Методы борьбы с уязвимостями в современных принтерах могут привести к появлению новой угрозы
Исследователи из Колумбийского Университета продемонстрировали, что множество моделей принтеров от компании HP могут быть перепрограммированы через специально созданные задания для печати. Это серьёзная уязвимость, с учётом того, что многие современные принтеры имеют функциональность близкую к компьютеру - возможность работы в сети и собственный жесткий диск, они также могут атаковать системы к которым они непосредственно подключены. Более того, они могут причинить даже физический вред: взломанный принтер может испортить всю бумагу и тонер заправленные в него, а в худшем случае – стать причиной возгорания.По мнению представителей Фонда свободного ПО, некоторые эксперты предлагают лечение, которое "ещё худшее, чем сама болезнь". В данной ситуации предлагается, чтобы такие принтеры запускали только тот код, который ранее был подписан производителем этого принтера. Оборудование, которое работает исключительно с подписанным кодом может быть достаточно безопасным, но только в том случае, если у владельца этого принтера есть окончательное право решать, какие подписи принимать, а какие – нет. Если же все права передать производителям оборудования, оставив владельца без права самому решать, что запускать на своем принтере, а что нет – то такой ход наоборот, отрицательно скажется на общей безопасности (точно такая же дилемма выбора возникает при внедрении функции Secure Boot на ПК).
Другая проблема с принтерами – незаконное и скрытое слежение за их владельцами, как правило, с помощью специальной маркировки всех распечатанных документов почти невидимыми желтыми точками. В качестве удачного примера борьбы с этим явлением можно привести общественную компанию Seeing Yellow campaign, где каждый владелец получает юридическую консультацию, как он может бороться с производителем такого принтера. Другая проблема – это продажа бывших в употреблении принтеров, и при этом полное отсутствие возможности контроля, какие документы и информация остается на внутренних носителях в таком принтере. По мнению исследователей, эти и многие другие проблемы существуют потому, что ключевые программные компоненты современных принтеров являются закрытыми и проприетарными. Именно поэтому текущие попытки ещё больше ужесточить доступ к логике работы принтера через подписывание его ПО производителем принтера и блокировки всего остального – ещё больше усложнят борьбу с подобными явлениями, лишая владельца такого принтера не только безопасности, но и свободы выбора.
По мнению Фонда свободного ПО единственный способ сделать принтер по-настоящему безопасным – это дать свободу изучать, модифицировать и заменять его ПО, а не пытаться создавать нагромождение из политик безопасности с одновременным отстранением владельца принтера от возможности самостоятельно принимать решения.
© OpenNet