia tramite attacco di forza bruta, sia tramite qualche exploit, offre a un utente malintenzionato la possibilità di controllare qualsiasi funzionalità configurabile della stampante.

Infatti, un utente malintenzionato utilizzerà questo accesso per abilitare funzionalità, come i criteri di conservazione della coda e l’accesso FTP, in modo da poter tornare in un secondo momento, recuperare lavori di stampa riservati e analizzarli per informazioni riservate.

Attaccare la WebUI è come sfondare la porta d’ingresso di una casa che intendete svaligiare.

L’invio di e-mail spam tramite una stampante potrebbe non sembrare uno scenario plausibile, ma grazie alla capacità di molte stampanti di rete d’inviare e ricevere e-mail, questa è davvero una realtà concreta. Ciò deriva dal fatto che la stampante stessa non può inviare e-mail, ma richiede piuttosto l’accesso al server di posta aziendale.

Sfortunatamente, in molte circostanze, le stampanti sono configurate per inviare e-mail senza autenticazione tramite il server di posta aziendale, rendendo la stampante vulnerabile al problema della violazione del sistema di invio e-mail.

Un attacco SMTP sfrutta i punti deboli del Simple Mail Transfer Protocol (SMTP), consentendo agli hacker d’inviare e-mail di phishing avvalendosi “dell’immagine di credibilità della vittima”.

Se un utente malintenzionato acquisisce l’accesso al server SMTP di una certa organizzazione, può inviare e-mail dal dominio della vittima.

Molte stampanti enterprise possono anche essere gestite e monitorate utilizzando il protocollo SNMP (Simple Network Management Protocol).

Sebbene SNMP sia generalmente utilizzato per rilevare i livelli d’inchiostro o toner e il numero di pagine stampate, può anche essere utilizzato per modificare le impostazioni della stampante se un utente malintenzionato ha accesso alla stringa comunitaria di lettura e scrittura della stampante e/o all’autenticazione delle credenziali.

SNMP è disponibile in tre versioni, ciascuna con il proprio metodo di autenticazione: SNMPv1, SNMPv2c e SNMPv3.
Per identificare i dispositivi autorizzati, SNMPv1 e v2c richiedono una stringa comunitaria di base, ad esempio una password pre condivisa.

Per l’autenticazione, SNMPv3 richiede una stringa di comunitaria nonché una coppia di nome utente e password crittografati. Sfortunatamente per le organizzazioni, la maggior parte dei dispositivi è impostata per utilizzare SNMPv2c, che preclude gli aggiornamenti di sicurezza consigliati per il SNMPv2 di base.

Una volta che un utente malintenzionato si trova sulla rete, è in grado d’indentificare la stringa della community SNMP e quindi utilizzare tale stringa per eseguire modifiche alla configurazione della stampante.

Esistono diversi indicatori della presenza di un attacco informatico alla stampante, tra questi:

• Lavori di stampa non autorizzati: la stampante potrebbe essere compromessa se stesse stampando documenti sconosciuti che nessuno ha autorizzato.

• Messaggi di errore: la stampante potrebbe essere danneggiata se mostra messaggi di errore o stampa documenti contenenti messaggi di errore invece del documento reale.

Se si verifica uno di questi sintomi, spegnere immediatamente la stampante e chiamare il personale IT appropriato, sia esso un reparto IT interno o un fornitore di servizi IT di terze parti.

La superficie di attacco mediante una stampante di rete è un po’ più estesa di quanto potremo aver descritto in precedenza.

La strategia più efficace inizia con la comprensione dei flussi di lavoro che utilizzano le stampanti.
Ciò consente d’isolare i dispositivi sulla rete in una VLAN separata limitando il traffico consentito per attraversarla. Inoltre, mantieni aggiornati i driver di stampa e il software di gestione.

La comprensione dei flussi di lavoro relativi a una determinata stampante assicura che le misure adottate per proteggerla non influiscano negativamente sull’azienda. L’isolamento delle stampanti sulla propria VLAN garantisce la possibilità di controllare facilmente il flusso del traffico di rete da e verso quel segmento della rete.

Mantenere aggiornati i driver di stampa e il software di gestione garantisce che le macchine locali non siano vittime di codice dannoso che prende di mira il software che supporta le nostre stampanti. Alcune stampanti hanno opzioni per disabilitare gli aggiornamenti firmware remoti o gli aggiornamenti firmware inviati come lavori di stampa.

Ciò può rendere l’implementazione degli aggiornamenti del firmware un lavoro più impegnativo, ma è comunque una buona idea se la stampante non dispone di misure di sicurezza aggiuntive per impedire l’installazione di firmware dannoso.

La consapevolezza è la chiave per proteggersi dagli attacchi informatici a danno delle stampanti.

Il panorama della sicurezza informatica è immenso ed è fin troppo facile ignorare il ruolo fondamentale che le stampanti svolgono nella sicurezza di un’organizzazione o di un individuo.
Riconoscere tale rischio e renderlo una priorità è il primo passo per gestire e mitigare queste minacce.

Il personale IT sta diventando sempre più consapevole di questo problema, ma è essenziale adottare misure ora per mitigare questi rischi, dato che l’aumento degli uffici domestici e della forza lavoro decentralizzata sta aumentando il potenziale d’interferenze dannose.

Concludendo, le stampanti sono spesso uno degli anelli più deboli di un’organizzazione.
Quindi, ciò che stampi non è solo ciò che ottieni; potresti fornire a un hacker la possibilità di recare un danno inestimabile all’organizzazione colpita.