Audit de la sécurité de l'imprimante – Serveur d’impression

Pourquoi quelqu'un devrait-il se préoccuper de la sécurité de ses imprimantes en réseau alors qu'il existe des pare-feu, des routeurs et de nombreux autres dispositifs de protection réseau sophistiqués (et coûteux)? Les imprimantes peuvent-elles réellement représenter un risque pour une entité? Les imprimantes n'ont même pas la capacité suffisante pour fournir un risque sérieux, ou le font-elles? Les capacités des imprimantes ont augmenté même si les coûts relatifs ont diminué. Les imprimantes multifonctions sont moins chères que jamais. Les imprimantes multifonctions courantes peuvent effectuer tout ou partie des tâches suivantes:

Envoi numérique par courrier électronique Envoi numérique vers un dossier réseau Envoi de fax Impression Copier Agrafage / empilement

Tant que les humains ne pourront pas se connecter à des systèmes basés sur la connaissance de manière biotechnologique futuriste, les imprimantes et les écrans resteront leur interface avec les informations. Les imprimantes et les écrans pendent au bout d'un tentacule. Pour ceux qui ont vu le film Gettysburg, une scène vient à l’esprit où un commandant, en substance, dit à un autre commandant: «Vous êtes, Monsieur, la fin de la ligne de l’armée de l’Union; si vous tombez, toute l'armée de l'Union sera flanquée et détruite. »Dans une certaine mesure, les imprimeurs sont dans la même situation vulnérable. Les données confidentielles et / ou sensibles sont souvent transmises aux imprimantes laissées à l’extérieur du bout d’une longue ligne. Bien sûr, il y a des défenses en cours de route, mais les imprimantes devraient également avoir la possibilité de se protéger si nécessaire. Compte tenu des capacités sans cesse croissantes des imprimantes en réseau, chaque entité doit effectuer un audit afin de déterminer si l'environnement de ses imprimantes en réseau est raisonnablement sécurisé. Voici quelques objectifs de contrôle à envisager:

Les politiques et procédures régissant la sécurité des imprimantes en réseau sont adéquates La console Web d'administration à distance de chaque imprimante en réseau est configurée avec force Les risques identifiés par les analyses de vulnérabilité basées sur le réseau des imprimantes elles-mêmes sont comptabilisés et atténués Les autres risques liés aux imprimantes sont pris en compte et comptabilisés par le biais de tests supplémentaires des contrôles généraux

Un audit des imprimantes en réseau de l’organisation relève de plusieurs catégories de normes ou de cadres de sécurité pertinents (par exemple, l’Organisation internationale de normalisation). [ISO] CobiT, loi fédérale américaine sur la gestion de la sécurité de l'information [FISMA]). Par exemple, le contrôle des imprimantes peut aider l’organisation à couvrir une partie de la sécurité du réseau et de la conformité légale. Après avoir examiné l’environnement de l’organisation, un audit des imprimeurs doit utiliser une approche d’appréciation fondée sur des échantillons et basée sur le risque. Normalement, les imprimantes situées dans un éventail de domaines fonctionnels, tels que l’administration, le support, les ressources humaines et les opérations, constituent la population totale à partir de laquelle choisir des échantillons. Politiques De manière générale, les imprimantes sont considérées dans le monde de la sécurité aujourd'hui, tout comme elles l'étaient à l'époque où elles étaient simplement des périphériques stupides sans mémoire, sans tenir compte des progrès réalisés dans la technologie d'impression. Par conséquent, ils sont souvent ignorés dans les règles et procédures de sécurité. Bien que ces documents fournissent généralement une certaine couverture aux imprimantes en réseau en ce qu’ils sont des «périphériques» connectés à un réseau, ils ne sont pas toujours spécifiques en ce qui concerne les configurations. Compter sur ces procédures pour joindre des périphériques au réseau pour la sécurité des imprimantes revient à s’appuyer sur un seul signal de limite de vitesse affiché pour renforcer la sécurité du trafic. C'est une bonne idée, mais il convient de prendre en compte le risque (zone scolaire vs autoroute). Idéalement, il devrait exister des normes, procédures ou directives détaillées globales relatives aux imprimantes en réseau. Administration à distance et maux de tête Tout le monde sait que pour accéder à la console Web d’une imprimante en réseau, la seule condition requise est de taper l’adresse IP (Internet Protocol) dans un navigateur Web. Ceci, bien sûr, est une «fonctionnalité» des imprimantes modernes permettant la gestion à distance. Le problème, c’est que de nombreux modèles utilisés permettent à quiconque disposant de l’adresse IP de visualiser la plupart, voire la totalité de la configuration. La seule chose que toute personne disposant de la bonne adresse IP ne peut pas faire est de sauvegarder les modifications apportées à la configuration sans le mot de passe. C'est là que réside le problème. Il s'avère que de nombreuses imprimantes en réseau sont déployées sans savoir que les mots de passe par défaut définis en usine sont définis sur le périphérique. La direction devrait avoir des procédures écrites exigeant que les mots de passe définis par défaut des imprimantes soient modifiés lors de la première étape du déploiement. La vulnérabilité de l’administration à distance non atténuée présente plusieurs risques, notamment la modification de l’adresse IP. Cela présente un intérêt particulier sur le front des attaques par déni de service (DoS). Si l’on tire l’ancien switcheroo sur l’adresse IP de l’imprimante, les utilisateurs seront incapables d’envoyer des travaux d’impression, ce qui entraînerait une confusion généralisée ou au moins des réclamations massives (voir l’attaque décrite dans l'encadré «L'attaque»). Bien que cela puisse être suffisamment ennuyeux pour que le support technique puisse y remédier, cela peut être mineur comparé aux attaques menées avec succès lors de nombreuses revues. La faille la plus grave identifiée lors d’un audit des imprimantes serait le concept d’une attaque réussie de type «man-in-the-middle» réalisée par la modification d’adresses IP et l’utilisation d’outils gratuits / partagiciels faciles à obtenir. C’est relativement simple et n’est possible que grâce à l’accès à la console de gestion à distance d’une imprimante peu sécurisée. Après avoir trouvé une configuration d'imprimante qui n'est pas verrouillée via des mots de passe forts, la première étape d'une attaque consiste à modifier l'adresse IP de l'imprimante en une adresse inutilisée du même sous-réseau. Ensuite, l’adresse IP du PC est modifiée en l’adresse précédente de l’imprimante. Ensuite, tout le trafic envoyé sur le port 9100 (port d'impression standard) à l'adresse IP vers laquelle les utilisateurs finaux sont configurés pour imprimer peut être capturé. L’attaque pourrait s’arrêter là et servir à collecter simplement des travaux d’impression jusqu’à ce que quelqu'un le sache, mais pourquoi quitter maintenant? Au lieu de cela, tous les travaux d'impression peuvent être transférés vers la «nouvelle» adresse IP de l'imprimante. Lorsque l'utilisateur final qui a soumis le travail se rend sur l'imprimante en question pour récupérer le travail d'impression, il découvre qu'il a été traité normalement. En fait, cela s'est passé si vite qu'il n'y a aucune raison de soupçonner l'utilisateur final. Si l'attaque est menée à bien, c'est particulièrement effrayant, car aucune détection ne sera nécessairement détectée pour mettre rapidement fin au problème, ce qui entraînerait une exposition prolongée et la surveillance de tout ou partie des travaux d'impression sélectionnés. Si l'attaquant connaissait l'adresse IP d'un responsable particulier ou simplement d'une personne avec laquelle une rancune était retenue, il pourrait certainement cibler un utilisateur particulier.

L'attaque:

Modifiez l'adresse IP de l'imprimante en une adresse non utilisée sur le même sous-réseau. Basculez l’adresse IP de votre ordinateur portable sur celle de l’imprimante. Capturez tout le trafic envoyé sur le port 9100 à l'adresse IP sur laquelle les utilisateurs finaux sont configurés pour imprimer. L'attaque peut s'arrêter ici, simplement en collectant des travaux d'impression jusqu'à ce que quelqu'un le découvre ou… Transférez tous les travaux d’impression sur la «nouvelle» adresse IP de l’imprimante. Lorsque l'utilisateur final qui a soumis le travail se rend sur l'imprimante en question pour récupérer le travail d'impression, l'opération s'est déroulée normalement. C’est arrivé si vite qu’il n’ya aucune raison de soupçonner l’utilisateur final.

Pour les besoins de ce type d’examen, Wireshark pourrait être utilisé pour analyser le trafic et capturer tout ce qui serait envoyé au port 9100 de l’adresse IP en question. Après avoir capturé le trafic, une autre application, telle que RedTitan EscapeE ou une alternative similaire, pourrait être utilisée pour convertir les données capturées en langage de commande d'imprimante (PCL) au format de document imprimable. Il existe probablement d'autres outils gratuits ou partagiciels disponibles pour accomplir la même tâche, et bien sûr, toute personne ayant une intention néfaste ne serait pas au-dessus de la recherche de ceux-ci. Le fait de montrer à la direction un document supposé sécurisé qui a été détecté hors connexion est certain de susciter une réaction. Comme toujours, jusqu'où l'audit devrait aller pour prouver l'existence d'une vulnérabilité constitue souvent une zone grise. Pour bien évaluer la situation, la haute direction doit être au courant, tout comme les outils du métier, même s’ils seraient normalement empêchés par les politiques ou procédures informatiques d'une entreprise ou d'une agence. Un autre angle possible consiste à exécuter des analyses Nmap sur les imprimantes sélectionnées pour la révision. Lors d’un audit des imprimantes, il est souvent possible de disposer d’une liste partielle des imprimantes en réseau parmi lesquelles sélectionner un échantillon à examiner. Il faut toutefois noter que Nmap peut également être utilisé pour identifier des périphériques réseau. Un attaquant peut utiliser cet utilitaire logiciel largement disponible pour identifier les imprimantes d'un sous-réseau afin d'établir des cibles avec un degré de précision raisonnable. Une faiblesse commune souvent identifiée dans ce type d’examen d’imprimante serait de trouver Telnet et le protocole FTP (File Transfer Protocol) activé. Ces protocoles sont maintenant obsolètes car ils permettent une communication non chiffrée. Ces protocoles doivent toujours être désactivés par défaut et autorisés uniquement lorsqu'un cas technique légitime est présenté. Une autre faiblesse commune identifiée lors de la numérisation concerne les imprimantes exécutant une version plus ancienne du protocole SNMP (Simple Network Management Protocol). SNMP a été développé dans les années 1980 pour fournir un moyen simple de gérer de nombreux périphériques réseau différents sur le réseau.1 Par défaut, de nombreuses imprimantes précédemment déployées ont toujours la version 1 en cours d'exécution, lorsque la version 3 est le protocole actuel et est prise en charge par la plupart des imprimantes en réseau. Le problème avec la version 1 était qu’il n’y avait pas de cryptage, ce qui laissait cette méthode d’administration à distance susceptible de renifler des paquets. Un autre problème lié est que les imprimantes peuvent toujours avoir la chaîne de communauté par défaut en place. Lorsque vous utilisez SNMP, la chaîne de communauté est utilisée pour l'authentification entre un administrateur distant et le périphérique réseau géré. Lorsque la chaîne de communauté par défaut est utilisée, cela permet à un attaquant d'obtenir des informations sur le périphérique ou de modifier potentiellement la configuration du périphérique.2 Responsabilités de la direction Selon l'organisation, la direction peut réagir de différentes manières pour remédier aux constatations d'audit d'imprimantes en réseau. Un des principaux facteurs est de savoir si l’organisation gère les imprimantes dans un format centralisé. Sinon, la réponse peut inclure le développement d'une norme spécifique à l'imprimante qui donne des paramètres et des instructions détaillés. Si les imprimantes sont gérées de manière centralisée, des modifications importantes peuvent être apportées aux configurations en place, puis transférées vers toutes les imprimantes du réseau. Avant de s'attaquer à ce projet ou à un projet similaire, il convient de mentionner un certain nombre d'avertissements techniques et non techniques (voir l'encadré «Mises en garde à prendre en compte»).

Mises en garde à considérer Technique:

Vérifiez les stratégies / procédures existantes pour la sécurité de l'imprimante. Soyez conscient de la disposition du réseau (filtrage de segments / trafic). Soyez conscient des normes de base (imprimantes ou PC). Testez la méthodologie d'analyse / attaque sur un périphérique local non partagé avant de commencer le travail de test. Le test pourrait verrouiller une imprimante nécessitant un redémarrage brutal et provoquant une DoS accidentelle.

Non technique:

Obtenir le soutien de la haute direction, en évitant dans la mesure du possible les notifications préalables des départements. Obtenez une approbation explicite et définissez un délai pour les périphériques sensibles. Vérifiez les imprimantes, y compris les imprimantes à grand volume et les transcripteurs. Identifiez le propriétaire de l'imprimante pour éviter le jeu du reproche plus tard.

D'un point de vue technique, un audit approfondi de toutes les règles et procédures existantes en vue de l'inclusion de la sécurité des imprimantes est indispensable pour lancer l'audit. Il convient de connaître toutes les normes de base établies pour les imprimantes et les PC. Les auditeurs doivent également connaître la structure du réseau, y compris les segments et tout filtrage du trafic. Si vous souhaitez implémenter des tests en utilisant l’une des attaques répertoriées précédemment, testez toujours la méthodologie d’analyse et d’attaque sur un périphérique local avant de commencer le travail de test. Comme on ne peut jamais savoir quelles complications peuvent survenir, cela permettra de mieux se préparer à y faire face. Des tests apparemment anodins pourraient verrouiller une imprimante et nécessiter un redémarrage brutal. Si cela se produit, une DoS accidentelle à court terme peut en résulter. Sur le plan non technique, il est toujours sage d'obtenir le soutien de la direction si nécessaire. Par exemple, on peut éviter autant que possible les préavis du ministère. La ligne est fine, mais il peut être intéressant de se faire une idée fidèle des environnements sans contamination par notification préalable. Dans le cas d'appareils sensibles ou très importants, il est préférable d'obtenir une approbation explicite et de fixer un délai de test. On ne veut pas enlever une imprimante de chèques de paie pendant le traitement mensuel en direct ni une imprimante à un poste d’infirmières sur lequel on se fie pour mettre à jour les graphiques pendant les heures de pointe. Il est également préférable d’identifier le service ou la personne propriétaire de l’imprimante, car cela pourrait éviter des problèmes si les résultats devaient être discutés. Autres risques liés à l'imprimante Jusqu'à présent, l'article abordait les risques les plus importants liés à l'accès non autorisé aux données lors de la transmission à une imprimante et aux vulnérabilités DoS. D'autres contrôles généraux doivent également être pris en compte. Par exemple, les auditeurs doivent toujours se demander comment la sortie d’une imprimante est contrôlée et qui a un accès physique aux imprimantes, supports d’impression et impressions critiques. Dans le cadre d’autres audits ou d’un audit d’imprimantes en réseau de grande envergure, il peut être nécessaire d’ajouter des objectifs d’audit. Par exemple, dans une université, les auditeurs peuvent ajouter des contrôles physiques aux imprimantes de chèques, aux imprimantes cliniques de son centre médical et aux imprimantes situées chez le registraire. Celles-ci ont des incidences sur la loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) et sur la loi sur les droits à l'éducation et la vie privée (FERPA). Par conséquent, les auditeurs tentent de déterminer que les imprimeurs qui publient des informations de santé protégées sur les patients ne se trouvent pas dans des zones accessibles au public, que ce soit librement ou non. De plus, les impressions contenant des PHI doivent être contrôlées de sorte que seuls les employés qui ont des tâches cliniques pour un patient voient les impressions liées aux PHI. Il en va de même pour un registraire. Les notes des étudiants ne doivent pas être exposées aux autres et, par conséquent, ces imprimantes doivent être dans un endroit sécurisé. En outre, le support d'impression du papier de transcription doit être étroitement contrôlé. De nombreuses situations telles que qui doit voir quelles informations, telles que les renseignements personnels sur la santé, les grades ou les numéros de sécurité sociale, peuvent être contrôlées dans l'application. Les icônes d'impression peuvent être grisées pour les personnes ne disposant pas du droit d'imprimer de telles informations. Ces fonctions sont généralement liées à des rôles dans un système d'entreprise. Par conséquent, l'examen de l'accès aux routines d'impression peut être intégré aux audits d'accès aux applications ou aux audits d'imprimantes. Pour être en conformité avec les réglementations HIPAA, FERPA et autres, il est préférable d’examiner au hasard l’accès aux impressions des PHI, des notes et autres informations personnellement identifiables. Pour les imprimeurs liés aux finances, bon nombre des mêmes problèmes sont préoccupants. La séparation des tâches est particulièrement aiguë pour les imprimantes à chèques. L'auditeur doit être au courant des procédures et, par conséquent, demander des explications ou des diagrammes de flux de travail pour le processus d'impression de chèques. Par exemple, si une série de contrôles est interrompue en raison d'une panne de courant ou d'une autre panne d'équipement, quel est le processus de redémarrage de l'opération? À plusieurs reprises, des entreprises et des entités ont été appelées à envoyer des chèques en double en raison du chevauchement des cycles de contrôle. Des procédures strictes de total de contrôle doivent être incorporées afin que les entrées d'un cycle de contrôle se rapprochent du résultat d'un cycle de contrôle. Les exemples de totaux de contrôle incluent le montant monétaire total, le nombre de transactions et même les totaux de hachage sur un élément de données non lié au financement. Comme pour le registraire et le relevé de notes d’une université, le stock de chèques doit également être étroitement contrôlé. Un autre problème à considérer avec toutes les imprimantes, en particulier celles très critiques, telles que les imprimantes chèques, est de savoir qui peut avoir les droits d'accès aux fichiers de mémoire tampon ou aux fichiers de préimpression temporaires situés sur les serveurs d'impression. L'organisation peut disposer de tous les contrôles du monde sur l'imprimante, mais si quelqu'un peut modifier les fichiers texte situés dans un tampon ou sur un serveur d'impression, le contrôle de l'intégrité des données a été perdu; l'imprimante fonctionnera correctement mais contiendra des données incorrectes. Enfin, l’audit des imprimantes peut être grandement facilité par l’utilisation des journaux d’impression fournis avec l’imprimante elle-même. L'auditeur doit s'assurer que la direction est au courant de ces fonctionnalités et déterminer que les journaux sont exécutés et contrôlés à l'aide d'une approche basée sur les risques. De toute évidence, une imprimante dans une bibliothèque peut ne pas avoir besoin de journaux d'audit activés. Les journaux des travaux d'impression peuvent être consultés en complément pour déterminer si la personne qui a imprimé le travail doit l'avoir imprimée. Il est également possible d’examiner d’autres activités suspectes telles que le volume de travaux d’impression ou le moment de l’impression, par exemple tard dans la nuit en présence d’un nombre limité de personnel. En ces temps de contraintes financières, les auditeurs recherchent souvent des audits de «solutions simples» qui déboucheront sur de bonnes recommandations en matière de sécurité pour un coût minime, voire nul. L’audit des imprimantes est l’un de ces audits. Les deux principaux objectifs devraient être de verrouiller la configuration et de désactiver les services risqués inutiles (vous connaissez le son?). Notes de fin 1 Geiger, Amy; «Votre plus grande force peut devenir votre plus grande faiblesse: vulnérabilités du protocole de gestion de réseau simple», Institut SANS, 2003. www.sans.org/reading_room/whitepapers/protocols/your_greatest_strength_can_become_your_greatest_weakness_simple_network_management_protocol_vulnera_3762 Romanski, James; "Les chaînes de la communauté SNMP par défaut sont définies sur" public "et" privé "," Institut SANS, 12 août 2000, www.sans.org/security-resources/idfaq/snmp.php Kevin Savoy, CISA, CPA, CISPa plus de 20 ans d'expérience dans les opérations informatiques et l'audit dans les secteurs public et privé et est actuellement directeur des audits informatiques à l'Université de Virginie (États-Unis). Auparavant, il était directeur de l'audit de la sécurité informatique pour le vérificateur des comptes publics du Commonwealth de Virginie. Il a également passé 10 ans à automatiser des pharmacies de détail et d'hôpitaux pour deux grands grossistes en produits pharmaceutiques. Il a abordé divers sujets liés à la sécurité informatique et à l'audit auprès de plusieurs organisations professionnelles. Brian Daniels, CISA, GCFAtravaille dans l’audit informatique gouvernemental depuis cinq ans, tant du côté externe que du côté interne. Auparavant, il était auditeur de la sécurité des systèmes d’information pour le vérificateur des comptes publics du Commonwealth de Virginie. Il est actuellement responsable de l'audit informatique à l'Université de Virginie. Les audits récents ont porté sur la sécurité sans fil, la sécurité UNIX, la sécurité des imprimantes en réseau, la sécurité des routeurs et des pare-feu, la récupération en cas de sinistre, la réponse aux incidents et diverses enquêtes d'investigation informatique.

Profiter de cet article? Lire le plus récent ISACA® Journal articles, devenez membre ou abonnez-vous à la Journal. le Journal ISACA est publié par ISACA. L’adhésion à l’association, organisation bénévole au service des professionnels de la gouvernance informatique, donne le droit de recevoir un abonnement annuel au Journal ISACA. Les opinions exprimées dans le Journal ISACA représentent les points de vue des auteurs et des annonceurs. Ils peuvent différer des règles et déclarations officielles d'ISACA et / ou de l'Institut de la gouvernance informatique.® et leurs comités, ainsi que des avis adoptés par les employeurs des auteurs ou par les éditeurs de la présente Journal. Journal ISACA n’atteste pas de l’originalité du contenu des auteurs. © 2010 ISACA. Tous les droits sont réservés. Les instructeurs sont autorisés à photocopier gratuitement des articles isolés destinés à une utilisation en classe à des fins non commerciales. Pour toute autre copie, réimpression ou nouvelle publication, une autorisation écrite doit être obtenue de l'association. Si nécessaire, les détenteurs des droits d'auteur autorisent les personnes inscrites auprès du Copyright Clearance Center (CCC), 27, rue Congress, Salem, MA 01970, à photocopier des articles appartenant à ISACA, moyennant un forfait de 2,50 USD par article, plus 25 ¢ par page. Envoyez le paiement au CCC en indiquant l'ISSN (1526-7407), la date, le volume et les numéros de première et dernière page de chaque article. La copie à des fins autres que d'usage personnel ou de référence interne, ou d'articles ou de colonnes n'appartenant pas à l'association sans l'autorisation expresse de l'association ou du détenteur des droits d'auteur est expressément interdite.

Click to rate this post! [Total: 0 Average: 0]