Laserové tiskárny HP mohou být zneužity

No, já myslím, že nikdo soudný nenechává tiskárnu přístupnou volně z internetu, ale možná jsem něco zmeškal v souvislosti s tím kchůl a in klaudem?!

... kolik asi tak lidi ma tiskarny na verejnym IPckacha ... pusteny do netu ... a co asi tak nekalyho ... jo jasne, nekdo si tam nahraje to DP ...

... a co asi tak nekalyho ...
No tak třeba něco, co mi přepošle vše, co se na té tiskárně tiskne.

To asi tezko, on totiz bude muset spis vyresit problem, jak tiskarnu presvedcit, ze tohle vazne tisknou nema. Protoze ten port je defakto RAW print => cokoli na to prijde se veme, nacachuje na disk, a (jen tak mimochodem) vytiskne.

netcat PRINTER_IP 9100
Hello World
<Ctrl+c>

... co ze to asi tak udela?

A apropos, nejak se pozapomelo, ze zaroven musi byt dostupny nejaky dalsi http port ... hmm, nako se nam to komplikuje co?

Port 9100 je port určený (a standardizovaný) jako port pro tisk.

Zároveň se používá pro ' tisk' úlohy, která nic nevytiskne, ale na disk tiskárny uloží nějaký soubor nebo dokonce program – což je věc, která může být potřeba – na disk tiskárny je možné uložit např. fonty pro tisk, nebo programy rozšiřující funkčnost tiskárny např. agent pro HP Access Control.

Tedy, ano, tiskárna je napadnutelná a zneužitelná, stejně jako PC, server, mobilní telefon, chytrá televize, chytrá lednička, dálkově ovládaná klimatizace,….

Tiskárna ALE může být nadále bezpečná.

Abychom zabránili napadení, je potřeba tiskárnu zabezpečit – a HP tiskárny mají v sobě potřebné technologie pro své zabezpečení .

1. Na zařízení MUSIM dát heslo – píšu musím, protože to považuju za úplně základní věc, na kterou by uživatel neměl, pokud nemá prostředí zajištěné jinak, zapomenout.

2. Přístup k zařízení po daném portu lze na tiskárně omezit – např. seznamem IP adres či rozsahů adres, které mohou na tiskárnu tisknout – takže se mi nikdo z Internetu na tiskárnu nedostane a to i v případě, že vlastní síť nechráním pomocí firewallu.

3. Ukládání souborů na disk lze buď úplně zakázat, nebo je možné opět chránit heslem – jiným, než je to hlavní heslo (abych uživateli, který může soubory na disk tiskárny ukládat, nedával do ruky také správcovské heslo)

4. Mohu zakázat nahrávání firmware či rozšiřujících programů do tiskárny. Mohu to selektivně povolovat a opět zakazovat, pro případ, že potřebuji firmware v zařízení aktualizovat.

5. Firmwary zařízení i rozšiřující programy musí být digitálně podepsány společností HP – zařízení tedy samo o sobě nepovolí nahrání a spuštění jakéhokoliv programu či firmwaru, který není certifikovaný a podepsaný z HP

6. U nových zařízení se při startu – při rozbíhání BIOSu a operačního systému – automaticky kontroluje, zda je BIOS a firmware v pořádku (zda nejsou modifikovány) a zamezí spuštění v případě jejich modifikace.

7. U nových zařízení si samotná tiskárna kontroluje i svou operační paměť a detekuje pokusy o narušení v reálném čase.

8. U zařízení firmware odmítá tisknout černobíle, pokud došel barevný toner.

9. U zařízení firmware systematicky lže o stavu tiskové náplně.

10. U zařízení je firmware zkriplený DRM pro detekci "zlých" recyklovaných náplní.

11. zarizeni detekuje originalni napln dodanou primo vyrobcem na zaklade smlouvy jako neoriginal.

12. zarizeni odmita tisknout proto, ze dosly draty v sesivacce, a to presto, ze nikdo nic sesivat nechce.

13. zarizeni sice tvrdi, ze vymenitelne cosi vydrzi jeste 200 000 stran, ale zaroven nadava, ze kvalita tisku jiz neni dostatecna.

14. zarizeni za 1/2M reaguje na podnety pomaleji, nez i386 zapomenuta ve sklepe.

15. driver zarizeni vyrobi z 1/2MB PDF 1/2GB dat ktera tlaci po siti, a pak to tiskne rychlosti 1s/10 minut.