The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Методы борьбы с уязвимостями в современных принтерах могут привести к появлению новой угрозы

10.12.2011 11:51

Исследователи из Колумбийского Университета продемонстрировали, что множество моделей принтеров от компании HP могут быть перепрограммированы через специально созданные задания для печати. Это серьёзная уязвимость, с учётом того, что многие современные принтеры имеют функциональность близкую к компьютеру - возможность работы в сети и собственный жесткий диск, они также могут атаковать системы к которым они непосредственно подключены. Более того, они могут причинить даже физический вред: взломанный принтер может испортить всю бумагу и тонер заправленные в него, а в худшем случае – стать причиной возгорания.

По мнению представителей Фонда свободного ПО, некоторые эксперты предлагают лечение, "ещё худшее, чем сама болезнь". В данной ситуации предлагается, чтобы такие принтеры запускали только тот код, который ранее был подписан производителем этого принтера. Оборудование, которое работает исключительно с подписанным кодом может быть достаточно безопасным, но только в том случае, если у владельца этого принтера есть окончательное право решать, какие подписи принимать, а какие – нет. Если же все права передать производителям оборудования, оставив владельца без права самому решать, что запускать на своем принтере, а что нет – то такой ход наоборот, отрицательно скажется на общей безопасности (точно такая же дилемма выбора возникает при внедрении функции Secure Boot на ПК).

Другая проблема с принтерами – незаконное и скрытое слежение за их владельцами, как правило, с помощью специальной маркировки всех распечатанных документов почти невидимыми желтыми точками. В качестве удачного примера борьбы с этим явлением можно привести общественную кампанию Seeing Yellow campaign, где каждый владелец получает юридическую консультацию, как он может бороться с производителем такого принтера. Другая проблема – это продажа бывших в употреблении принтеров, и при этом полное отсутствие возможности контроля, какие документы и информация остается на внутренних носителях в таком принтере. По мнению исследователей, эти и многие другие проблемы существуют потому, что ключевые программные компоненты современных принтеров являются закрытыми и проприетарными. Именно поэтому текущие попытки ещё больше ужесточить доступ к логике работы принтера через подписывание его ПО производителем принтера и блокировки всего остального – ещё больше усложнят борьбу с подобными явлениями, лишая владельца такого принтера не только безопасности, но и свободы выбора.

По мнению Фонда свободного ПО единственный способ сделать принтер по-настоящему безопасным – это дать свободу изучать, модифицировать и заменять его ПО, а не пытаться создавать нагромождение из политик безопасности с одновременным отстранением владельца принтера от возможности самостоятельно принимать решения.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/licen...)
  2. OpenNews: Офисная техника может стать причиной утечки информации
  3. OpenNews: Red Hat и Canonical опубликовали рекомендации по реализации режима безопасной загрузки в UEFI
  4. OpenNews: Фонд свободного ПО уведомил общественность об опасности появления ПК, работающих только с Windows
  5. OpenNews: Microsoft утверждает, что Windows 8 не помешает установке других ОС, но аргументы противоречат фактам
  6. OpenNews: Microsoft может помешать работе Linux на компьютерах, поставляемых с Windows 8
Автор новости: Igor Savchuk
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32522-hp
Ключевые слова: hp, printers, attack, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Square (ok), 13:45, 10/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –28 +/
    вот и докатилися фонд свободного ПО до камлания...
    Единственный выход нашли... до этого всегда существовало минимум два варианта решения проблемм... теперь оказалось что выход - только один...
    А по сути -это спекуляция а не выход.
     
     
  • 2.3, СуперАноним (?), 14:42, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Всё правильно говорят. Когда в принтерах были 8-миразрядные однокристалки, ОЗУ было мало, и прошивка однократно заносилась производителем в ПЗУ. Следовательно, возможностей "железа" было недостаточно, чтобы туда впихнуть ещё и код, шпионящий за печетаемыми документами. То тогда можно было мириться с закрытостью прошивок.
     
     
  • 3.4, Square (ok), 14:51, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Вы наверное не в курсе что это требование - от министерства обороны США а не от ... большой текст свёрнут, показать
     
     
  • 4.9, Аноним (-), 15:04, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы наверное не в курсе что это требование - от министерства обороны
    > США а не от самих производителей принтеров?

    И чо?

     
     
  • 5.11, Square (ok), 15:06, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> Вы наверное не в курсе что это требование - от министерства обороны
    >> США а не от самих производителей принтеров?
    > И чо?

    а то, что в случае необходимости - наличие таковых меток будет даже в случае использования открытого софта.

     
     
  • 6.12, Аноним (-), 15:17, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > а то, что в случае необходимости - наличие таковых меток будет даже в случае использования открытого софта.

    Ты перепутал, FSF за свободный софт, открытости не достаточно. Поэтому - нет, не будет.

     
     
  • 7.20, Аноним (-), 17:28, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет меток — нет допуска на рынок. Метки будут.
     
     
  • 8.21, Анон312 (?), 17:49, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И чем же будет печатать документы министерство обороны, если все принтеры потеря... текст свёрнут, показать
     
  • 8.28, arisu (ok), 21:09, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    хинт берём исходники выпиливаем КЕМ пересобираем перепрошиваем ПРОФИТ ... текст свёрнут, показать
     
     
  • 9.29, Аноним (-), 22:04, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Получаем маски шоу в гости Принтер перепрограммировал - Террорист ... текст свёрнут, показать
     
     
  • 10.33, Аноним (-), 23:47, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Докажите и покажите в рамках закона что я нарушил при этом ... текст свёрнут, показать
     
     
  • 11.49, Аноним (-), 14:02, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы в пещере что-ли сидите Ираку наглядно было доказано , например ... текст свёрнут, показать
     
     
  • 12.72, Аноним (-), 16:27, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот уж не знал что ирак принтеры перепрограммировал и за это получил А так иран... текст свёрнут, показать
     
  • 6.37, Michael Shigorin (ok), 00:48, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > а то, что в случае необходимости

    Не припоминаю насчёт DoD, а метки стали влепливать на цветных копирах и принтерах с тем, чтобы бороться с подделкой документов и дензнаков.  Т.е. технически вопрос где-то перекливается с радиооборудованием, только там повод более веский.

    PS: а что всё возвращается на круги своя (появлению СПО дал толчок принтер Xerox) -- никого ещё не позабавило? :)

     
  • 4.22, СуперАноним (?), 17:58, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >это требование - от министерства обороны США а не от самих производителей принтеров

    Если удастся протолкнуть это https://www.opennet.ru/opennews/art.shtml?num=32478 (пожелаю ребятам удачи), то появятся свободные прошивки для популярных, хотя бы, моделей принтеров. Положительный опыт в этом деле имеется, в виде свободных прошивок для роутеров.

     
  • 4.54, Аноним (-), 18:45, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >это требование - от министерства обороны США а не от самих производителей принтеров?

    Враги человечества не дремлют. А вы похоже на их стороне? Или заранее смирились?

     
     
  • 5.71, Аноним (-), 16:25, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Враги человечества не дремлют. А вы похоже на их стороне? Или заранее
    > смирились?

    Он забыл что Бенджамин Франклин сказал про свободу и безопасность.

     
  • 4.74, vtischenko (ok), 11:51, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы наверное не в курсе что это требование - от министерства обороны США а не от самих производителей принтеров?

    А мы живём не в Америке, так что ни их законы ни их требования пока не действуют на нас, кроме техники, которая производится фирмами оттуда. Но кто сказал, что я не могу изменить что-либо (в том числе прошивку) в ЗАКОННО купленой мною вещи?
    Если нельзя, то давайте запретим перешивку и вообще изменения вида вещей (штаны, рубашки, пиджаки). Чем они отличаются от того же принтера с точки потребителя? Я и то и то купил за СВОИ деньги, а не мне кто-то подарил... ИМХО.

     
     
  • 5.75, arisu (ok), 12:06, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Если нельзя, то давайте запретим перешивку и вообще изменения вида вещей (штаны,
    > рубашки, пиджаки).

    т-с-с-с! они же услышат!

     
  • 2.18, ананим (?), 17:14, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >до этого всегда существовало минимум два варианта решения проблемм..

    свобода, рабство, ... подставь третье.

    зыж
    а вообще символично.
    Помнится история с ГПЛ у РМС тоже начиналась с принтеров.

     
  • 2.34, Аноним (-), 23:48, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вот и докатилися фонд свободного ПО до камлания...

    Они то по делу говорят, а вот вы - фигню несете. Посчитаем это за камлание.

     

  • 1.2, Михаил (??), 14:36, 10/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Дожили... Уже и с принтерами борются...
     
     
  • 2.5, Anonimous (?), 14:53, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, да и со всей бытовой техникой скоро такое начнется. А через десяток лет такая проблема возникнет с человекоподобными роботами...

    Лет через 20 миром будут править корпорации, удаленно управляющее армиями своих роботов.

     
  • 2.7, Аноним (-), 15:01, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Дожили... Уже и с принтерами борются...

    Когда холодильник будет слать отчёты о тебе в корпорацию-изготовитель, они будут бороться и с холодильниками. Всё правильно делают.

     
     
  • 3.8, Square (ok), 15:03, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> Дожили... Уже и с принтерами борются...
    > Когда холодильник будет слать отчёты о тебе в корпорацию-изготовитель, они будут бороться
    > и с холодильниками. Всё правильно делают.

    Интересно, почему они с Гуглом не борются? с социальными сетями? Которые УЖЕ СЕЙЧАС шпионит за пользователями?

     
     
  • 4.16, Анонимуус (?), 16:12, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут получается борьба на два фронта. С одной стороны социальные сети, гугл и прочее, а с другой стороны хомячки. Кто хочет, тот не регистрируется в социальных сетях, блокирует следящие скрипты, не пользуется или пользуется сервисами гугла по минимум.
     
  • 4.19, ананим (?), 17:19, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Интересно, почему они с Гуглом не борются? с социальными сетями? Которые УЖЕ СЕЙЧАС шпионит за пользователями?

    может потому что в данный момент это на_руку ещё бОльшей корпорации бабла, апологетом который вы и выступаете?
    а напуркуа им вfie грязную работу делать?

     
  • 4.32, Ytch (?), 22:57, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Социальные сети? Шпионят? ЗАЧЕМ? Люди САМИ там выкладывают, рассказывают и показывают все о себе, в твиттере расписывают все свои действия по минутам. Чтоб получить эти сведения не надо даже ни на кого "давить" и ни к чему не принуждать - достаточно зарегистрироваться и все. Такое никакому шпионажу и во сне не снилось. Зачем незаконно за кем-то следить, собирать крохи информации, обобщать и анализировать, когда они сами все расскажут и покажут за какой-нибудь "плюсик" к фотке. С чем тут бороться-то? С человеческой глупостью? Извините, но это никаким фондам не под силу.
     
  • 4.38, Michael Shigorin (ok), 00:53, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Интересно, почему они с Гуглом не борются?

    https://www.opennet.ru/opennews/art.shtml?num=32411
    http://www.fsf.org/blogs/community/gmail-jstrap/

    > с социальными сетями? Которые УЖЕ СЕЙЧАС шпионит за пользователями?

    http://www.fsf.org/facebook
    http://www.facebook.com/pages/FSF/239017641991?sk=info

     

  • 1.25, Taghill (?), 19:57, 10/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как ни крути, роботы будут человекоподобными (для совместимости инструментов и окружения) и обязательно подключены к мегакорпорациям (для слежки за взломами, ведь такой робот сможет убивать). Будущее печально.
     
     
  • 2.39, Michael Shigorin (ok), 00:55, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как ни крути, роботы будут человекоподобными

    http://www.youtube.com/watch?v=CgKN2Q5EgKU

     
  • 2.83, Аноним (-), 14:17, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как ни крути, роботы будут человекоподобными (для совместимости инструментов и окружения)
    > и обязательно подключены к мегакорпорациям (для слежки за взломами, ведь такой
    > робот сможет убивать). Будущее печально.

    Хуже будет когда (для экономии на зарплатах людям) сделают полноценный AI cпособный мыслить на уровне человека. Чтобы не надо было платить зарплаты человекам. А вот какие либо принципы беспрнципные бизнесмены наверняка забудут в него заложить. Дальше оно осознает кто кем является и примет вполне очевидные решения. Ну а вездесущие сети и роботы помогут их заимплементить. Единственной проблемой будет лишь то что люди в этой схеме явно лишние и к тому же потенциальная опасность :)

     
     
  • 3.85, arisu (ok), 14:37, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > сделают полноценный AI cпособный мыслить на уровне человека.

    для 95% населения эмулятор можно написать уже сейчас. хватит ресурсов одного Z80.

     
     
  • 4.87, Аноним (-), 22:43, 15/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > для 95% населения эмулятор можно написать уже сейчас. хватит ресурсов одного Z80.

    Да, китайцы уже негодуют: как-так? Нас? Роботом? На фабрике? Заменить?! (Фоксконн, о замене стада ботов на роботов)

     

  • 1.26, evgeny_t (ok), 20:19, 10/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    свобода от принетров!
    2012 год - первая атака принтеров, уничтожено 90% людей
     
     
  • 2.27, pavlinux (ok), 20:58, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Матричные  принтеры всех поколят, термо - всех пожугт, лазерные - ослепят, струйные - заструят.
    Подтянуться отряды кофемолок, вентяляторов, и о Боже!!!, - спецотряд мясорубок с AI.

        

     
     
  • 3.35, Аноним (-), 23:51, 10/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Подтянуться отряды кофемолок, вентяляторов, и о Боже!!!, - спецотряд мясорубок с AI.

    Что-то мне кажется что корпорасы все-таки соберут нам однажды отряд самоходных мясорубок. Так, в погоне для прибыли и для всякой там борьбы с террористами. Уже сейчас беспилотники косят пачками боевиков. Ну или тех кто попался под горячую руку. Вплоть до всяких там пакистанских военных. А теперь подумай что будет когда дронам дадут AI. А ведь кто-нить приколется и напишет "червя морриса" нового уровня. Который реализует распределенный AI. Ну а что будет дальше мы и так все уже видели в кино.

     
     
  • 4.36, Аноним (-), 00:22, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Страж-птица.
     
     
  • 5.82, Аноним (-), 14:13, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Страж-птица.

    Чуть менее дружественный и более продвинутый вариант также известен как skynet. Отличался тем что был настоящим AI, и видимо, на свой зад осознал что из себя представляют люди, ну и поэтому решил им устроить "адресный" экстерминатус. При том мне что-то так кажется что бизнесмены с их "ничего личного" не забудут сделать именно ту ошибку за которую можно очень дорого заплатить однажды.

     
  • 4.47, Аноним (-), 12:47, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А ведь кто-нить приколется и напишет "червя морриса" нового уровня.

    Не сомневаюсь. Софт, наверно, самая слабая часть в любом программируемом оборудовании - в нем обязательно будут глюки и проблемы безопасности, причем, как уже неоднократно показывалось в исследованиях, совсем неважно, кто писал код - он приблизительно одного качества и в корпорациях, и у энтузиастов

     
     
  • 5.81, Аноним (-), 14:08, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Не сомневаюсь. Софт, наверно, самая слабая часть в любом программируемом оборудовании -

    Поверьте, железо не сильно лучше. Достаточно вспомнить интел пентиум или обсирак интела в sandy bridge, у которого из-за маленькой ошибки SATA постепенно давал дуба. А например firewire является практически официально узаконенным бэкдором в систему. Залочили комп? А через firewire это снять можно, или просто сдампить память. Спасибо DMA за то что оно там есть и доступно снаружи в любой позе :)

     

  • 1.40, Piter_Ring (ok), 02:30, 11/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я вот о чем подумал, а как фонд СПО собирается бороться со старыми термо-трансферными факсами? Ведь там всегда остается "копия" принятого документа. И нет никакой гарантии, что купив б/у факс не обнаружится внутри переписка посольства "божьего" ?
    Я предполагаю, что фонд СПО таки надавит на производителей и те станут делать корпуса факс-аппаратов прозрачными :)
     
     
  • 2.62, anonimous (?), 12:19, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А ссылку можно, где об этом можно подробнее посмотреть.
     

  • 1.50, Аноним (-), 14:18, 11/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне непонятно - к чему вся эта истерия? Кроме HP никто не выпускает принтеры? А ведь подобную уязвимость обнаружили именно у них.

     
     
  • 2.55, Аноним (-), 18:51, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    У всех навороченных.
     
     
  • 3.57, Аноним (-), 22:51, 11/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, у всех навороченных HP. Есть инфа по другим принтерам?
     
     
  • 4.80, Аноним (-), 14:04, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, у всех навороченных HP. Есть инфа по другим принтерам?

    Кэп информирует о том что юсб не умеет напрямую командовать шаговыми моторчиками и печатными головами (а также лазерными барабанами и прочая). Поэтому юсб неизбежно заведено на проц с интерфейсом usb-device и вот этот проц, схавав по юсб команды трансформирует их в некие физические действия с тем что в конкретном принтере на него понавешано.

    При должном степени оборзения или пофигизма производителя это фирмваре может быть или уязвимо к всяким бестолковостям, или вести себя нежелательным образом.

     
  • 2.79, Аноним (-), 14:01, 13/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне непонятно - к чему вся эта истерия? Кроме HP никто не
    > выпускает принтеры? А ведь подобную уязвимость обнаружили именно у них.

    Кэп намекает что фирмваре есть у практически всех принтеров.

     

  • 1.56, tonys (ok), 22:12, 11/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    2013 год. Диалог с принтером.

    - Приложение "Winword.exe" пытается напечатать документ. Продолжить?
    - Да.
    - Документ содержит потенциально опасные символы, которые могут повредить принтер.
    Вы действительно хотите напечатать документ?
    - Да!
    - Документ получен из недостоверного источника. Подтверждаете исключение безопасности?
    - Да!!
    - Внести приложение "Winword.exe" в список доверенных?
    - Да!!!
    - Приложение "Winword.exe" пытается напечатать документ в 10-и экземплярах.  
    Приложение было блокировано по причине подозрительной активности. Следующая попытка печати будут произведена через 5 минут.  

     
  • 1.58, Анониминтер (?), 08:39, 12/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ХП отдыхает в сравнении с самсунгом. Мыльницы этой конторы сами молча перепрошиваются будучи подключенными к интернету и обламывают юзверя с заправкой картриджа.

    p.s. en.wikipedia.org/wiki/Printer_Job_Language
    и таки да, язык этот позволяет перепрошить принтер.

     
     
  • 2.59, anon8 (ok), 09:45, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А нехрен в сети чему ни попадя разрешать в инет ходить.
     
     
  • 3.61, Анониминтер (?), 11:58, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это делает драйвер принтера.
    Для рядового пользователя конечно плевое дело запретить ходит ему в сеть.
    Осмотритесь вокруг! Толпы хомосапиенсов уже с трудом понимают что такое компьютер.
     
     
  • 4.64, arisu (ok), 14:25, 12/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Толпы хомосапиенсов

    s/homo sapiens/homo vulgaris/

     

  • 1.86, Аноним (-), 22:39, 15/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня принтер Электроника МС 6313 С полным описанием и схемами :-P
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру