Faksen cyber hack scare og vårt behov for avanserte sikkerhetsløsninger
NyheterDet har blitt mye rapportert at det er rundt 45 millioner faksmaskiner som brukes globalt i virksomheter i dag. Faksmaskiner er lett glemt i hjørnet av et kontor, som er nettopp derfor de er utsatt for risikoen for hacking. Dessverre, mens faksmaskiner kan virke som en utdatert kommunikasjonsenhet, er de fortsatt mye brukt og koblet til nettverk i bransjer hvor svært sensitive data lagres, for eksempel helse, bank og lov. NHS bruker for eksempel over 9000 faksmaskiner regelmessig. Og selv om enkelte faksmaskiner kan være “fast” For å unngå hack, er de fleste for gamle til å oppdatere.
Det er derfor ikke overraskende at det ble nylig oppdaget et større sikkerhetsproblem ved Check Point Research etter å ha identifisert en feil i HP Officejet all-in-one faks, samt andre maskiner og skrivere. Check Point Research oppdaget at hvis disse enhetene er koblet til et selskaps nettverk, kan det da tillate hackere å bryte inn i en organisasjonens IT-nettverk og server og få tilgang til sensitive filer og dokumenter.
Med dette i betraktning må bedrifter som fortsatt bruker faksmaskiner, være oppmerksomme på de potensielle risikoene, konsekvensene og metodene de kan introdusere for å beskytte sine maskiner. Her er alt du trenger å vite.
Hvordan fungerer hacking av en faksmaskin?
De fleste faksmaskiner er i dag integrert i alt-i-ett-skrivere, koblet til organisasjonens interne WIFI-nettverk og til PSTN-telefonlinjen. En hacker kan bare sende et spesielt utformet bilde, som er kodet for å inneholde en skadelig programvare til faksmaskinen. Faksmaskinen vil da gjøre jobben sin og lese bildet. Bildet er imidlertid forsettlig feilformet slik at det vil føre til at bildedekodingsfunksjonen (en del av faksmaskinens fastvare) brytes på en slik måte at det tvinger den til å utføre angriperenes kode istedenfor koden til fastvaren. Dette vil igjen gi angriperen full kontroll over faksmaskinen.
Dette er veldig alvorlig, siden angriperen har tilgang til det samme interne nettverket der enheten er koblet til via WiFi eller Ethernet-tilkoblingen, og det vil ikke være noen brannmurer (og sannsynligvis ingen IDS heller) for å beskytte nettverkssegmentet. Og det vil gjøre det så mye lettere for angriperen å spre sine angripende verktøy og ondsinnet kode til datamaskinene og enhetene på nettverket, eller bare høre på den interne trafikken i håp om å få saftige hint og ledetråder om andre interessante mål i organisasjonsnettverket.
Og hvem vet hva slags konfidensielle dokumenter vil bli sendt til den aktuelle skriveren i mellomtiden ...
Hvor stor er risikoen?
Risikoen for hacking blir noe forsterket fordi de fleste firmwares (en bestemt klasse av dataprogramvare) på disse enhetene ble skrevet, som du kanskje ville forestille deg for mange år siden, da folk fortsatt var uvitende om mulig skadelig programvare og cyberangrep, ofte tenker “hvorfor ville noen sende meg en misdannet faks eller angripe min faksmaskin?”
Avanserte testmetoder som kildekodeanalysatorer og protokollfuzzers var enten ikke tilgjengelige eller generelt brukt av leverandører på den tiden, og sannsynligvis fortsatt ikke av noen leverandører. Det er også veldig utfordrende å oppdage den første fasen av et angrep hvis PSTN-telefonlinjen brukes som angrepsvektoren, da det ikke finnes brannmurer, IDSer etc. som kan beskytte PSTN-linjen. Det kan også være vanskelig å oppdage de gjenværende faser, siden den kompromitterte enheten nå skal målrette mot andre enheter på samme nettverk, og bli en intern trussel. Selv om endpoint sikkerhetsløsninger og IDS kan løse minst en del av problemet.
Hvordan beskytter du faksmaskinen din?
Det er enkelt, dump dem. hoppe inn i DeLorean (bilen fra Tilbake til fremtiden for de som ikke vet) og hodet tilbake til nåtid! Hvis du ikke er villig til å gjøre det, bør du skille faksmaskiner fra nettverket og / eller øke oppdagelsesfunksjonene dine. Selv om en PSTN-linje fortsatt kan være en utfordring, er det verdt å bruke en endepunktsikkerhetsløsning eller IDS. Disse vil selvfølgelig bare virke mot kjente sårbarheter og signaturer og er ikke på noen måte tilstrekkelig alene. En mer avansert tilnærming vil for eksempel være å se på bedragingsbaserte sikkerhetsløsninger - ved å bruke dekoder, enten ved å bruke faksmaskiner eller andre interessante mål i nettverket ditt. For eksempel kan du lokke i angriperne og få øyeblikkelig varslet når du blir hacket.
For det andre er perimeter sikkerhet ikke nok! Dette er bare flere enheter og programvare som er like sårbare som noe annet. Og det vil ikke dekke PSTN-linjene. Flere avanserte løsninger er nødvendig, for eksempel sørg for at leverandøren bruker proaktive metoder i produkttesting (fuzzing, kodeanalysatorer, binære analysatorer etc.). Sjekk når den siste gangen du fikk BOM (regning av materialer) fra din programvare eller produktleverandør (la meg gjette - aldri!). Videre se på nye områder av sikkerhet: bedrag og dekoder, som nevnt ovenfor. Disse vil virkelig ta deteksjonsmulighetene til neste nivå, og dekker også insider-trussescenarier.
Til tross for sårbarheten og risikoen for hacking er virkeligheten det finnes en mengde andre måter å utnytte et selskap på, f.eks. insiderangrep, ondsinnede USB- (minne) -enheter og nye malwares med kryptert nyttelast (med nye tilnærminger som DeepLocker) som kan gjøre det mulig for angripere å målrette intranettet direkte omgå omkretssikkerheten. I tillegg har undersøkelsesforskningen funnet bare en bestemt gammel all-in-one-skriver-firmware, og reproduksjonsevnen var usikker.
Fokusering for mye av spesifikke trusselvektorer løper risikoen for å redusere fokus for mye, noe som gjør forsvareren blind til det større bildet. En moden risiko-sentrert sikkerhetsorganisasjon vil ha de riktige verktøyene for å gjøre slike angrep ineffektive.
Juha Korju, CTO av Aves Netsec
- Sjekk også vår roundup av de beste skriverne