Цуй обнаружил, что принтеры безнадежно устарели. В процессе проведения нескольких тестов на проникновение я тоже это выяснил. Мне удалось использовать принтер для получения доступа к корпоративной сети. Это связано с тем, что сотрудники редко меняют пароль администратора на внутренних принтерах.
Программное обеспечение и прошивка принтеров, особенно коммерческих принтеров для домашнего офиса, имеют множество уязвимостей. Дело в том, что очень немногие воспринимают офисный принтер в качестве вектора атаки. Поэтому в этом случае работает принцип «безопасности через неясность» — если никто не замечает уязвимость, значит все в порядке.
Но как я уже говорил, у принтеров и копировальных машин, в зависимости от их модели, есть кое-что общее — они оснащены жесткими дисками. И если эти жесткие диски не зашифрованы, а это верно для очень многих из них, то к тому, что было напечатано, можно позднее получить доступ. Об этом известно уже давно. Цуй хотел проверить, можно ли использовать фирменный принтер против его владельцев и вынести то, что было напечатано, за пределы компании.
Чтобы было еще интереснее, Цуй решил атаковать код прошивки принтера, то есть программу, встроенную в микросхему, используемую внутри аппарата. В отличие от традиционных компьютеров и мобильных устройств, цифровые телевизоры и другие «умные электронные устройства» не обладают достаточной мощностью и ресурсами для поддержания работы полноценной операционной системы вроде Android, Windows или iOS. Вместо этого данные устройства используют так называемые операционные системы реального времени или ОСРВ (Real Time Operating Systems, RTOS), которые хранятся на отдельных чипах внутри устройства (часто это и называется прошивкой). На этих чипах хранятся только команды, необходимые для работы системы, и почти ничего сверх того. Иногда даже эти простые команды должны обновляться производителем или поставщиком путем перезаписи или замены чипа. Учитывая то, насколько редко это делается, становится очевидным, что многие производители просто не принимают надлежащих мер по обеспечению безопасности. Именно обновления Цуй решил использовать в качестве вектора атаки.
Цуй хотел выяснить, что произойдет, если взломать формат файла, используемый компанией Hewlett Packard для обновления прошивки, и обнаружил, что принтер Hewlett Packard не проверяет аутентичность обновлений. Поэтому он создал собственную прошивку, и принтер ее принял. Только и всего. Принтер не проверял, что обновления действительно исходят от Hewlett Packard. Ему было достаточно лишь того, чтобы код был предоставлен в поддерживаемом формате.
Теперь Цуй мог работать свободно.
В ходе одного известного эксперимента Цуй обнаружил, что он может включить фьюзерный модуль (он же печка) принтера, который нагревает бумагу после нанесения на нее красителя, и оставить его работающим, что могло привести к возгоранию принтера. Продавец оборудования, но не компания Hewlett Packard, сразу ответил на это, заявив, что фьюзерный блок оснащен защитой от перегрева, так что принтер не мог загореться. Тем не менее Цуй показал, что эту защитную функцию можно отключить, поэтому принтер загореться все-таки мог.
После проведения этих экспериментов Цуй и его советник Сальваторе Столфо назвали принтеры слабым звеном в любом доме или организации. Представим ситуацию, что отдел кадров компании, входящей в Fortune 500, получил через Интернет вредоносный файл с резюме. За время, нужное менеджеру по кадрам, чтобы распечатать его, вся сеть, по которой пройдет документ, будет скомпрометирована, а вредоносное ПО установлено на подключенных к ней устройствах.
Для решения этой проблемы используется стратегия безопасной печати по требованию (pull printing), при которой документы отправляются на печать только после прохождения процедуры аутентификации (обычно в этом случае перед печатью документа пользователю необходимо ввести пароль). Для этого может использоваться PIN-код, смарт-карта или такие биометрические данные, как отпечаток пальца. Безопасная печать также предотвращает появление невостребованных документов, благодаря чему конфиденциальная информация не может оказаться на виду у всех248.
Основываясь на результатах атак на принтеры, Цуй начал рассматривать другие потенциально уязвимые устройства, часто используемые в офисах, и в итоге остановил свой выбор на VoIP-телефоне (Voice over Internet Protocol).
Как и в случае с принтерами, никто не оценил их скрытую, но, если подумать, очевидную ценность для сбора информации. Как и в случае с принтером, поддельное обновление системы может быть принято VoIP-телефоном.
Большинство VoIP-телефонов предусматривают функцию Hands-free, которая позволяет вам включить в своем кабинете громкую связь. Это означает, что динамик и микрофон есть не только в телефонной трубке. Кроме того, телефон оснащен специальным переключателем, который сообщает ему о том, что трубка была снята с рычага или положена на рычаг, а также о включении громкой связи. Цуй понял, что, воспользовавшись уязвимостью этого рычага, он может прослушивать ведущиеся поблизости разговоры через микрофон для громкой связи даже при лежащей на рычаге телефонной трубке!
Один нюанс: в отличие от принтера, на который вредоносный код может попасть через Интернет, каждый телефон VoIP «обновляется» вручную. Для этого требуется, чтобы код распространялся с помощью USB-накопителя. Цуй решил, что это не проблема. За определенную плату нужные операции мог проделать ночной уборщик.
Цуй представил результаты своего исследования на нескольких конференциях, каждый раз используя разные VoIP-телефоны. В каждом случае производитель был заранее уведомлен об уязвимости, и каждый раз он ее исправлял. Однако Цуй отметил, что наличие патча не означает его применения. Во многих офисах, отелях и больницах могут до сих пор использоваться телефоны с неустраненной уязвимостью.
Итак, как же Цуй сумел получить данные с помощью телефона? Поскольку офисные компьютерные сети находятся под контролем, ему нужно было извлечь данные другим способом. Он решил пренебречь компьютерными сетями и использовать радиоволны.
Ранее исследователи из Стэнфордского университета и Израиля обнаружили, что нахождение вашего сотового телефона рядом с беспроводной клавиатурой позволяет третьему лицу подслушивать ваши разговоры. Для этого на ваше мобильное устройство необходимо установить вредоносное программное обеспечение. Однако, учитывая, что вредоносные программы можно загрузить из контролируемых мошенниками магазинов приложений, это достаточно просто, не так ли?
После установки на ваш смартфон вредоносного программного обеспечения акселерометр устройства становится достаточно чувствительным для того, чтобы уловить небольшие вибрации. По словам исследователей, в данном случае вредоносное программное обеспечение также может улавливать малейшие колебания воздуха, включая те, которые вызываются человеческой речью. Операционная система Android компании Google позволяет считывать показания с датчиков движения с частотой 200 Гц или 200 циклов в секунду. В большинстве случаев частотный диапазон человеческого голоса составляет от 80 до 250 Гц. Это означает, что датчик может уловить значительную часть разговоров. Исследователи даже создали специальную программу распознавания речи, предназначенную для дальнейшей обработки сигналов в частотном диапазоне от 80 до 250 Гц249.
