IoT: всем бояться?

На конференции по безопасности 44CON Майкл Джордон, консультант по безопасности компании Context Information Security, представил метод взлома очередного принтера с последующим исполнением в нем произвольного кода.

На этот раз (а он не первый, вспомните, хотя бы историю с HP) жертвой пали принтеры Canon Pixma. Конкретно, на демонcтрации пострадал Pixma MG6450. Встроенные в него 32-битный ARM-процессор и 10 MB оперативной памяти формируют достаточно приличный по меркам 20-летней давности вычислитель. Во всяком случае для пущей наглядности на системном экранчике устройства был запущен порт легендарной «стрелялки» Doom.

Здесь даже можно посмотреть видео. Играбельность такой реализации, безусловно, вызывает сомнения, но сама ее возможность производит впечатление. 

Принтеры, пожалуй, не совсем ассоциируются с IoT, однако именно в таком контексте представлял свое исследование сам Джордон. Тем более, что Pixma MG6450 обладает веб-интерфейсом, а значит может участвовать и в каких-то M2M-взаимодействиях. К тому же, представленная идея взлома легко распространяется и на другие классы IoT-устройств, допускающих дистанционное управление: новомодные холодильники, термостаты, медицинские мониторы и пр.

Естественно, в этом-то веб-интерфейсе и кроется вся суть продемонстрированной проблемы. Он используется для контроля за уровнем чернил, распечатки тестовых страниц, обновления микропрограммы – и при этом даже не требует авторизации. Последнее уже должно бы насторожить – ведь какой-нибудь шалун или мстительный экс-сотрудник может запросто перевести все чернила. Впрочем, веб-интерфейс же необязательно показывать в Интернет?

Вот тут нас ждет первый настоящий «сюрприз». Джордон просканировал 9 тыс из 32 тыс публичных адресов, по которым, по некоторым данным, могут находиться принтеры. 1822 из них ответили, а 122, вероятно, действительно принадлежали уязвимым устройствам. Т.е. поиск завершился успехом примерно в 6% случаев, что весьма немало. Другим вариантом может быть сканирование уже внутри локальной сети, скажем, из скомпрометированного браузера. JavaScript вполне хватит, чтобы найти нужные порты и инициировать обновление микропрограммы.

Обновление, собственно, и представляет потенциальную угрозу. Как выяснилось, в его процессе удается поменять параметры proxy и DNS-серверов и, соответственно, перенаправить принтер на нужный ресурс с подставными микропрограммами. Собрать последние также оказалось посильно, поскольку они не подписываются, а шифруются достаточно слабо. Насколько все это сложно? Попробуйте представить сами, если Джордон жалуется, что больше всего устал именно от портирования Doom. Или прочтите его блог.

Но подставная микропрограмма может играть и далеко не шуточную роль. Легко представить, что устройство, к примеру, будет играть роль шлюза в локальную сеть. Или передавать во внешний мир информацию о распечатанных документах, вплоть до их графических копий. Конечно, реальным злоумышленникам придется потрудиться гораздо больше – ведь нужно будет сохранить хотя бы базовую функциональность принтера, во избежание раннего обнаружения атаки.

Естественно, Canon получила соответствующую информацию еще несколько месяцев тому назад и санкционировала нынешнюю ее публикацию. Представители компании пообещали, как минимум, реализовать аутентификацию пользователей во всех новых моделях, а также выпустить соответствующее исправление микропрограмм для моделей, производившихся с середины 2013 г. Соответственно, всем пользователям Canon Pixma рекомендуется проверить обновления и не открывать к принтерам (а равно и к другим IoT-изделиям) доступ из Интернета.

На мой взгляд прецедент показательный. Не случайно многие эксперты предупреждают, что развитие IoT непременно поднимет совершенно новые проблемы в области безопасности, и не только информационной. На сегодняшний день это абсолютная terra incognita и можно только фантазировать об уровне угроз в ней. Но защитой, как в технологическом, так и в организационном планах, стоит озаботиться до, а не после.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365