פרצת אבטחה במדפסות ה-LaserJet של HP

חשבתם שמדפסת הלייזר שלכם תמימה? חוקרים מאוניברסיטת קולומביה טוענים שמדובר במחדל אבטחה מרכזי

מדפסות הפכו לחלק בלתי נפרד ממערכת המחשב הביתית עבור רובנו – הן זולות יחסית, קומפקטיות, חכמות וגם חוסכות לנו את הטיול המזדמן אל מכון ההעתקות.

כעת, קבוצת חוקרים מאוניברסיטת קולומביה (Colombia University) טוענת כי חלק מאותן קופסאות אפורות חביבות הן למעשה אחד מחורי האבטחה הגדולים ביותר בעולם המחשבים המודרני – אחד שמסכן מיליוני משתמשים ביתיים, ארגונים, עסקים ואפילו משרדי ממשלה.

החוקרים מצאו כי מדפסות הלייזר מסדרת ה-LaserJet של HP אינן דורשות אישור כלשהו על מנת לזהות את מקורם של עדכוני תוכנה מרוחקים – מה שפותח צוהר ליצירת נוזקות אשר יתחזו לעדכון אבטחה, ידביקו את המדפסת ויוכלו לגרום לתוהו ובוהו מגוון, החל משליחת עותקי המסמכים המודפסים למחשב ממנו הודבקה המדפסת, דרך חימום מכוון של ראשי המדפסת וגרימת נזק ועד ליצירת מתקפות "מבפנים" על רשתות מחשבים תוך ניצול מעמדן של המדפסות (ברוב המקרים) כהתקן מהימן.

אנג צ'וי, אחד מהמוחות המבריקים שאחראים על כאב הראש הנוכחי של HP (וכנראה גם שאר יצרניות המדפסות)

העובדה כי מדפסות מסדרת ה-LaserJet של HP נמכרות לצרכנים, בעיקר בשוק העסקי והארגוני, כבר משנת 1984 בהחלט לא תורמת להורדת מפלס הלחץ. כמו כן, לא מן הנמנע כי מדפסות מסדרות אחרות ומיצרניות אחרות מכילות גם הן פרצות אבטחה דומות.

ממצאי המחקר הוצגו בפני HP בשבוע שעבר, וזו מיהרה להגיב לטענות באופן רשמי והצהירה כי הדיווח הראשוני הינו סנסציוני ובלתי מדוייק – אי אפשר לגרום למדפסות החברה לעלות באש (התנצלות כנה בפני קהל ההאקרים הפירומנים).
בחברת הענק הודו כי קיימת בעיית אבטחה בחלק מדגמי ה-LaserJet בסביבת לינוקס ו-Mac (חלונות לא הוזכרה בתגובת החברה, משום מה) והבטיחו להציע עדכון קושחה שימתן אותה, אך הוסיפו כי עד עתה אף לקוח לא דיווח על גישה בלתי מאושרת למדפסתו.
בחברה ממליצים לבטל את האפשרות להעלאת עדכוני קושחה באופן מרוחק במדפסות בהן הדבר אפשרי, ולהקפיד להפעיל חומת אש (firewall) שתגן על המדפסות מכל מיני אורחים בלתי קרויים.

קצת קשה להחליט בינתיים האם מדובר בכמה עיתונאים ואקדמאים שרצו לזקוף לזכותם כותרות גדולות בכל רחבי העולם או בתקלה חמורה ביותר שעד עתה נחשפנו רק לקצה הקרחון שלה. דבר אחד בטוח – המשפט 'בלינוקס זה לא היה קורה' לא תופס הפעם.