Doanh nghiệp coi chừng dữ liệu rò rỉ vì máy in

• Những dấu hiệu hacker đã xâm nhập mạng của bạn
• "Rúng động" những cuộc tấn công xâm nhập mạng
• Vietnam Airlines bị xâm nhập từ giữa năm 2014
• Malware ẩn nấp trong file MP3 để xâm nhập PC
• Những câu hỏi nhỏ - Ngăn không cho người lạ xâm nhập PC của bạn

Ngày 24/3 vừa qua, 59 máy in tại trường Đại học Northeastern ở thành phố Boston (Mỹ) bỗng nhiên in ra cả loạt tài liệu thù ghét người theo thuyết ưu thế của người da trắng. Đây chỉ là một phần trong cả loạt sự cố máy in đã được báo cáo tại Đại học Northeastern và một số trường khác.

Điều này không gây ngạc nhiên cho giới bảo mật máy tính. Máy in dùng trong doanh nghiệp ngày nay đã có nhiều cải tiến, tích hợp nhiều tính năng, kết nối mạng và cũng vì thế mà tiềm ẩn những lỗ hổng bảo mật như mọi thiết bị khác trên mạng. Tuy nhiên, không giống như máy tính, chẳng có ai ngồi trước máy in cả ngày và những rủi ro từ máy in hầu như không được để ý tới.

“Nhiều máy in vẫn được sử dụng với mật khẩu mặc định, hoặc không hề có mật khẩu, hoặc cả chục máy có cùng mật khẩu truy cập”, Michael Howard, cố vấn trưởng về bảo mật của HP, chia sẻ kinh nghiệm. “Máy in không có mật khẩu bảo vệ là một mỏ vàng cho hacker”. Ông cho biết kiểu tấn công thường thấy là hacker xâm nhập vào máy in, chuyển hướng tài liệu sang một máy tính khác trước khi in ra, nghĩa là chúng đọc được mọi thứ chuẩn bị in. Vì thế ông đưa ra lời khuyên tài liệu phải được mã hóa.

Trường hợp sự cố máy in ở Đại học Northeastern, theo Mark Nardone, giám đốc bảo mật của nhà trường cho biết, hacker đã sử dụng công cụ tìm kiếm để quét tìm những cổng máy in không được bảo vệ, sau đó gửi lệnh in một tập tin PDF tới từng máy in bị phát hiện có lỗ hổng. Ông cho biết đây đều là những máy in do các khoa tự mua sắm, không nằm trong danh mục quản lý tập trung của bộ phận CNTT của trường. Những máy in quản lý tập trung được kết nối với mạng VLAN và “vô hình” trước kẻ tấn công. Chúng được bảo vệ bằng một tường lửa có khả năng chặn các lệnh in gửi đến từ bên ngoài trường.

Chuyên gia bảo mật Howard của HP cho rằng, kẻ tấn công máy in không cần tốn nhiều công sức. Chính ông cũng đã phát hiện ra 29.000 máy in thiếu an toàn trên Internet bằng cách sử dụng một số công cụ tìm kiếm với những truy vấn tương tự như kẻ tấn công đã làm. Thực ra, việc đánh bại cơ chế bảo mật của máy in như vậy không có gì là mới mẻ. Một khảo sát dưới sự tài trợ của HP do Viện Ponemon (Mỹ) tiến hành vào năm ngoái chỉ ra rằng 62% số chuyên viên bảo mật được hỏi đã trả lời họ không tự tin có thể bảo vệ dữ liệu liên quan đến máy in của họ. Điều bi quan này phản ánh thực trạng có đến 64% số người được hỏi nói rằng tổ chức của họ coi trọng bảo mật cho máy tính hơn máy in.

Tài liệu tồn tại lâu dài

Kể từ khi máy in bắt đầu được trang bị ổ cứng, nội dung in cũng trở nên dễ bị lộ. Về cơ bản, máy in dàn ảnh trang in tài liệu rồi sau đó xóa đi khi công việc in đã hoàn tất. Nhưng cũng như máy tính, việc xóa một tập tin trên đĩa cứng thực ra chỉ là xóa kết nối giữa nó và danh mục tập tin của máy. Bản thân tập tin vẫn còn nguyên trên đĩa cho đến khi khoảng trống này được huy động để ghi nội dung mới. Nghĩa là, khi chưa bị ghi đè, tập tin vẫn có thể được khôi phục lại bằng phần mềm chuyên dụng.

Vào năm 2010, đài truyền hình CBS News của Mỹ phát một phóng sự làm chấn động dư luận. Phóng viên của đài đã mua ngẫu nhiên bốn máy photocopy từng được doanh nghiệp thuê và đã trả lại. Sau khi tháo ổ cứng trong các máy photocopy này và lắp vào máy tính, phóng viên phát hiện các ổ cứng này đang chứa rất nhiều dữ liệu, trong đó có nhiều tập tin nhạy cảm, như hồ sơ nhân viên, y tế và thậm chí cả hồ sơ cảnh sát.

Kể từ sau chương trình truyền hình của CBS News, ngành công nghiệp máy in bắt đầu chú trọng vấn đề bảo mật hơn. Đĩa cứng được mã hóa và tập tin tự xóa trở thành những tính năng tiêu chuẩn từ khoảng 3 – 5 năm trước, theo Andy Slawetsky, chuyên gia tư vấn ngành công nghiệp máy in tại Industry Analysts Inc. Ông cho rằng, máy in an toàn hơn qua mỗi thế hệ, và nếu bộ phận CNTT làm tốt công việc của họ, sẽ không bao giờ nảy sinh vấn đề.

Tuy nhiên, khảo sát năm 2015 của Viện Ponemon đã chỉ ra rằng, chỉ có 38% những người được hỏi tự tin rằng dữ liệu trên máy in mà họ quản lý đã được xóa vĩnh viễn trước khi máy bị vứt bỏ, hay làm mới lại.

Trong khi đó, vẫn còn một số người, do thấy những tính năng mã hóa và tự xóa của đĩa cứng làm chậm tốc độ in, nên đã tìm cách vô hiệu hóa chúng.

Đĩa cứng được mã hóa và tập tin tự xóa trở thành những tính năng tiêu chuẩn của máy in dùng cho doanh nghiệp ngày nay.

Máy in cũng là cổng cho hacker xâm nhập

Một kẻ tấn công có thể không quan tâm tới những gì máy in đang in. Đáng sợ là hacker có thể lợi dụng lỗi bảo mật của máy in nằm trên mạng LAN của doanh nghiệp để lây nhiễm, tấn công xâm nhập mạng.

Theo Kurt Stammberger, giám đốc tiếp thị của hãng bảo mật Fortscale cho biết, ngày càng có nhiều máy in ủy quyền và chúng có thể bị nhiễm mã độc, trở thành nguồn phát tán spam, hoặc bị huy động vào mạng lưới tấn công DDOS với các lệnh ping, gây tắc nghẽn băng thông hay quá tải các hệ thống mục tiêu. “Việc lây nhiễm như vậy khá phổ biến”, ông cho biết.

“Máy in bị nhiễm mã độc thường bị kẻ tấn công lợi dụng làm cầu nối để xâm nhập mạng hơn là đánh cắp nội dung in”, Greg Young, chuyên gia phân tích tại Gartner cũng đồng ý với quan điểm coi máy in như là một nguồn lây nhiễm, và tỏ ra lo ngại về việc máy in không được quan tâm cập nhật bản vá như với PC.

Theo Stammberger của Fortscale thì máy in bị nhiễm mã độc vẫn in ấn bình thường nhưng cung cấp nền tảng xâm nhập ở chế độ nền. Nếu hacker trình độ thấp, máy in có thể có biểu hiện “lạ”, như in chậm hơn bình thường chẳng hạn. Dù vậy, theo ông, có thể kiểm tra các bản ghi log để phát hiện dấu hiệu xâm nhập nguy hiểm.

Nhìn chung, các chuyên gia đều đồng ý rằng ngành công nghiệp in về cơ bản đã có cách thức đối phó với hiểm họa bằng chữ ký số (chẳng hạn như xác thực mật mã) cho phần mềm máy in, nhằm chống lại nguy cơ lây nhiễm một cách dễ dàng hơn.

“Nếu phần mềm được đăng ký nó không thể bị giả mạo, nhờ vậy bạn sẽ biết được phần mềm đáng tin cậy và đúng là của nhà cung cấp. Phần mềm được đăng ký đã phổ biến, và tỏ ra an toàn hơn”, Stammberger khẳng định.

Chẳng hạn tại Ricoh đã đề ra chính sách nghiêm ngặt hơn hai thập kỷ qua, theo đó bất cứ thứ gì gắn vào thiết bị của hãng đều phải được kiểm tra và đăng ký chữ ký số bởi Ricoh, giám đốc sản phẩm John Thiessen cho biết.

Tương tự, HP đã áp dụng một công nghệ, gọi là Symbiote, của Red Balloon Security. Đồng sáng lập Salvatore Stolfo, một nhà nghiên cứu bảo mật tại Đại học Columbia, giải thích rằng phần mềm Symbiote được cấy vào firmware như một bản cập nhật, và giám sát những thay đổi của firmware cũng như chính nó, sẵn sàng phát ra cảnh báo hoặc tắt thiết bị nếu phát hiện ra bất kỳ điều gì bất thường.

Bạn có thể làm gì?

Có một số thiết lập cơ bản về bảo mật bạn nên thực hiện với máy in để tránh xảy ra những điều đáng tiếc. Stammberger khuyên rằng, các cổng giao tiếp không dây cần có mật khẩu, mã hóa và áp dụng cơ chế xác thực lưu lượng truyền trên mạng nếu có thể.

Bạn cũng cần có biện pháp ngăn chặn kẻ tấn công lợi dụng tiếp cận, dùng máy in làm cầu nối xâm nhập mạng nội bộ. Theo Young, hãy xem máy in như những thiết bị dễ bị tổn thương khác trên mạng, và đặt chúng ở những khu vực có thể được giám sát, canh chừng. Nếu không có các bản vá bảo mật phần mềm thì ngăn không cho người lạ tiếp xúc máy.

Đồng quan điểm như vậy, Thiessen tại Ricoh đưa ra lời khuyên, “Bạn nên đọc kỹ hướng dẫn và làm theo khuyến nghị của nhà sản xuất để đảm bảo rằng thiết bị không quá hớ hênh, có thể bị những kẻ tò mò trên Internet truy cập”.

Bảo mật chống lại tấn công nội bộ cũng là điều quan trọng. “Phải có biện pháp bảo mật chống việc rò rỉ dữ liệu do sự lạm dụng từ nội bộ, chẳng hạn như phân quyền nhân viên được dùng (hay không) đối với máy in, và tránh vô tình cho phép truy cập bởi một bên thứ ba”, Jiri Tuma, giám đốc sản phẩm của nhà cung cấp phần mềm quản lý in ấn Y Soft của Cộng hòa Séc cho biết. “Có thể là hạn chế từng chức năng cụ thể, chẳng hạn như quét (scan) hay fax, và ghi lại quá trình máy in hoạt động để biết ai đã làm gì với chúng”.

Thực tế là máy in ngày nay được xem như những thành phần khác của hạ tầng CNTT phải được bảo vệ, để ngăn chặn sự lạm dụng và dùng sai mục đích. Các nhà sản xuất cũng đưa ra nhiều giải pháp phần mềm quản lý máy in. Chẳng hạn, Howard cho biết giải pháp HP Security Manager cung cấp hơn 250 thiết lập bảo mật, và mỗi máy in mới khi được bật lên sẽ nhận được những thiết lập bảo mật do máy chủ của HP đẩy xuống.  

Nếu điều tồi tệ xảy ra, một máy in bị nhiễm mã độc cần phải được tách ra khỏi mạng, thiết lập lại, và nạp lại firmware từ một nguồn đáng tin cậy, Stammberger đưa ra lời khuyên.

PC World VN 07/2016