Vai al contenuto

FACTOTUM

Stanno lì, nel corridoio, pronte ad ogni nostro comando.
Fanno TUTTO ! Sono le Stampanti Multifunzione.

Sono ormai diventate un tradizionale punto di ritrovo tra i Colleghi di Ufficio.
C'è chi attende l'uscita del documento che ha inviato in stampa, chi deve mandare un Fax, chi vuole scannerizzare un documento cartaceo per archiviarlo sul PC.

Nell'attesa, si chiacchera come si fosse davanti alla macchinetta del caffè...

«Ciao ! E' già uscita la stampa del mio Foglio Excel con i dati del Budget ?»
«No, c'ero prima io... Sai, ho lanciato la stampa dell'inventario di Magazzino...»
«Saranno più di 40 pagine ! Mi sa che ti tocca aspettare un tot...»
«Vabbè, allora passo dopo...»
«Però se intanto esce il mio Foglio Excel del Budget me lo prendi ?»
«...sai, non vorrei che andasse perso come l'altra volta...»
«Pensa che poi l'ha trovato il Collega delle Vendite, in mezzo agli Ordini dei Clienti !»
«Scusate, mentre sta stampando posso scannerizzare un documento del Tribunale ?» «Sapete, devo mandare una copia elettronica di questa citazione all'Ufficio Legale...» «...com'è l'indirizzo mail ? ufficio.legale@nostrazienda.com, vero ?»
«Mi hanno detto che ci pensa la stampante a mandarlo via e-mail...»
«Aspetta, arriva Ugo, che sa bene come funzionano queste stampanti !»
«Ciao Ugo ! Ci puoi dire per favore quanti lavori ci sono ancora in coda ?»
«Sai, abbiamo tutti fretta...»
«Nessun problema !»
«Basta schiacciare qui e poi qua, ed ecco fatto: ci sono 6 stampe in memoria...»
«Queste sono di Aldo degli Acquisti, poi ci sono un paio di documenti Word del Marketing, una bozza del nuovo Ordine di Servizio da quelli del Personale, e poi...»
«...ma guarda !»
«Cristina, la Segretaria del Direttore ha mandato in stampa un album di figure da colorare: vedi il titolo del documento ? "Colora-la-Pimpa.docx"...»
«...sarà per sua figlia che va all'Asilo...»
«...meglio che il Direttore non lo sappia, altrimenti potrebbe arrabbiarsi con lei !»
«Guarda ! Ne ha mandato in stampa un altro anche la settimana scorsa...»
«E' meglio che le dica qualcosa, perchè tutte le stampe rimangono registrate in questo elenco e qualcuno poi potrebbe accorgersene...»

Fantastico, ma la SICUREZZA delle Informazioni  dov'è ?

Come può essere che quelli delle Vendite si siano ritrovati tra le mani i dati di Budget che l'Ufficio Amministrazione non aveva ancora discusso con la Direzione ?

Come può succedere che la copia scannerizzata di un Atto Giudiziario del Tribunale in cui si formulano accuse di responsabilità penali verso i Vertici dell'Azienda sia stata recapitata per errore alla mail di un Dipendente rancoroso, che non vede l'ora di mettere in piazza i problemi dell'Azienda ?

Come è possibile che «basta schiacciare qui e poi qua» per vedere tutto ciò che è stato inviato in stampa da chiunque ?

Non è che le Stampanti Multifunzione sono un bel grimaldello per i ladri di dati ?

Vediamo di approfondire...

Le Stampanti Multifunzione sono connesse in Rete

...e attraverso la rete possono anche inviare i documenti scannerizzati ad un indirizzo e-mail a piacere, oppure (se la rete è connessa anche al centralino telefonico) inviarli ad un numero di Fax.

Le Stampanti Multifunzione espongono servizi WEB

All'interno delle Stampanti Multifunzione è presente un WEB Server che può essere utilizzato dai Client in Rete per la gestione dei lavori e la configurazione dei parametri.

Dentro le Stampanti Multifunzione c'è un capiente Archivio

Tutti i documenti inviati in stampa sono memorizzati in un disco rigido all'interno della Stampante Multifunzione.

In questo modo la Stampante Multifunzione ha la possibilità di immagazzinare il lavoro da svolgere, senza intasare la rete mentre sta stampando.

Inoltre è possibile tenere traccia dei consumi (carta, inchiostro) relativi ad ogni lavoro, riferendoli all'utenza di chi ha lanciato ogni stampa. Così l'Amministrazione può ripartire puntualmente i relativi costi tra i diversi Reparti.

Accedendo (anche via rete) al Pannello di Controllo si può sapere tutto quello che la Stampante ha fatto. Si può anche sapere se è già ora di sostituire le cartucce o se si sono verificati guasti, in modo da organizzare per tempo l'intervento di un tecnico.
Occorre però tenere conto che - se non viene cancellata periodicamente - la "memoria" della Stampante può anche essere molto, ma molto lunga...

Cosa può andare storto ? Facciamo qualche esempio...

Dati giusti in mani sbagliate

Anna della Direzione Amministrazione, Finanza e Controllo lancia la stampa della bozza del Budget (un Foglio Excel), da discutere con la Direzione, ma non si reca subito a ritirarla quando esce...
Peccato che così la stampa finisca in mezzo ai fogli del Collega delle Vendite, che si trova in questo modo tra le mani informazioni "riservate", che non doveva conoscere.

Antonio dell'Ufficio Protocollo riceve dal Tribunale un Atto Giudiziario che deve essere scannerizzato per essere recapitato (in maniera confidenziale) all'Ufficio Legale...
Se però Antonio sbaglia a digitare sulla Stampante Multifunzione l'indirizzo e-mail dell'Ufficio Legale, il documento può finire per errore nella casella di posta di un Dipendente rancoroso, che non vede l'ora di mettere in piazza i problemi dell'Azienda.

File protetti che non sono più protetti

I File che contengono importanti informazioni Aziendali sono memorizzati sui File Server e l'accesso a questi File è controllato attraverso apposite Access Control List (ACL) configurate secondo il Principio del Minimo Privilegio.
Tutto questo certosino lavoro di messa a punto di regole di controllo degli accessi ai File può essere vanificato se una copia di tutti i File stampati rimane memorizzata all'interno del disco della Stampante Multifunzione (dove queste regole di controllo accessi purtroppo non esistono).

Mail "anonime"

Tramite la funzionalità "Scan-to-mail" Enrico può scannerizzare un documento e la Stampante provvede ad inviarlo all'indirizzo e-mail che viene inserito.
La mail risulta però inviata dalla casella di posta della Stampante e non da quella di Enrico...
Questo dà la possibilità ad Enrico (e a chiunque altro in Azienda) di inviare mail "anonime" come questa:

Come se non bastasse...

Un attaccante connesso alla Rete Locale dell'Azienda potrebbe utilizzare degli strumenti di HACKING come ad esempio il Printer Exploitation Toolkit per interagire in modo improprio con la Stampante:

effettuando una serie di operazioni malevole sulla Stampante Multifunzione, come queste:

Mandare in TILT la Stampante lanciando un PostScript loop infinito

Dopo aver lanciato il comando "hang" la Stampante non può più essere utilizzata in quanto lo script malevolo impegna tutte le sue risorse nella esecuzione di un ciclo infinito di istruzioni inutili.
E' necessario spegnere e riaccendere la Stampante per poterla nuovamente utilizzare.

Sfruttare il disco interno della Stampante come REPOSITORY di file malevoli

Tramite il comando "put" è possibile per l'attaccante memorizzare un file arbitrario sul disco installato all'interno della Stampante.
Questo file può ad esempio contenere un MALWARE...

Cosa fare ?

Per evitare tutti questi problemi è necessario adottare alcuni accorgimenti per configurare le Stampanti Multifunzione sulle Rete Aziendale in modo SICURO.

Prevedere una Rete SEGREGATA per le Stampanti

Le Stampanti Multifunzione sono gestite dal Printer Server. I Client che debbono stampare un documento non lo inviano direttamente alla stampante, ma al Printer Server che si incarica poi di pilotare le stampe.

Se si connettono le Stampanti Multifunzione ad una VLAN segregata dal resto della Rete Aziendale non è più possibile per un Client malevolo accedere all'interfaccia di rete della stampante e quindi gli strumenti di HACKING che abbiamo visto prima non funzionano.

Prevedere l'AUTENTICAZIONE degli Utenti sulle Stampanti

Gli Utenti utilizzano il BADGE Aziendale per autenticarsi quando hanno necessità di utilizzare i servizi forniti dalle Stampanti Multifunzione.

In questo modo:

  • il documento che è stato inviato in stampa può essere stampato solo in presenza dell'utente (funzione "pull printing"), eliminando così il problema delle "stampe-che-si-perdono" e migliorando il livello di sicurezza delle informazioni stampate;
  • l'invio tramite e-mail di un documento scannerizzato sulla stampante può essere effettuato in modo sicuro, ad esempio prevedendo che possa essere inviato solo alla casella di posta dell'utente (funzione "send to me"), risolvendo così il problema delle "mail anonime".

"Hardenizzare" la configurazione delle Stampanti

Le Stampanti Multifunzione sono a tutti gli effetti dei Computer, per questo il Dipartimento IT deve provvedere non solo alla loro installazione ma anche alla loro configurazione SICURA.

Gli aspetti di cui tenere conto sono:

  • Modifica delle Password di DEFAULT configurate per accedere alla Console di Gestione della Stampante;
  • Disabilitazione dei servizi di rete non necessari;
  • Utilizzo di protocolli di rete SICURI;
  • Minimizzazione delle informazioni memorizzate localmente sul disco della Stampante (es. cancellazione dei Files già stampati dalla memoria del disco);
  • Minimizzazione delle informazioni visualizzabili da Utenti non Amministratori sul display della Stampante (es. i dati di dettaglio relativi alla coda di stampa, i dati di configurazione, l'elenco dei lavori svolti e dei relativi Utenti che li hanno richiesti, ecc.).

Per tutto il resto, rivolgetevi all'Help Desk...

Ah, e ricordatevi che è meglio evitare di caricare la CARTA INFESTATA sulle Stampanti Multifunzione eh ?

Cordialmente vostro,
Autostoppista Cyber Galattico.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.