Материалы о принтерах, тем более корпоративного уровня, появляются на нашем сайте в последние годы довольно редко. И это понятно — горячие технологические сражения на рынке печатающих устройств давно стихли. Развитие здесь носит сугубо эволюционный характер: изготовители продолжают совершенствовать скоростные характеристики, предлагают все больше функциональности на затраченный покупателем доллар, но каких-то действительно новых возможностей от этого типа устройств уже никто не ожидает. Тем громче и неожиданней прозвучал анонс новой серии лазерных принтеров НР!
Стоит отметить, что прошедшая в конце сентября в Испании презентация — это уже второй в 2015 году запуск новых моделей для НР. Предыдущий анонс состоялся весной, но, в отличие от представленных тогда моделей, показанные в конце сентября в Барселоне новинки действительно привлекли внимание новыми возможностями. Сегодня новая серия корпоративных принтеров НР будет представлена в России, и это удачный момент, чтобы рассказать о них подробнее.
Предваряя анонс новых моделей, стоит напомнить об особенностях представленных ранее в 2015 году моделей. Многие их черты определяются применением нового поколения тонера — ColorSphere 3. Гранулы этого тонера имеют мягкую сердцевину с твердой полимерной оболочкой.
Благодаря наличию мягкого ядра они расплавляются при меньшей температуре и это предоставляет множество преимуществ. Меньшая температура плавления обозначает, что устройство сможет быстрее и с меньшими затратами энергии перенести краситель на лист бумаги. Помимо роста скорости печати, это предоставляет разработчикам возможность уменьшить многие модули печатающего устройства. Компания декларирует, что принтеры новой серии на 40 % компактнее и на столько же быстрее, а экономия электроэнергии может превышать 50 % — для корпоративного сектора, где в рамках одной организации могут использоваться сотни печатающих устройств, последнее имеет не меньшее значение, чем скорость печати.
Хотя характеристики представленных в 2015 году лазерных принтеров НР во многом определило применение нового тонера, есть и не связанные с ним изменения. Эволюционный характер развития этих устройств вынуждает разработчиков уделять больше внимания отдельным деталям и подсистемам. Например, в новинках применен лоток на 550 листов — казалось бы, мелочь, но это позволяет загрузить полную упаковку бумаги, даже когда в нем еще остались листы. Кроме того, благодаря предварительному анализу поступившего на печать изображения, автоматически — в соответствии со степенью заполнения страницы и, соответственно, необходимым количеством тонера — выбирается температура, до которой будет разогрет краситель. Это также позволяет увеличить скорость печати при сохранении энергоэффективности.
Однако пора перейти к рассказу о наиболее любопытной функции новых лазерных принтеров НР — защите от хакерских атак. Прежде чем поведать подробности новой технологии, Туан Тран (вице-президент и генеральный директор компании НР) отметил, что с точки зрения аппаратных средств современный принтер мало чем отличается от обычного ПК — он оснащен достаточно универсальным процессором, оперативной и постоянной памятью и работает под управлением пусть и специализированной, но все же достаточно мощной операционной системы. А главное, современный корпоративный принтер чаще всего является полноценным сетевым устройством, подключенным по Ethernet или даже Wi-Fi.
Из этого следует, что печатающие устройства являются полноценными элементами современной цифровой инфраструктуры и рискуют быть атакованными хакерами точно так же, как и персональные компьютеры, роутеры или элементы интернета вещей. На страницах MTS61.ru мы уже рассказывали о направленной атаке на Wi-Fi-сеть, когда для перехвата печатаемых в организации документов был использован дрон с закрепленным на нем смартфоном и специальным ПО. Но это — экзотика, гораздо чаще уязвимости в принтерах используются для вторжения в корпоративную сеть и распространения зловредного ПО уже внутри нее.
Именно поэтому новые корпоративные лазерные принтеры НР 500-й серии защищены от атак на аппаратном уровне, что дает возможность представителям компании называть их самыми защищенными принтерами в мире. Противостоять атакам злоумышленников помогают три ключевые технологии — HP SureStart, HP Secure White Listening и HP Run-time Intrusion Detection, реализованные в новых моделях и оберегающие печатающее устройство на всех уровнях его архитектуры. Расскажем подробнее о каждой из них.
Принцип технологии HP Sure Start достаточно прост и хорошо знаком нашим читателям, интересующимся материнскими платами. Он заключается в наличии в устройстве специального аппаратного модуля, содержащего эталонную копию BIOS. При включении принтера и загрузке из ППЗУ инициализирующего кода он проверяется на соответствие оригиналу. В случае несовпадения BIOS в микросхему будет перезаписана эталонная копия. Разумеется, наличие в принтере технологии HP Sure Start не означает, что его BIOS совсем нельзя обновить. Но для санкционированного обновления микропрограммы требуется перевести принтер в специальный режим, позволяющий перезаписать и эталонный код, — сделать это удаленно практически невозможно.
Следующий уровень противодействия атакам — защита прошивки печатающего устройства. Компания НР разработала собственную систему сертификатов, удостоверяющих надежность загружаемого кода. Она препятствует как загрузке неавторизованной компанией прошивки, так и изменению прошивки уже непосредственно в устройстве.
Третий уровень защиты — технология HP Intrusion Detection — заключается в непрерывном и прозрачном для пользователя сканировании памяти устройства для обнаружения в ней какого-либо зловредного кода или подозрительных инструкций. В случае внедрения такого кода непосредственно в память, HP Intrusion Detection прерывает его выполнение и автоматически перезагружает принтер.
Важно, что НР позаботилась не только о новых пользователях, но и о тех, кто приобрел устройства компании раньше, — новые функции будут доступны как в новых принтерах, так и в моделях предыдущих поколений, представленных начиная с 2010 года. Однако все три технологии реализованы только в 500- и 600-й сериях, так как для работы HP Sure Start необходимо наличие специального аппаратного модуля. Но две другие функции — обнаружение вредоносного кода и контроль неизменности прошивки — получат с очередным обновлением прошивки и многие уже существующие модели.
Основная дискуссия развернулась среди журналистов после презентации, и большая часть их вопросов к представителям компании была посвящена реальной необходимости подобных мер защиты в таком устройстве, как принтер. Хотя на мероприятии была представлена обширная демозона, где специалисты компании в том числе проводили и атаки на принтеры для демонстрации эффективности защиты, признаемся честно, сомнения в том, не является ли представленная технология всего лишь удачным маркетинговым ходом, у нас все-таки остались. Ведь информационная безопасность однозначно стала одной из главных тем в 2015 году, и дальше этой области будет уделяться все больше внимания. Не решили ли в НР просто воспользоваться всеобщим интересом к проблеме, чтобы привлечь внимание к своим новым продуктам? Чтобы ответить на этот вопрос мы обратились за комментарием к специалистам в области ИБ и задали несколько вопросов представителям компаний «Лаборатория Касперского» и Positive Technologies.
Часто ли принтеры являются целью кибератак? Действительно ли это настолько распространенное явление, чтобы принтеры необходимо было защищать на аппаратном уровне?
Дмитрий Серебрянников, руководитель отдела тестирования на проникновение компании Positive Technologies: Являются, причем не только внутри корпоративной сети, но и в сети Интернет. Как правило, принтеры плохо защищены и являются легкой добычей для злоумышленника. Очень часто на устройствах используются стандартные учетные записи, установленные производителем.
Денис Легезо, антивирусный эксперт «Лаборатории Касперского»: Целью кибератак являются информация или деньги, а уязвимости в ПО – это средства для ее достижения. Начаться атаки могут с любых устройств, имеющих внешние интерфейсы. С чего в свое время началась компрометация платежных терминалов крупной торговой сети Target? С захода в ИТ-инфраструктуру подрядчика по обслуживанию кондиционеров в сети. Что касается принтеров, то это полноценные устройства в локальной сети компании с управлением через веб-консоли и сообщения SNMP, со своими вычислительными ресурсами. Конечно, ПК и мобильные устройства сотрудников атакуют намного чаще, так как таких устройств больше и они мощнее по сравнению с офисной техникой. Тем не менее, эксплойты для принтеров в небольшом количестве появляются регулярно. Так что защищать стоит и их тоже.
Какие типы атак возможны на принтеры: перехват печатаемых документов, использование как промежуточного шлюза в корпоративной сети, использование в ботнете, какие-то еще?
Дмитрий Серебрянников: Зависит от того, насколько это продвинутый принтер. Некоторые позволяют сохранять в памяти документы. Соответственно, несанкционируемый доступ позволит сразу, без перехвата прочитать большое количество документов. Можно использовать принтер как зомби-хост при сканировании сети. Также, если в корпоративной сети один и тот же принтер используется разными отделами, находящимися в разных сегментах сети, принтер может стать «мостом» для злоумышленника, который развивает свою атаку в другие сети. Иногда принтер подключают к домену Active Directory и создают ему учетную запись, пароль которой можно вытащить из конфигурационного файла. Перепрошивка позволяет использовать принтер для рассылки спама или DDoS-атак.
Денис Легезо: Самая ценная находка для злоумышленника – эксплойт, позволяющий удаленно выполнить на устройстве произвольный код. Идеально – получить возможность изменения прошивки устройства. После этого ограничивают злоумышленника только ресурсы устройства (в случае принтеров не очень серьезные) и фантазия. В истории принтеров HP, кстати, было обнаружение исследователями возможности их неавторизованной перепрошивки.
Является ли защита BIOS и перезаписываемой прошивки принтера от несанкционированного изменения достаточной защитой от атаки?
Дмитрий Серебрянников: Это поможет лишь от атак, направленных на перепрошивку принтера.
Денис Легезо: Общий подход аппаратных вендоров, о какой бы технике мы ни говорили, – защита прошивок от реверсинга и модификации. В этом их понятный интерес – защита своей интеллектуальной собственности и снижение риска получить иск от пользователей. Мы не изучали именно Sure Start и BIOSphere, но рискну предположить, что это верно и в случае разработок HP. То есть шифрование, защита от снятия дампов прошивок, восстановление поврежденной прошивки и т.п. появятся, но полноценной борьбой с вредоносным ПО, тем более продвинутым, вендор на устройствах заниматься не будет (хотя в случае HP с их линейкой защитного ПО могло бы получиться интересно). Для этого есть отдельные специализированные решения. Попутно отметим, что любое добавление функции централизованного управления прошивками (как в BIOSphere) должно проводиться очень осторожно, так как дает дополнительные возможности не только системным администраторам, но и злоумышленникам.
НР декларирует возможность автоматического обнаружения недопустимого кода в памяти принтера — не могли бы вы прокомментировать эффективность такого подхода?
Дмитрий Серебрянников: Рекомендуем досконально протестировать конкретную реализацию данного подхода, но, скорее всего, это также поможет только от атак, связанных с перепрошивкой принтера.
Денис Легезо: Насколько я понимаю, в этом случае мы говорим про контроль целостности прошивки. Безусловно, это полезно, но не является полноценной борьбой с вредоносным ПО.
Подведем итог. Необходимость дополнительной защиты печатающих устройств признают ведущие эксперты по информационной безопасности, и инициатива компании НР однозначно заслуживает положительной оценки. Разумеется, корпоративный принтер должен быть надежно защищен на уровне сети организации, скрыт за фаерволами и ограничен сетевыми политиками — это основа безопасности вычислительной инфраструктуры. Однако злоумышленникам нередко удается преодолеть эти преграды, и именно наличие в конечных сетевых устройствах аппаратной защиты от вторжения может стать тем самым рубежом, на котором злонамеренная атака закончится неудачей. Без сомнения, другие производители также займутся разработкой подобных технологий в обозримом будущем, а в данный момент компания НР подтвердила свой статус лидера и обеспечила своим новым принтерам корпоративного уровня заметное конкурентное преимущество.