HARD CORE SECURITY LAB

Drukarki sieciowe to w wielu organizacjach najsłabszy punkt w systemie bezpieczeństwa informatycznego. Dzieje się tak po części z winy producentów oraz po części w wyniku zaniedbań administratorów, którzy nie doceniają związanych z nimi zagrożeń. Przedstawiałem już nieco żartobliwe ataki na drukarki sieciowe, w wyniku których możliwe jest ustawienie dowolnego komunikatu na wyświetlaczu urządzenia. Okazuje się jednak, że możliwe jest również przykładowo przechwytywanie wydruków kierowanych przez dowolnego użytkownika danej sieci do dowolnej drukarki sieciowej...

Mówiąc o przechwytywaniu wydruków, mamy zazwyczaj przed oczyma intruza zakradającego się do pomieszczenia z drukarkami sieciowymi, który zabiera bądź powiela poufne dokumenty. Okazuje się jednak, że znacznie bardziej eleganckiej kradzieży wydruków można dokonać przy pomocy kilku narzędzi programowych. Wszystkie potrzebne programy, skonfigurowane i gotowe do działania, znajdziemy oczywiście w świetnej dystrybucji Linux LiveCD – BackTrack. Atak tego rodzaju wymierzony jest bardziej w samą sieć LAN niż bezpośrednio w drukarki sieciowe. Jednakże producenci drukarek w pewnym sensie sami go ułatwiają, ponieważ zlecenia wydruku są przesyłane do drukarek bez jakiegokolwiek szyfrowania ich zawartości.
Pierwszy etap tego ataku, który warunkuje powodzenie całej akcji, polega na wprowadzeniu zmian w działaniu sieci LAN, które pozwolą intruzowi na odbieranie transmisji przesyłanych do drukarki przez zleceniodawcę wydruku. W tym celu można przykładowo:

• zmienić konfigurację przełączników sieciowych, tak by ruch z portu zleceniodawcy wydruku był kopiowany na porcie intruza – w przypadku firmy Cisco opcja ta jest znana pod nazwą Switched Port Analyzer (SPAN), natomiast 3Com używa nazwy Roving Analysis Port (RAP),
• przeprowadzić atak typu CAM Overflow (przepełnić tablicę CAM przełącznika), który spowoduje, że przełącznik będzie kopiował ruch na wszystkie interfejsy w ramach tego samego VLAN-u,
• przeprowadzić atak typu MitM (ang. man in the middle), polegający na zatruwaniu tablicy ARP.

Podsłuchiwanie wydruków przy użyciu zatruwania ARP można wykonać następująco (założenia: IP drukarki – 192.168.10.10, IP stacji drukującej– 192.168.10.99):

• w celu podsłuchania transmisji oraz przeprowadzenia ataku „man in the middle” skorzystamy z programu ettercap: ettercap -T -q -w wydruk.dump -M ARP /192.168.10.10/ /192.168.10.99/; warto zauważyć, że zatruwanie ARP przeprowadzamy tylko dla dwóch adresów uczestniczących w transmisji, którą chcemy przechwycić, tak by nie generować ogromnej ilości niepotrzebnych pakietów zatruwających pozostałe adresy w sieci,
• w wyniku działania programu ettercap otrzymaliśmy plik w formacie pcap, plik ten należy otworzyć do dalszej obróbki – najlepiej w graficznym snifferze Wireshark (menu File/Open),
• po wczytaniu pliku należy zastosować następujący filtr: tcp.flags.syn == 1 && tcp.dstport == 9100, spowoduje to wyświetlenie wyłącznie pakietów tcp z ustawioną flagą SYN oraz docelowym numerem portu równym 9100,
• gdy w oknie programu pozostaną już wyłącznie dane związane z zadaniami wydruku, wystarczy kliknąć prawym przyciskiem myszy na pierwszy w kolejności pakiet należący do danego zadania wydruku i wybrać opcję Follow TCP Stream,
• po pojawieniu się okna Follow TCP stream należy wybrać z rozwijanej listy kierunek transmisji, tak by wyświetlany był wyłącznie ruch skierowany do drukarki sieciowej, wybrać format danych Raw i zapisać plik, np. pod nazwą wydruk.job.

Wydrukowanie przechwyconego wydruku (na tej samej lub dowolnej innej drukarce sieciowej) jest już banalnie proste, wystarczy użyć polecenia: cat wydruk.job | netcat -q 0 192.168.10.199 9100, gdzie 192.168.10.199 to adres kontrolowanej przez nas drukarki.

Cała procedura wydaje się trochę skomplikowana, jednak mimo wszystko stanowi stosunkowo łatwy sposób na przechwytywanie dowolnych wydruków kierowanych na dowolne drukarki sieciowe w sieci LAN. Okazuje się więc, że w wielu firmowych sieciach lokalnych możliwe jest w powyższy sposób przechwytywanie newralgicznych wydruków (np. tych zlecanych przez zarząd firmy). Warto więc wiedzieć i pamiętać o ochronie przed tego typu mniej znanymi i mało dyskutowanymi atakami teleinformatycznymi...