viernes, 10 de febrero de 2017

«Tu impresora es parte de una botnet»: La seguridad de las impresoras al descubierto

Durante el último fin de semana, muchos usuarios en la Web publicaron imágenes sobre un mensaje extraño que apareció en sus impresoras. Al parecer, un tal «Stackoverflowin» utilizó un script para detectar puertos abiertos en impresoras conectadas, y enviar órdenes de impresión. El primer mensaje fue bastante original, e incluso cómico desde cierto punto de vista, pero rápidamente aparecieron imitadores demandando bitcoins. La buena noticia es que el problema tiene solución. La mala es que nos recuerda a ese desastre de seguridad llamado «Internet de las Cosas».

«Tu impresora es parte de una botnet»: La seguridad de las impresoras al descubierto
Hasta la mejor de las intenciones puede causar un conflicto de seguridad, y si necesitamos un ejemplo contundente de ello, no debemos mirar más allá de la Internet de las Cosas. Se supone que conectar todo a la Web es algo bueno, ya que nos permite administrar en forma remota a diferentes accesorios y electrodomésticos (cámaras, equipos de aire acondicionado, cafeteras, lavadoras… la lista sigue), además de actualizar su firmware, siempre y cuando el fabricante los ofrezca. Sin embargo, en la gran mayoría de los casos, dichos fabricantes ignoran por completo aspectos básicos de seguridad, y sus productos quedan expuestos de punta a punta, esperando a que alguien con la habilidad suficiente los encuentre. El resto depende del nivel de acceso. Lo más probable es que una cámara habilite su feed de vídeo, pero hay muchas impresoras allá afuera con el puerto 9100 más abierto que el Arco del Triunfo, y este fin de semana, sus dueños recibieron un mensaje…
«Por favor, cierra este puerto»
«Tu impresora es parte de una botnet» no es la mejor frase que nos gustaría ver impresa. Siendo honestos, cualquier cosa que salga de la impresora sin nuestra autorización directa es preocupante. HP, Epson, Samsung, Oki, Brother, Canon, Lexmark, Aficio (Ricoh) y Konica Minolta son algunas de las marcas afectadas, pero más allá del mensaje, no se han reportado daños permanentes, con la excepción de una o dos hojas de papel consumidas. La mente maestra detrás del ataque, operando bajo el seudónimo «Stackoverflowin», explicó que todo el trabajo se redujo a escribir un script automático cuyo objetivo fue descubrir a las impresoras y enviar su mensaje durante 24 horas. Stackoverflowin calcula que en total alcanzó a poco más de 150 mil impresoras, las cuales van desde simples unidades que entregan recibos, hasta modelos de alta gama muy populares en oficinas.
Más de 150 mil impresoras expuestas recibieron instrucciones del script para imprimir el mensaje
Al final del día, lo cierto es que no hay ninguna botnet, y Stackoverflowin mandó el mensaje a modo de broma, pero al mismo tiempo solicita a los usuarios afectados que cierren los puertos, ya sea en sus impresoras o al nivel del router. Es lógico llegar a la conclusión de que esto no será posible en todos los entornos, debido a que el envío de impresiones al puerto 9100 tiene cierta utilidad, pero si el mensaje es una sorpresa, entonces el puerto 9100 debería estar cerrado-bloqueado-desactivado. Lamentablemente, las diferencias entre los modelos no permiten la creación de una guía universal. Algunos brindan la opción a través de su software, mientras que otros requieren una sesión en telnet. ¿Por qué es importante hacer esto ahora? Porque ya aparecieron imitadores demandando bitcoins a cambio de «liberar» a las impresoras.

Fuente:
http://www.neoteo.com/impresora-parte-una-botnet-la-seguridad-las-impresoras-al-descubierto