Lze se do tiskárny nabourat přes kazetu? Výmluvy společnosti HP na blokování výměny vyvráceny

Značka HP vysvětluje svou politiku blokování výměn obavami o bezpečnost uživatelů. Podle společnosti HP může být neoriginální čip v tonerové nebo inkoustové kazetě infikován virem, který se pak z tiskárny dostane do počítače a sítě. Odborníci na kybernetickou bezpečnost však mají pochybnosti. Jsou skutečně důvody k obavám, nebo jde jen o marketingovou techniku?

Lze se do tiskárny nabourat prostřednictvím kazety? Výmluvy společnosti HP na blokování výměny vyvráceny

Již dříve jsme psali o tom, že tiskárna je často přehlíženým zranitelným místem v systému zabezpečení domácí nebo firemní sítě a jak nás mohou kyberzločinci prostřednictvím tiskárny poškodit. To, co může z tiskárny udělat "bránu" k útoku, jsou nezabezpečené přístupové porty, aktivní nepotřebné tiskové protokoly a připojení k veřejné síti bez brány firewall.

Podle generálního ředitele značky HP Enriqueho Lorese však existuje další zdroj hrozby - náhradní náplně, přesněji čipy v náhradních kazetách pro tiskárny HP. V rozhovoru pro CNBC (Consumer News and Business Channel) Lores tvrdil, že existuje nebezpečí, že náhradní čip bude obsahovat virus, který se dostane do tiskárny. Podle generálního ředitele poskytují bezpečnost pouze originální čipy. Odborníci na kybernetickou bezpečnost však tyto argumenty zpochybňují.

Kybernetický útok prostřednictvím čipu tiskárny - skutečná hrozba, nebo uměle vyvolaná panika?

Reportér serveru Ars Technica Scharon Harding se rozhodl prozkoumat, zda čipy v kazetách mohou skutečně představovat hrozbu a kolik pravdy je na tvrzeních společnosti HP, že bezpečnost tiskáren a sítě zajišťují pouze originální kazety. Harding se obrátil na Dana Goodina, staršího redaktora kybernetické bezpečnosti v Ars Technica, který na serveru Mastodon rozprostřel své sítě mezi odborníky z oboru. Ukázalo se, že o kybernetických útocích prostřednictvím čipu v kazetě tiskárny se nemluví, protože... o takovém útoku nikdo neslyšel. Neexistuje žádný důkaz, že by takový útok byl někdy proveden. Je důležité si uvědomit, že odvětví kybernetické bezpečnosti velmi pečlivě dokumentuje známé případy virů a dalších útoků, aby se proti nim mohlo účinněji bránit.

Bezpečnostní výzkumník Graham Sutherland vysvětluje, že by bylo nemožné zavést virus do čipu tiskárny kvůli velmi omezené paměti čipů umístěných v kazetách. Paměť dostupná na čipu je pouze 32 bitů na kazetu, což v barevné tiskárně činí maximálně 256 bitů. To nestačí ke spuštění viru, získání kontroly nad tiskárnou a odeslání škodlivého softwaru jinam po síti.

Michael Miller, který se představil jako "zaměstnanec jiné společnosti zabývající se inkoustovými tiskárnami", potvrdil, že pokud jsou tiskárny HP skutečně zranitelné vůči útoku z čipu v kazetě, který může uchovávat pouze malé množství informací, svědčí to o chybném návrhu.

Johann-Tobias Schäg šel ještě dál - podle programátora by takto závažné bezpečnostní díry mohly být vytvořeny pouze záměrně a vyžadovalo by to poměrně velké úsilí.

Markus Müller upozornil, že vysvětlením blokování výměn hrozbou virů se generální ředitel HP Enrique Lores dopustil PR přehmatu - na kameru přiznal, že tiskárny jeho značky mají tak špatně naprogramovaný firmware, že představují kybernetické bezpečnostní riziko, a novinář, který rozhovor vedl, na to měl upozornit.

Několik vystupujících, včetně Steva Bellovina, profesora informatiky na Kolumbijské univerzitě, dospělo k závěru, že útok na počítačové systémy prostřednictvím náplní do tiskáren by musel být koordinován a proveden nepřátelským státem, nikoliv jedním hackerem nebo malou skupinou.

Jak spolehlivý je výzkum společnosti HP?

Společnost HP podporuje výzkum, který měl prokázat, že hrozba kybernetického útoku prostřednictvím čipu v kazetě je možná. Výzkumník ze společnosti Bugcrowd prokázal, že čip v náhradní kazetě lze použít k útoku typu buffer overflow. Tento typ útoku spočívá v odeslání většího množství dat do vyrovnávací paměti - kam se dočasně ukládají data - než je vyrovnávací paměť schopna pojmout, což způsobí přepsání (výměnu) dat na jiných místech. V tomto případě by přetečení sloužilo k odeslání škodlivého softwaru z čipu do softwaru tiskárny a převzetí kontroly nad ním.

Problém je v tom, že tento výzkum byl součástí programu HP nazvaného Bug Bounty (eng - odměna za chybu), sponzorovaného přímo touto značkou. Trvalo celé dva roky - od roku 2020 do roku 2022 - než se podařilo zjistit teoretickou možnost infikování kazety v síti. Výzkum, o který se HP opírá, přiznává, že v praxi k žádnému takovému útoku nedošlo. A co víc, přestože po zveřejnění výzkumu společnost HP vydala aktualizaci softwaru tiskárny od společnosti Dynamic Security, která problém řeší, hlavní technolog kybernetické bezpečnosti společnosti HP nadále tvrdil, že používání náhradních náplní je nebezpečné.

Nejde o bezpečnost

Co se skrývá za přízrakem náhrad infikovaných virem? Je snadné si všimnout, že společnost HP pracuje pozpátku a vymlouvá se na uživateli nenáviděné čipy a technologii Dynamic Security. Připomeňme si, že čipy v náhradách se objevily až poté, co značka HP zavedla čipy v originálních kazetách. Nebýt tohoto kroku ze strany společnosti HP, o žádné kybernetické hrozbě ze strany kazet - ať už skutečné, nebo čistě teoretické - by se nemluvilo.

Podle odborníků oslovených serverem Ars Technica používá generální ředitel značky HP taktiku FUD (zkratka pro Fear, Uncertainty and Doubt - strach, nejistota a pochybnosti)k zasévání strachu a nejistoty s cílem zmanipulovat skupinu lidí, zde uživatele tiskáren. Průměrný uživatel tiskárny se nemá čeho bát, pokud jde o viry v náhradních čipech. Podle nezávislých zdrojů z oboru IT jsou metody útoku, před kterými varují zástupci společnosti HP, v malém měřítku zcela nepraktické. To však neznamená, že byste si tiskárnu neměli zabezpečit. Dejte na a zajistěte, aby vaše data byla imunní vůči známým útokům spojeným se síťovými tiskárnami.

Zástupci značky HP se netají tím, že zisk je pro společnost prioritou. Finanční ředitelka společnosti HP Marie Myersová v roce 2023 přiznala, že cílem společnosti je přejít na model tisku formou předplatného, protože to vede k 20% nárůstu zisku na zákazníka. Generální ředitel společnosti HP Lores otevřeně říká, že HP chce snížit počet "nerentabilních zákazníků", kteří jsou "špatnou investicí". Strašení viry při výměně je v podstatě dalším způsobem, jak přimět zákazníky, aby za výměnu přeplatili.

Jak uštěpačně poznamenal Oliver D. Reithmaier, výzkumník interakce člověka s počítačem na Hannoverské univerzitě, "nezapomeňte, že pro výrobce tiskáren je malware to jediné, co snižuje tržby".