別再輕忽印表機、事務機的資安問題,設備廠商談潛在風險與預防措施
在眾多連網設備中,諸如印表機、多功能事務機等設備,往往成為資安容易忽略的角落。臺灣理光事業發展高級經理吳玉龍在上周臺灣資安大會上指出,近年不少列印設備的資安事件發生,使用者不該輕忽。
你認為印表機只是輸出設備,沒有資安問題嗎?在不久前的今年2月,國外就有高中生入侵了15萬臺的網路印表機,遠端操控這些印表機印出了文字與ASCII圖案,目的是警示大家將印表機曝露在網路上也是有風險的。
更讓臺灣政府與企業關注的是,在2月下旬,國內隨即也有多所學校受駭客勒索的網路印表機收到駭客的恐嚇信,要求支付比特幣,否則發動攻擊癱瘓網路。由於近期有多起駭客侵入IoT設備事件,不論是監視器、網路印表機等連網設備,都可能成為駭客發動攻擊,或是利用的目標。
其實,去年3月也已經發生過類似的事情,美國多所知名大學網路遭駭客入侵,校內印表機和傳真機印出大量反猶太人傳單。
不僅如此,印表機、事務機還有很多安全問題也很值得注意,像是在2014年時,就有駭客展示在事務機的顯示螢幕上玩毀滅戰士遊戲。同年,也有英國安全團隊將某牌事務機韌體經逆向工程拆解,並重新植入,讓設備誤以為新加入的程式是安全的。
甚至過去也已經有機器設備本身的硬碟,成了有心人士下手竊取資料目標的資安疑慮。像是在2010年美國哥倫比亞廣播公司(CBS)就曾報導,從堆放廢棄多功能複合機的倉庫中,隨機拆解下機器的硬碟,經專家還原處理後,擷取到某間醫院所有患者之病歷記錄,還有警局重要資料等,而同一時間還有數以百臺的二手事務機準備運上貨櫃賣到南美洲等地。
這也不禁讓人想到,很多企業在事務機到期後返回廠商,裡面的資料是否經妥善處理呢?
如何面對這些資安疑慮,吳玉龍特別指出,他們發現很多公司的事務機的網路埠是全開的(像是Port 031、Port 515、Port 9100等),可能容易被當作跳板,如果這些Port都沒有進一步去管控,就是一大問題。還有狀況是,現在所有輸出設備,都可以很容易透過瀏覽器進到設備管理介面去做設定管控,而很多公司也都不做密碼保護,或是僅使用預設密碼,又或是沒有做好IP過濾設定,這些都是很容易被入侵的方式。
而過去我們也曾看過有專家建議,使用者可以關閉9100連結埠,並設定印表機的管理員密碼,以避免不明人士濫用自己的印表機。
基本而言,企業對於上述問題應做好管理之責,畢竟,現在的事務機完全就是一個網路化的設備,內建了處理器、有記憶體、韌體,甚至還有Wi-Fi無線網路,又可執行Java等,還能連到公司檔案伺服器、郵件伺服器。
同時,他也提出一些其他建議,像是企業採購事務機設備時,可以問一下廠商設備經過什麼樣的安全認證,像是相關認證有IEEE 2600.1是最高等級,而一般家用設備則是IEEE 2600.4。另外提醒的是,過往企業也有印表機歸資訊人員管,事務機歸總務人員管,造成管理上的問題,也還是要注意。
其他設備安全性方面還可注意的是,網路加密是很基本,但很重要的概念,另外就是設備的硬碟如何確保安全性,是否具備硬碟加密、重複寫入與連續磁區打斷等機制,還有像是韌體安全性。
另外,在列印設備本身的安全性之外,從更整體的防護面向來看,還包括列印文件安全管控的問題。畢竟,文件安全以往在資訊安全管理中,因為較難被數位化以及紙本文件的高可攜性,而被資訊部門視為較難處理的一部分。
像是從基本層面來看,要教育員工文件安全的重要性,以及公司政策能否落實,可不要公司買了很好的資安設備與軟體,結果很重要的公司文件就丟在桌上,任何人都能拿起來看。
另外,設備本身的安全管控與防護機制,也是企業要重視的部分。像是基本的使用權限管控,而現在很多公司都有列印時用卡片控管,防止未授權影印,並要讓事務機上的所有動作都會被記錄下來,能夠被日後稽核。
同時他也建議不要只以浮水印作唯一控管機制,並強調影像備存的重要性,同時也要檢視企業文件流程,像是傳遞過程有沒有洩漏可能性,如何透過文件影像備存及軌跡記錄,強化資安與稽核管控,是企業該重視的。
在議程最後,吳玉龍也具體提出以下建議措施供參考:
●檢查事務機開啟或具備四項基本功能
像是IP Filtering、防火牆Port、IPsec/Protocol Off,以及是否具備硬碟加密機制。
●檢查事務機列印功能
像是開啟鎖定列印(設備內建/外掛軟體)、補強公用印表機鎖定列印功能(外接卡機)
●針對公司文件
像是列印時加入安全戳記(唯一識別碼、人事時地物)、適實際需求/預算加入影像自動被存(敏感字偵測、防止影印保護)