Printers als springplank voor hackers en DoS-aanvallen
Netwerk printers kunnen door hackers gebruikt worden voor het uitvoeren van Denial of Service aanvallen en het achterhalen van de gegevens van werknemers, zo heeft securitybedrijf Procheckup gewaarschuwd. Volgens het bedrijf is het mogelijk om via de proxy servers van bedrijven printers te bekijken en pagina's te printen. Ook kan men het interne IP-adres van de printer, naam van de werknemer, hun telefoonnummer en e-mailadres achterhalen, als deze gegevens tenminste zijn ingesteld. Maar weinig printers gebruiken wachtwoorden als bescherming, wat betekent dat iedereen de printer functionaliteit kan gebruiken. Naast het uitzetten van de printer om mensen te irriteren kan een aanvaller ook een distributed denial of service aanval vanaf een onbeschermde netwerk printer starten. "Het ergste waar ik aan denken is dat de printer voor een "bounce" DoS-aanval gebruikt wordt. Een proxy en meerdere IP-adressen zijn voldoende om andere machines aan te vallen", aldus Richard Brain van Procheckup in dit artikel.
vaak een IP-adres gebruiken.
Wanneer je een PCL printer treft, dan kun je zelfs een webserver uploaden
en installeren in het geheugen.
Dan heb je dus een zombie op een printer, waar vandaan je allerlei dingen
kunt ondernemen.
Het is wel goed dat deze man het opnieuw aanhaalt, want we kijken er
maar wat vaak overheen, over deze mogelijke lekken.
There is a trade-off between usability and security.
Een bekend gegeven, maar waar trek je de grens?
Ik denk dat een firewall vlak voor je printers met een access-list ook een
oplossing is. Ik weet weinig van printerservers, maar hebben die veel detail qua veiligheid? Of gebruikt men veelal een simpele server als printerserver?
Wachtwoorden en dergelijke werken ook wel, maar is heel
erg gebruikersonvriendelijk, of je moet dan weer met sessies gaan
werken, wat volgens mij nog niet mogelijk is.
Ik zie het al voor me, dat je 10x achter elkaar verschillende documenten
moet printen en je dus 10x een wachtwoord in moet vullen. Of je moet ze in
een batch zetten en maar 1x je wachtwoord opgeven.
- Unomi -
Ik denk dat een firewall vlak voor je printers met een access-list ook een
oplossing is. Ik weet weinig van printerservers, maar hebben die veel
detail qua veiligheid? Of gebruikt men veelal een simpele server als
printerserver?
vaak leeg gelaten. Maar daar valt denk ik niet zo veel eer te behalen.
Persoonlijk vindt ik met name de (webbased) software van de HP's nogal
brak. Het zou me niets verbazen als er in de toekomst een exploit voor
zoiets uitkomt en de printer doet veranderen in een DDoS-zombie of
netwerksniffer.
En de sysadmin z'n antivirus maar updaten en patchen.
mee uit te voeren, of andere leuke exploits. Een leuk voorbeeld om dit te
testen is Hijetter. Deze tool maakt gebruik van de PJL interface van een HP
rinter en zorgt ervoor dat je code kan up of downloaden. Erg handig om je
collectie mp3 files te bewaren als je peronal folder te groot wordt ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.