Hola:

En IBLNews (7 junio 2002) se advierte del peligro.

Impresoras: la discreta puerta del hacking

Sin recibir demasiadas atenciones ni despertar recelos, las impresoras conectadas en red son cada día más comunes en empresas e instituciones; su capacidad de proceso, su memoria y el acceso a puertos de comunicación las hacen ideales para ataques hacker, práctica que va en aumento e incluso ha llegado a las agencias federales de EE.UU.

Robar un documento de una impresora, enviarlo a Rusia para su copia e imprimirlo unos segundos haciendo que todo parezca normal parece una hazaña digna de la mejor película de espías de la guerra fría, pero ocurrió en 1999 en una importante agencia federal estadounidense. La anécdota ilustra el riesgo potencial que rodea a estos periféricos, normalmente anodinos, pero que conectados en Red y sin la debida protección, pueden abrir las puertas a intrusiones indeseadas.

Hacer que el display de una impresora HP LaserJet muestre en vez del clásico Ready una obscenidad es más fácil de lo que parece: basta un sencillo programa gratuito descargado de Internet que se conecta a la impresora a través de puerto 9100 –el interfaz de la placa JetDirect– y emite una instrucción PJL (Printer Job Language) que ordena el cambio del texto. Aunque este ataque no provoque daño alguno, a parte de irritar y ofender a algunas persona, abren el camino para que otras acciones de índole similar sí puedan causar estragos significativos, bien sea por la sustracción de información reservada o a través de un ataque DoS (Denial of Service).

La seguridad en torno a las impresoras no acostumbra a despertar demasiado interés, es más, siendo realistas, las mayores atenciones y preocupaciones que merecen son si tienen papel o no o si hay que cambiar el cartucho de tinta o el tóner. El quid de la cuestión está cuando se conectan las impresoras a una red, especialmente si ésta tiene salida y entrada desde el exterior, pues pueden constituir una vía de acceso para personajes indeseables.

Las impresoras HP no son las únicas víctimas del pillaje informático. Cualquiera de los nuevos periféricos capaces de trabajar en red (fotocopiadoras, impresoras, faxes, todos en uno, etc.) son potencialmente vulnerables. Una de las pruebas más sencillas para corroborar esto es hacer un análisis de los puertos con una herramienta como NMAP –facilitado gratuitamente por Insecure.org-. Es muy probable que los resultados sorprendan a más de uno por la cantidad de recursos que ponen sus “equipos inteligentes” a disposición de los amigos virtuales de lo ajeno.

Secuestro de documentos

Las noticias sobre ataques a impresoras no son nuevas: ya en 1999 se encuentra información sobre un posible ataque procedente de Rusia a la red interna del Centro Espacial y Naval (Spa War), en San Diego (California), a través de una de sus impresoras. Según indica el artículo, la intrusión fue descubierta por uno de los ingenieros de telecomunicaciones del centro cuando una impresora conectada en red tardó demasiado en empezar a imprimir un archivo y tras efectuar un análisis se descubrió que el documento que había sido “secuestrado”, enviado a una dirección IP rusa y finalmente impreso. El técnico concluyó que el intruso había hackeado la impresora y, a través de ella, reconfigurado el enrutado de la información por un camino distinto al original, añadiendo una nueva IP como nodo de paso: su ordenador en Rusia.

Afortunadamente, el documento desviado carecía de importancia estratégica, una mera coincidencia, pues por la misma impresora salían a diario informaciones de todo tipo, incluso aquellas clasificadas como “Top Secret” o “For your eyes only”. El artículo de Techweb concluye con un contundente final: “es bien sabido que las impresoras conectadas en red son especialmente vulnerables a los ataques de hackers; al disponer de una dirección IP propia y ejecutar diversos protocolos estándar, los piratas informáticos tienen material suficiente que explotar; lo que es peor es que los vendedores de estos equipos no acostumbran a incluir grandes medidas de seguridad en sus productos con la intención de protegerlos de este tipo de acciones”.

Procesadores en riesgo

En Internet no son pocos los recursos que, de una forma u otra, muestran y enseñan cómo atacar una impresora. En Gamesx, por ejemplo, se muestra cómo reescribir la memoria de uno de estos periféricos para modificar su comportamiento; se trata de descargar la EPROM –memoria reescribible que contiene las instrucciones para el control de todos los procesos de la máquina- al ordenador y sustituirla por otra que contenga las instrucciones necesarias para que actúe de una nueva forma. Ni qué decir tiene que entre estas instrucciones se pueden encontrar códigos capaces de bucear en las redes a las que esté conectada e informar sobre, por ejemplo, los puertos que están abiertos para labores de impresión y que pueden potencialmente ser reutilizados en un ataque.

La técnica explicada en GamesX hace referencia a un vetusto modelo de 9 agujas de Citizen, la iDP3540, que cuenta con una capacidad de proceso limitada, por lo que, como ocurre con modelos de mayor capacidad de proceso –como las HP descritas anteriormente-, las posibilidades de reaprovecharla para fines poco ortodoxos constituye una amenaza que pocas veces se tiene en cuenta.

Por otro lado, en sites como Apocalypsenow.com se describen detalladamente los problemas de seguridad que pueden encontrarse en los sistemas operativos más frecuentes y también puede encontrarse completa información sobre cómo explotarlos; la utilización de puertos de impresoras, controladores y colas de impresión figuran entre la lista de recursos que potencialmente pueden estar al servicio de los hacker.

En Geeksatwork.com, un site dedicado a informar y facilitar utilidades para la modificación de parámetros en sistemas operativos y hardware de todo tipo, pueden encontrarse códigos fuente de utilidades en C++ capaces de cambiar el display de impresoras HP Laserjet por ejemplo. Aunque, inicialmente, estos códigos no han sido creados para fines poco ortodoxos, lo cierto es que cualquier hacker con ciertos conocimientos técnicos –y está comprobado que en su mayoría los tienen (y muy avanzados)- puede reaprovecharlo para entrar en una red y llevarse documentos –como en el caso del Spa War-.

Preocupación gubernamental

Las administraciones no son ajenas al nuevo e inesperado frente que se abre en sus programas de defensa. Puede parecer exagerado, pero algunas previsiones hablan de que en una década las guerras se librarán más de forma virtual que tradicional. Y es que la posibilidad de atacar, por ejemplo, la central eléctrica de una ciudad y dejarla totalmente a oscuras es mucho más nefasto –y barato- que un ataque con bombas y artillería.

Alemania, por ejemplo, hace más de un año que está realizando un entrenamiento específico de sus fuerzas armadas para la guerra en Internet. La iniciativa, que está siendo coordinada por el Ministerio de Interior, implica grandes empresas y tiene por objetivo preparar a estos cuerpos para un nuevo tipo de ataque cada vez más frecuente y potencialmente muy peligroso. Según la revista Spiegel, donde aparecía publicada la información en marzo del año pasado, este entrenamiento simula el ataque de un grupo mafioso internacional que pretende obligar a Alemania a retirar sus tropas de un objetivo militar. El grupo invadirá los ordenadores de la empresa de energía eléctrica de Berlín, provocando su colapso, previo bloqueo de los sistema de las principales operadoras de telefonía.

Por otro lado, desde 1997, un grupo de trabajo interministerial discute la vulnerabilidad de las infraestructuras alemanas ante los ataques electrónicos. Un informe no autorizado sobre este tema, con fecha de diciembre de 1991, está disponible en Internet. A pesar de esto, también existen detractores de este tipo de políticas, como el caso de la organización estadounidense de derechos humanos EPIC, que estima que el peligro de una guerra electrónica no es, ni mucho menos, una fracción de lo que se llega a decir en ciertos mentideros, y que los militares y la industria armamentística están construyendo escenarios artificiales para incentivar el negocio.

También en Estados Unidos, informes de la CIA y del Center for Strategic and International Studies (CSIS) indican que durante los próximos 15 años, el país tendrá que enfrentarse a una nueva generación de terroristas que atacarán a través de Internet. El hacking y la utilización de virus informáticos las dos principales técnicas de ataque citadas por estos dos organismos en su previsión. La CIA y el CSIS creen, según un artículo firmado el año pasado por Dan Verton en la edición estadounidense de Computerworld online, que por detrás de los ataques habrán jóvenes especializados en redes y ordenadores que muy bien podrían llegar a sustituir los aviones y los carros de combate más sofisticados.

Según el informe del CSIS, no sólo Estados Unidos está expuesto, sino que naciones como Rusia, China, Francia o Israel están desarrollando auténticos arsenales cibernéticos para una hipotética batalla virtual. El organismo pone como ejemplo el de una posible venganza china por la destrucción accidental de su embajada en Belgrado durante al guerra de Yugoslavia en 1999. Jeffrey Hunker, director general para protección de infraestructuras de la Casa Blanca, afirma que el motivo para este temor no es otro que ya ha quedado demostrado que los hackers pueden utilizar prácticamente cualquier cosa para entrar en los sistemas de seguridad gubernamentales.

Cómo prevenirse

Mantener la seguridad de una impresora no es muy diferente de proteger cualquier otro sistema en red: sólo hay que desactivar los servicios innecesarios, mantener el firmware actualizado –los fabricantes trabajan a menudo en parches para subsanar problemas que aparece una vez puestos sus dispositivos en el mercado- y limitar el acceso a la contraseña que permite acceder al recurso en cuestión. En el caso de las impresoras HP, que son algunos de los periféricos de sobremesa más comunes, es posible realizar algunas operaciones de blindaje.

En primer lugar, usar siempre el firmware más reciente para el modelo que se tenga. Para actualizarlo existe una herramienta de la propia HP, el HP Download Manager. Este programa examina las impresoras instaladas en una red y comprara la versión del firmware que está en uso con la que debería estar ejecutándose. Una vez obtenidos los resultados, da al usuario la opción de actualizar el software automáticamente para cada una de las impresoras específicamente. Algunos servidores de impresión, como el modelo externo 170x, no puede actualizar el propio firmware; en este caso, no hay más remedio que el cambio si se tiene alguna duda sobre su integridad.

En lo que respecta a los protocolos telnet, que permiten el control a distancia de un dispositivo, la propia HP explica como desactivar algunos servicios disponibles a través de este recurso, intercalar una contraseña y habilitar listas de control de acceso en un documento publicado en Internet. El fabricante también ofrece información para bloquear el panel de control, lo que, entre otras cosas, impide cambiar el mensaje de Ready –tal y como se comentaba al principio-.

Otro recurso que también es importante desactivar en las impresoras es el FTP (File Transfer Protocol); muchas impresoras HP lo tienen activado, lo que podría permitir a cualquiera imprimir un archivo con un simple comando Put. Para realizar esta operación basta con abrir una sesión telnet en la impresora y ejecutar el comando ftp-config:0.

Saludos