原标题:【IoT攻击无所不在】为什么学校印表机会被入侵?
处于工作环境一角的列印设备,是容易被我们忽视的连网设备,而近期的台湾校园印表机入侵事件,也突显了IoT攻击的严重性,当资讯设备的基本安全管理出问题,将造成更多资安危害。
图片来源:iThome
近年IoT装置被入侵等攻击事件,已经在我们生活中实际发生,像是今年2月台湾校园收到骇客勒索诈骗信,大多人把焦点放在比特币勒索,也许有人认为觉得只是恶作剧,但这样事件其实更要突显的是,在物联网的发展浪潮之下,不只是电脑等运算装置,各式连网设备也都能够被攻击或利用,而且这样的事件就发生在台湾。
印表机能被人控制印出恐吓勒索讯息,这也代表,有心人士不再只是打打骚扰电话,寄寄钓鱼电子邮件,或是将恶意程式植入你的电脑,是否还可以利用更多连网设备来入侵你的生活。
台湾校园印表机收到勒索诈骗信的原因与影响
在可恶的勒索行径之外,这次事件也让我们关注到,因为传达讯息方式很不一般,不是透过电子邮件,也不是在电脑上跳出警告讯息的内容,而是自动从印表机印出以英文撰写的恐吓、勒索内容,彷彿电影情节一般,无人使用的印表机半夜会自动印出威胁文件。
而且,这并不像是其他的IoT攻击,一般我们并不容易直接察觉遭到入侵。
为何印表机会自动印出勒索讯息呢?教育部资讯及科技教育司司长詹宝珠表示,事件主因是大部分连线印表机使用外部实体IP,相关资讯暴露在网际网路上,致使攻击者利用印表机列印使用的连接埠9100,就能控制列印,因此各厂牌印表机皆无法倖免。
看起来,这样的攻击过程其实并不複杂,也没有太高深的骇入行为,但暴露出一些根本上的管理问题。HP政府暨企业事业处资深专案技术顾问黄欣伟指出,设备安全管理缺失是一大问题。
首先,网路印表机使用外部实体IP位址,没有放到受控的内部网路环境之中,也就是说任何人只要连到这个IP位址,就能执行列印,应该要让设备在防火墙内保护,然后在防火墙或路由器设定,将外部进来的9100埠关闭。
另外,他们也注意到这些出问题的设备,几乎都是使用预设管理密码,或根本没有设定密码,设备明显不设防。这意味着他人若要变更印表机设定,也就很容易,特别是设备又暴露于网际网路的情形之下。
你可别以为这影响不大,这其实也就是IoT攻击威胁的缩影,以更直接的方式入侵你的生活。
虽然这次事件只是印表机被无端控制列印,你可能感到一点讶异,但若是直接在自己家中就收到这样的一个恐吓信,而它就是一个实体的纸张,直接出现在我们身边,那种入侵带来的威胁感与紧张度,其实已经预告了,现在的网路威胁已经不像过去那样简单,不只是针对电脑、手机、网站,而是可以深入到现实生活之中造成影响。
对于家中长一辈的人,或是胆子小的人,甚至可能以为发生什么灵异事件,为现实生活的心理层面带来更大压力。
去年已有类似列印攻击事件,反应出更多入侵面向
其实类似事件已经不只这一桩,近年一些列印设备厂商也关注到此情形,像是HP与Ricoh均指出,去年3月美国地区就曾经发生过,多所知名大学校内的连网印表机,自动印出了带有种族主义的传单,文件内容中并附上纳粹标誌,利用校内设备来传播反犹太理念。
这样的事件对于台湾民众来说,可能没有什么感觉,因为该议题通常不是我们会去关切的,但此事件所反应的远远不止这些。
这种内容散播的侵入方式,也就是利用设备列印特性的一种网路攻击,如果发生在台湾,印出的内容若是用于造谣、黑函等,就很可能挑起斗争、栽赃嫁祸,或是让人误以为是他人在搞鬼,而攻击者只是隐藏在背后,利用IoT攻击的手段,就能达到不同的目的。
这不是危言耸听,IoT攻击不仅是侵入现实生活,随着攻击者的动机,以及连网设备的不同特性,将带来许多你意想不到的直接或间接攻击方式。
至于另一起事件,也发生在今年2月期间,与台湾校园比特币勒索事件的时间接近,据国外媒体Bleeping Computer报导,一位网路暱称为Stackoverflowin的骇客,入侵了15万台的网路印表机,当中也包含像是热感式印表机,骇客远端操控这些印表机印出了文字,并以ASCII编码画了一个机器人图案,意指使用者的印表机已成为殭尸网路的一部份,说是为了警告大家,将印表机曝露在网路上也是有风险的。
这起事件在台湾也有遇到,Epson影像事业部客户服务营业部副协理曾毓正表示,他们台湾客服中心与业务单位,就有收到用户反应,设备自动印出署名Stackoverflowin的文件。虽然这个案例在台湾看起来并不多,仅有6起,只是当中居然有一起是发生在中小企业身上,让人感到意外。
曾毓正也指出同样的问题点,建议第一件事就是要检查网路安全性,暴露在外部实体IP下的连网设备,装置设备纳入防火墙防护範围。他并用简单的例子来说明,就像印表机若放在室外跟室内,放在室外的大家都能操作,放在室内至少还要先开个门,也等于是多一层防护的概念。
了解IoT攻击的可能威胁,同时重视更多连网设备的管理通病
简单来说,将列印设备暴露在外部网路IP之下,只要有心人士有办法搜寻到这台印表机的IP位置,然后将印表机的语言包成一个网路的封包,透过9100的埠传送到印表机,因此印出的内容都是文字编码。
从攻击者角度来看,也就是说只要知道这个IP位址是印表机设备,知道特定通讯埠有开,就可以将资料透过封包传送到印表机IP位址。
相较之下,过往我们会重视电脑、伺服器的管控与防护,但列印管控方面,可能有些企业、单位很重视,有些则比较开放,显然连网设备的安全重视程度有差异,而在IoT攻击的发展演变下,全部都将变得值得关注。
另外,连网印表机遭入侵到底严不严重呢?虽然校园比特币勒索的事发过程,都只是印出一页文件,或是几天后又一次印出,但攻击者若要一次大量列印999份,浪费你的纸张、墨水或碳粉,也不是不可能,就看设备中的纸匣装填了多少纸。黄欣伟也指出,过去也有骇客演示透过几行程式,控制印表机循环启动加热器,就能够进一步对设备造成危害。
前面也提到,IoT攻击不仅可用来瘫痪设备,也能搭配勒索,同时也因为能入侵你的生活,带来心理层面等影响,甚至于有可能成为借刀杀人的工具,像是成为网路DDoS攻击的帮兇。
而这些连网印表机所面临到的安全防护问题,其实也是其他连网设备可能遭遇的情形,像是网路安全管理不当或使用预设密码等,若不能做通盘的清查与改善,势必还会再发生同样的问题。
最后也要提醒,现在不少列印设备,像是事务机、複合机都还内建硬碟,也能公司档案伺服器、邮件伺服器,若攻击者能更改印表机的设定值,窃取其网路资讯与储存的认证资讯,或植入恶意程式攻击其他设备,面临的风险也就更高,未来的IoT装置也是如此,一旦功能越来越複合、强大时,面对的攻击威胁也会更大。
在这次校园印表机勒索事件后,我们需有更多警惕,IoT攻击已经离我们不远,也开始影响我们生活周遭。
2017台湾校园印表机入侵事件 ,共72单位遇害
今年2月台湾校园收到骇客勒索诈骗信,当时媒体公布有46间学校受害,经后续追蹤,教育部资讯及科技教育司司长詹宝珠表示,在2月17日,他们已经透过台湾学术网路危机处理中心(TACERT)发布预警情报,并提供改善建议,各县网路中心也有提供协助支援,而后续统计结果显示,在2月17日至3月14日这段期间,共有72个单位170个印表机回报有收到这样的恐吓讯息。而从遇害範围来看,其中大专院校佔52%,国民中小学也有34%的比例,高中职则佔13%,其他单位1%。
据了解,并无学校实际支付任何款项,普遍认为是一种恶作剧的行为,或是一种诈骗行径,不过詹宝珠表示,其实在3月1日到3月2日期间,还真的有教育体系部分系统受DDoS攻击。所幸,已有因应措施防备,并未影响对外服务。
虽无法肯定这是同一主使者所为,但这也让人关注到,原来不只是加密勒索软体才会勒索比特币,有心人士也能以不同攻击手法与勒索手段搭配来威胁。
由与近年加密勒索软体的目的相同,以匿蹤性高的比特币作为恐吓赎金,让执法单位难以追查,当骇客受到利益驱动,将勒索行为锁定不同目标下手时,这也促使攻击可能性的增加,连带也让过去未引爆的许多问题渐渐浮上檯面。
近年已有3起印表机入侵滥印攻击事件
攻击事件1:印出具种族歧视的内容,达到煽动与宣传效果
去年3月期间,有数间美国大学内的印表机遭到骇客入侵,列印出反犹太意味的传单。并邀请大家前往白人至上主义网站The Daily Stormer去浏览。(图片来源/weev's Blog)
攻击事件2:告诉你印表机已被入侵,成殭尸网路的一份子
今年2月,全球有数万网路印表机被控制,列印内容指称你的印表机已成殭尸网路(Botnet)的一分字,并且以ASCII编码画了一个机器人(Bot),警惕意味浓厚。(图片来源/Epson)
攻击事件3:成为寄送勒索诈骗信的管道,用来恐吓取财
台湾关心的校园比特币勒索事件,也发生在今年2月,印表机被入侵并印出勒索信,要求支付比特币赎金,否则在指定日期将以病毒摧毁档案,或其他攻击瘫痪网路。
针对印表机遭入侵列印事件的3点防护建议
?作法1 ?装置设备不要使用公开的网际网路位置,并建议装置设备前端需有防火墙防护,或限制外部网段无法存取,将IP位址设定为内部虚拟IP位址,避免直接暴露在网际网路上。并可检查一般印表机的网路IP设定,像是将该设备网路设定中的Gateway,以及DNS设定为空白,限制只有同网段内的电脑才可连线至该印表机。另外,请关闭网路印表机不使用的服务(通讯埠Port),像是导致这次事件的9100埠,厂商也建议可关闭LPD Port(Port 515)、IPP Port(Port 631)与 FTP Port(Port 21),以防止有心人士,利用不同的管道对印表机进行不当操作。
?作法2 ?请务必检查网路印表机管理介面密码是否设定,若没有密码保护,或仅使用预设密码,又或是密码太简单,都让有心人士可以很容易去更改网路设备的设定值。这是使用者对于连网设备本身,最基本的防护设定。
?作法3 ?因为印表机遭他人控制列印还有其他方式,像是可能因PC端被植入木马,而产生远端列印,因此还是要确认相关之网路环境安全,以及保持作业系统、浏览器与防毒软体的最新状态。对于其他物联网设备(如:网路摄影机、投影机、视讯会议主机等),也应该要一併检查,是否有同样资安管理漏洞。
突显长期被忽略的设备管理问题:为什么学校印表机会被入侵?
在今年3月的台湾资安大会上,台湾理光事业发展高级经理吴玉龙曾展示一段影片,有骇客利用事务机的显示萤幕,玩毁灭战士游戏的影片。他提到,现在的事务机完全就是一个网路化的设备,内建了处理器、记忆体、韧体,甚至还包含了硬碟,并能连到公司档案伺服器、邮件伺服器等。
其实现在的列印设备,功能已经不是那么的单纯,这突显出列印设备的安全防护面向已经不小。若有心人士能够读取其网路资讯、以及储存的认证资讯,或是使用者送到印表机的敏感资讯,就能展开更多进一步的攻击。
回到我们这次的主题来看,今年台湾校园发生了印表机遭入侵,印出勒索信的事件,其实攻击过程并没有高深的骇入手法,也就是找到暴露在开放网路环境下的印表机,然后透过9100埠发送列印封包。所以这次问题到底出在哪?
?问题1 ?这些印表机多使用外部可连入的实体IP位址,突显管理缺失
由于大多数事件都是因为印表机本身使用外部实体IP位址,加上用户可能在一开始安装印表机时,就完全没有做过任何设定,就连IP都是使用DHCP取得,因此这突显出一直没被注意到的办公资讯设备管理问题。
而像是在校园这样的特殊的开放式环境,由于不像企业般集中管理,很多时候在资安人员不足的情形下,也就成为管理的负担与隐忧。
虽然这次事件,教育部已经在TANet建立资安防护应变中心,于各区网中心端协助各单位资安侦测与防护,也声称协助受害单位完成改善,并拍摄校园资讯安全课程影片,希望能教育使用者的资安警觉性。
但我们也不禁想问,在目前网路威胁的剧烈演变之下,开放的校园网路环境是否有调整的需要呢?企业资安专家李伦铨也指出,不是不能开放,但良好的管理才是关键。
像是可能有没通报的单位,能够如实照着建议改善吗?后续又如何监管与稽查呢?过去也曾有不少台湾学术网路电脑被当攻击跳板的事件,若没有良好的管理方式,难保问题还会一再发生。
另外,企业同样也该要警惕,Epson影像事业部客户服务营业部副协理曾毓正表示,有零售业者跟他们反应印表机遭到入侵,才了解对方公司整个网路架构并非建立在虚拟IP位址之下,在他们分店内的所有连线周边设备,都是使用外部的实体IP位址,并没有透过现在常用的VPN,也没有防火墙等管控措施。
虽然这种情况并不多见,毕竟直接使用外部实体IP位址,很容易受到外部攻击,也容易被外部连进来,一般企业网路管理应该都会注意。但不少资安专家表示,社会上还是有企业很传统,没有花心力在网路安全规画,再不警惕,风险就是比别人高。
还有一些网路印表机本身的管控面向也值得注意,举例来说,设备本身多半都有存取管控的功能,像是只允许IP位置範围的电脑才能连线,避免未经授权的使用者,可以任意使用设备来列印。另外还要注意的是,小心FTP可能是被入侵的管道,像是以匿名帐号登入FTP服务,直接上传档案列印。
?问题2 ?未修改印表机本身的管理员密码,因此无法保护设定
在调查问题发生原因时,这次事件还暴露出一个长期存在的问题,那就是使用者几乎都没有修改印表机的管理员密码。显然,在资讯设备使用太过方便的现在,用户已经完全忽视这一道程序。
不论如何,为避免不明人士滥用自己的列印设备,最好设定密码保护,不要因为一时的疏忽与偷懒,就仅使用设备预设的密码,等于设备本身的基本管控都没有,也让人轻易就能擅自更改连网设备的设定值,而使用者也不该故意设定一个太简单的密码。其实,这也是许多用户使用其他连网设备都有的问题。
综合来看,基本上,设备只要连上了网路,就有可能有心人士恶意入侵,以往没有这些攻击事件发生,在物联网的发展浪潮之下,成为镁光灯下的关注焦点,加上现在有利可图,很多事情可能不会再被隐藏在檯面之下,更多被突显出来的问题,也都将是各连网设备会同样面临的问题。
能够上网的装置只会越来越多,校园、企业与使用者都不应轻忽IoT攻击的威胁,而既有的这些连网设备的管理问题,若还没有做出改善,未来可能将会更应接不暇,也不应该只是为了单一事件而应对。
由于新兴威胁态势转换之快,培养良好资安观念与态度也很重要。就像这次事件所带来的警惕就是,儘管看似不起眼的列印设备,事实证明,也是可以作为IoT攻击或利用的手段,同时还暴露出长期都被许多使用者忽视的问题。
在台湾校园印表机遭入侵并印出勒索信之后,其实就已经警惕企业、机关单位与使用者,IoT攻击的威胁就在眼前,同时也暴露出,长期被许多使用者都忽视的办公资讯设备管理问题。
?相关报导?「联网安全管理濒临失控,威胁事件频传」
相关:
【黄石艺术学校代表队中运会上夺佳绩】24日晚7点,在团城山的黄石市体育馆,湖北省第十四届中学生运动会开幕式隆重举行,黄石艺术学校两个原创的舞蹈完美展现在观众面前。而在此前,由黄石艺术学校组建的健美操队代表
中新网5月26日25日,国际六一儿童节前夕,葆婴有限公司(以下简称葆婴公司)携手中国扶贫基金会来到北京市昌平区新龙学校,与孩子们一起提前欢庆六一儿童节。葆婴公司的爱心志愿者们还为孩子们送去了一批价值15万元的电
5月24日,在济南一所大学里。每年的五六月份,这个词在高校就是一个敏感词。马上要毕业的人群在学校的最后一段时光。在这样的特殊时段,人们的要面临各种问题。由于课业压力较小,要毕业的人一般是会利用这些短暂时光
舞蹈生花式秀恩爱,网友:这样的学校还招人吗?“一字马版”壁咚姿势逆天,劈叉腿画面令人血脉喷张,男生女生进行“感情互动”,并展示了多个高难度动作,花式“秀恩爱”狂虐单身狗。舞蹈生花式秀恩爱舞蹈生花式秀恩
IoT双周报第16期:日本汽车龙头丰田携手Nvidia合作开发自驾车
日本丰田研究院(TRI)今年3月才刚展示了首辆自动驾驶车的研发成果, 在一辆Lexus LS 600hL汽车内,搭载了自行开发的第2代先进安全自动驾驶系统 ,未来也将採用Nvidia的自动驾驶车载电脑Drive PX,来加速在机器学习模