安全

【物联网攻击无所不在】为什么学校打印机会被入侵?

字号+ 作者:罗正汉 来源:ithome 2017-05-27 09:38

今年2月台湾多间学校收到黑客勒索诈骗信,透过打印机擅自印出带有威胁内容的文字,其实这已经拉起了物联网攻击的警报,同时也暴露出更多连网设备管理的安全隐忧

 


今年2月台湾多间学校收到黑客勒索诈骗信,透过打印机擅自印出带有威胁内容的文字,其实这已经拉起了物联网攻击的警报,同时也暴露出更多连网设备管理的安全隐忧
 
近年物联网设备被入侵等攻击事件,已经在我们生活中实际发生,像是今年2月台湾校园收到黑客勒索诈骗信,大多人把焦点放在比特币勒索,也许有人认为觉得只是恶作剧,但这样事件其实更要突显的是,在物联网的发展浪潮之下,不只是计算机等运算设备,各式连网设备也都能够被攻击或利用,而且这样的事件就发生在台湾。
 
打印机能被人控制印出恐吓勒索讯息,这也代表,有心人士不再只是打打骚扰电话,寄寄钓鱼电子邮件,或是将恶意软件植入你的计算机,是否还可以利用更多连网设备来入侵你的生活。
 

台湾校园打印机收到勒索诈骗信的原因与影响
 

在可恶的勒索行径之外,这次事件也让我们关注到,因为传达讯息方式很不一般,不是透过电子邮件,也不是在计算机上跳出警告讯息的内容,而是自动从打印机印出以英文撰写的恐吓、勒索内容,彷佛电影情节一般,无人使用的打印机半夜会自动印出威胁文件。
 
而且,这并不像是其他的物联网攻击,一般我们并不容易直接察觉遭到入侵。
 
为何打印机会自动印出勒索讯息呢?教育部门负责人詹宝珠表示,事件主因是大部分联机打印机使用外部实体IP,相关信息暴露在互联网上,致使攻击者利用打印机打印使用的端口9100,就能控制打印,因此各厂牌打印机皆无法幸免。
 
看起来,这样的攻击过程其实并不复杂,也没有太高深的骇入行为,但暴露出一些根本上的管理问题。HP政府及企业事业处资深项目技术顾问黄欣伟指出,设备安全管理缺失是一大问题。
 
首先,网络打印机使用外部实体IP地址,没有放到受控的内部网络环境之中,也就是说任何人只要连到这个IP地址,就能执行打印,应该要让设备在防火墙内保护,然后在防火墙或路由器设定,将外部进来的9100埠关闭。
 
另外,他们也注意到这些出问题的设备,几乎都是使用默认管理密码,或根本没有设定密码,设备明显不设防。这意味着他人若要变更打印机设定,也就很容易,特别是设备又暴露于互联网的情形之下。
 
你可别以为这影响不大,这其实也就是物联网攻击威胁的缩影,以更直接的方式入侵你的生活。
 
虽然这次事件只是打印机被无端控制打印,你可能感到一点讶异,但若是直接在自己家中就收到这样的一个恐吓信,而它就是一个实体的纸张,直接出现在我们身边,那种入侵带来的威胁感与紧张度,其实已经预告了,现在的网络威胁已经不像过去那样简单,不只是针对计算机、手机、网站,而是可以深入到现实生活之中造成影响。
 
对于家中长一辈的人,或是胆子小的人,甚至可能以为发生什么灵异事件,为现实生活的心理层面带来更大压力。
 
去年已有类似打印攻击事件,反应出更多入侵面向
 
其实类似事件已经不只这一桩,近年一些打印设备厂商也关注到此情形,像是HP与Ricoh均指出,去年3月美国地区就曾经发生过,多所知名大学校内的连网打印机,自动印出了带有种族主义的传单,文件内容中并附上纳粹标志,利用校内设备来传播反犹太理念。
 
这样的事件对于台湾民众来说,可能没有什么感觉,因为该议题通常不是我们会去关切的,但此事件所反应的远远不止这些。
 
这种内容散播的侵入方式,也就是利用设备打印特性的一种网络攻击,如果发生在台湾,印出的内容若是用于造谣、黑函等,就很可能挑起斗争、栽赃嫁祸,或是让人误以为是他人在搞鬼,而攻击者只是隐藏在背后,利用物联网攻击的手段,就能达到不同的目的。
 
这不是危言耸听,物联网攻击不仅是侵入现实生活,随着攻击者的动机,以及连网设备的不同特性,将带来许多你意想不到的直接或间接攻击方式。
 
至于另一起事件,也发生在今年2月期间,与台湾校园比特币勒索事件的时间接近,据海外媒体Bleeping Computer报导,一位网络昵称为Stackoverflowin的黑客,入侵了15万台的网络打印机,当中也包含像是热感式打印机,黑客远程操控这些打印机印出了文字,并以ASCII编码画了一个机器人图案,意指用户的打印机已成为殭尸网络的一部份,说是为了警告大家,将打印机曝露在网络上也是有风险的。
 
这起事件在台湾也有遇到,Epson影像事业部客户服务营业部副协理曾毓正表示,他们台湾客服中心与业务单位,就有收到用户反应,设备自动印出署名Stackoverflowin的檔。虽然这个案例在台湾看起来并不多,仅有6起,只是当中居然有一起是发生在中小企业身上,让人感到意外。
 
曾毓正也指出同样的问题点,建议第一件事就是要检查网络安全性,暴露在外部实体IP下的连网设备,设备设备纳入防火墙防护范围。他并用简单的例子来说明,就像打印机若放在室外跟室内,放在室外的大家都能操作,放在室内至少还要先开个门,也等于是多一层防护的概念。
 

了解物联网攻击的可能威胁,同时重视更多连网设备的管理通病
 

简单来说,将打印设备暴露在外部网络IP之下,只要有心人士有办法搜寻到这台打印机的IP位置,然后将打印机的语言包成一个网络的封包,透过9100的端口传送到打印机,因此印出的内容都是文字编码。
 
从攻击者角度来看,也就是说只要知道这个IP地址是打印机设备,知道特定通讯端口有开,就可以将资料透过封包传送到打印机IP地址。
 
相较之下,过往我们会重视计算机、服务器的管控与防护,但打印管控方面,可能有些企业、单位很重视,有些则比较开放,显然连网设备的安全重视程度有差异,而在物联网攻击的发展演变下,全部都将变得值得关注。
 
另外,连网打印机遭入侵到底严不严重呢?虽然校园比特币勒索的事发过程,都只是印出一页文件,或是几天后又一次印出,但攻击者若要一次大量打印999份,浪费你的纸张、墨水或碳粉,也不是不可能,就看设备中的纸匣装填了多少纸。黄欣伟也指出,过去也有黑客演示透过几行程序,控制打印机循环启动加热器,就能够进一步对设备造成危害。
 
前面也提到,物联网攻击不仅可用来瘫痪设备,也能搭配勒索,同时也因为能入侵你的生活,带来心理层面等影响,甚至于有可能成为借刀杀人的工具,像是成为网络DDoS攻击的帮凶。
 
而这些连网打印机所面临到的安全防护问题,其实也是其他连网设备可能遭遇的情形,像是网络安全管理不当或使用默认密码等,若不能做通盘的清查与改善,势必还会再发生同样的问题。
 
最后也要提醒,现在不少打印设备,像是事务机、复合机都还内建硬盘,也能公司文件服务器、邮件服务器,若攻击者能更改打印机的设定值,窃取其网络信息与储存的认证信息,或植入恶意软件攻击其他设备,面临的风险也就更高,未来的物联网设备也是如此,一旦功能越来越复合、强大时,面对的攻击威胁也会更大。
 
在这次校园打印机勒索事件后,我们需有更多警惕,物联网攻击已经离我们不远,也开始影响我们生活周围。
 
2017台湾校园打印机入侵事件 ,共72单位遇害

 
今年2月台湾校园收到黑客勒索诈骗信,当时媒体公布有46间学校受害,经后续追踪,教育部门负责人詹宝珠表示,在2月17日,他们已经透过台湾学术网络危机处理中心(TACERT)发布预警情报,并提供改善建议,各县网络中心也有提供协助支持,而后续统计结果显示,在2月17日至3月14日这段期间,共有72个单位170个打印机回报有收到这样的恐吓讯息。而从遇害范围来看,其中大专院校占52%,国民中小学也有34%的比例,高中职则占13%,其他单位1%。
 
据了解,并无学校实际支付任何款项,普遍认为是一种恶作剧的行为,或是一种诈骗行径,不过詹宝珠表示,其实在3月1日到3月2日期间,还真的有教育体系部分系统受DDoS攻击。所幸,已有应对措施防备,并未影响对外服务。
 
虽无法肯定这是同一主使者所为,但这也让人关注到,原来不只是加密勒索软件才会勒索比特币,有心人士也能以不同攻击手法与勒索手段搭配来威胁。
 
由与近年加密勒索软件的目的相同,以匿踪性高的比特币作为恐吓赎金,让执法单位难以追查,当黑客受到利益驱动,将勒索行为锁定不同目标下手时,这也促使攻击可能性的增加,连带也让过去未引爆的许多问题渐渐浮上台面。
 

近年已有3起打印机入侵滥印攻击事件

 
攻击事件1:印出具种族歧视的内容,达到煽动与宣传效果



 
去年3月期间,有数间美国大学内的打印机遭到黑客入侵,打印出反犹太意味的传单。并邀请大家前往白人至上主义网站The Daily Stormer去浏览。(图片来源/weev's Blog)
 
攻击事件2:告诉你打印机已被入侵,成殭尸网络的一份子



 

今年2月,全球有数万网络打印机被控制,打印内容指称你的打印机已成殭尸网络(Botnet)的一分字,并且以ASCII编码画了一个机器人(Bot),警惕意味浓厚。(图片来源/Epson)

 
 
攻击事件3:成为寄送勒索诈骗信的管道,用来恐吓取财



 
台湾关心的校园比特币勒索事件,也发生在今年2月,打印机被入侵并印出勒索信,要求支付比特币赎金,否则在指定日期将以病毒摧毁档案,或其他攻击瘫痪网络。

 
针对打印机遭入侵打印事件的3点防护建议

 
 作法1  设备设备不要使用公开的互联网位置,并建议设备设备前端需有防火墙防护,或限制外部网段无法存取,将IP地址设定为内部虚拟IP地址,避免直接暴露在互联网上。并可检查一般打印机的网络IP设定,像是将该设备网络设定中的Gateway,以及DNS设定为空白,限制只有同网段内的计算机才可联机至该打印机。另外,请关闭网络打印机不使用的服务(通讯端口Port),像是导致这次事件的9100埠,厂商也建议可关闭LPD Port(Port 515)、IPP Port(Port 631)与 FTP Port(Port 21),以防止有心人士,利用不同的管道对打印机进行不当操作。
 
 作法2  请务必检查网络打印机管理接口密码是否设定,若没有密码保护,或仅使用默认密码,又或是密码太简单,都让有心人士可以很容易去更改网络设备的设定值。这是使用者对于连网设备本身,最基本的防护设定。
 
 作法3  因为打印机遭他人控制打印还有其他方式,像是可能因PC端被植入木马,而产生远程打印,因此还是要确认相关之网络环境安全,以及保持操作系统、浏览器与防病毒软件的最新状态。对于其他物联网设备(如:网络摄影机、投影机、视频会议主机等),也应该要一并检查,是否有同样安全管理漏洞。

 
突显长期被忽略的设备管理问题:为什么学校打印机会被入侵?

 
在今年3月的台湾安全大会上,台湾理光事业发展高级经理吴玉龙曾展示一段影片,有黑客利用事务机的显示屏幕,玩毁灭战士游戏的影片。他提到,现在的事务机完全就是一个网络化的设备,内建了处理器、内存、固件,甚至还包含了硬盘,并能连到公司文件服务器、邮件服务器等。
 
其实现在的打印设备,功能已经不是那么的单纯,这突显出打印设备的安全防护面向已经不小。若有心人士能够读取其网络信息、以及储存的认证信息,或是用户送到打印机的敏感信息,就能展开更多进一步的攻击。
 
回到我们这次的主题来看,今年台湾校园发生了打印机遭入侵,印出勒索信的事件,其实攻击过程并没有高深的骇入手法,也就是找到暴露在开放网络环境下的打印机,然后透过9100端口发送打印封包。所以这次问题到底出在哪?
 
 问题1  这些打印机多使用外部可连入的实体IP地址,突显管理缺失
 
由于大多数事件都是因为打印机本身使用外部实体IP地址,加上用户可能在一开始安装打印机时,就完全没有做过任何设定,就连IP都是使用DHCP取得,因此这突显出一直没被注意到的办公信息设备管理问题。
 
而像是在校园这样的特殊的开放式环境,由于不像企业般集中管理,很多时候在安全人员不足的情形下,也就成为管理的负担与隐忧。
 
虽然这次事件,教育部已经在TANet建立安全防护应变中心,于各区网中心端协助各单位安全侦测与防护,也声称协助受害单位完成改善,并拍摄校园信息安全课程影片,希望能教育使用者的安全警觉性。
 
但我们也不禁想问,在目前网络威胁的剧烈演变之下,开放的校园网络环境是否有调整的需要呢?企业安全专家李伦铨也指出,不是不能开放,但良好的管理才是关键。
 
像是可能有没通报的单位,能够如实照着建议改善吗?后续又如何监管与稽查呢?过去也曾有不少台湾学术网络计算机被当攻击跳板的事件,若没有良好的管理方式,难保问题还会一再发生。
 
另外,企业同样也该要警惕,Epson影像事业部客户服务营业部副协理曾毓正表示,有零售公司跟他们反应打印机遭到入侵,才了解对方公司整个网络架构并非建立在虚拟IP地址之下,在他们分店内的所有联机接口设备,都是使用外部的实体IP地址,并没有透过现在常用的VPN,也没有防火墙等管控措施。
 
虽然这种情况并不多见,毕竟直接使用外部实体IP地址,很容易受到外部攻击,也容易被外部连进来,一般企业网络管理应该都会注意。但不少安全专家表示,社会上还是有企业很传统,没有花心力在网络安全规画,再不警惕,风险就是比别人高。
 
还有一些网络打印机本身的管控面向也值得注意,举例来说,设备本身多半都有存取管控的功能,像是只允许IP位置范围的计算机才能联机,避免未经授权的使用者,可以任意使用设备来打印。另外还要注意的是,小心FTP可能是被入侵的管道,像是以匿名账号登入FTP服务,直接上传档案打印。
 
 问题2  未修改打印机本身的管理员密码,因此无法保护设定
 
在调查问题发生原因时,这次事件还暴露出一个长期存在的问题,那就是使用者几乎都没有修改打印机的管理员密码。显然,在信息设备使用太过方便的现在,用户已经完全忽视这一道程序。
 
不论如何,为避免不明人士滥用自己的打印设备,最好设定密码保护,不要因为一时的疏忽与偷懒,就仅使用设备默认的密码,等于设备本身的基本管控都没有,也让人轻易就能擅自更改连网设备的设定值,而使用者也不该故意设定一个太简单的密码。其实,这也是许多用户使用其他连网设备都有的问题。
 
综合来看,基本上,设备只要连上了网络,就有可能有心人士恶意入侵,以往没有这些攻击事件发生,在物联网的发展浪潮之下,成为镁光灯下的关注焦点,加上现在有利可图,很多事情可能不会再被隐藏在台面之下,更多被突显出来的问题,也都将是各连网设备会同样面临的问题。
 
能够上网的设备只会越来越多,校园、企业与使用者都不应轻忽物联网攻击的威胁,而既有的这些连网设备的管理问题,若还没有做出改善,未来可能将会更应接不暇,也不应该只是为了单一事件而应对。
 
由于新兴威胁态势转换之快,培养良好安全观念与态度也很重要。就像这次事件所带来的警惕就是,尽管看似不起眼的打印设备,事实证明,也是可以作为物联网攻击或利用的手段,同时还暴露出长期都被许多使用者忽视的问题。



 

在台湾校园打印机遭入侵并印出勒索信之后,其实就已经警惕企业、机关单位与用户,物联网攻击的威胁就在眼前,同时也暴露出,长期被许多使用者都忽视的办公信息设备管理问题。










相关文章
  • 亚马逊抢攻智能家居再下一城,进军智能安全

    亚马逊抢攻智能家居再下一城,进军智能安全

    2018-05-02 16:01

  • 工业4.0进阶:确保物联网安全成首要任务

    工业4.0进阶:确保物联网安全成首要任务

    2018-04-27 11:42

  • 物联网设备漏洞得到证实 大多数装置仍存在安全性问题

    物联网设备漏洞得到证实 大多数装置仍存在安全性问题

    2018-04-26 16:08

  • 矿产行业必须加强物联网安全措施

    矿产行业必须加强物联网安全措施

    2018-04-18 09:10

网友点评