3.9.10

La sicurezza interna e la gestione di fotocopiatrici, scanner, stampanti, ecc ecc

Qualche settimana fa abbiamo constatato come delle fotocopiatrici non adeguatamente configurate possono trasformarsi in un potenziale forziere di informazioni che una volta lasciata l’azienda può avere destini tra i più svariati (vedi articolo).
Oggi ci colleghiamo all'articolo precedente, riparlando di strumenti di gestione documentale "fisica" e quindi non solo di fotocopiatrici ma anche dei cugini scanner e stampanti.
Ebbene, ultimamente si è consolidato il costume di collegare in rete anche quei dispositivi di business automation che una volta erano relegati di fianco alle scrivanie o nei corridoi: sto parlando di fotocopiatrici (ancora), stampanti, scanner, ecc.
Grazie alla connettività di rete e alla presenza di un web server interno (embedded), tali strumenti possono essere monitorati con maggiore efficacia in modo da rispondere con tempestività a problematiche di toner esaurito, vassoio della carta vuoto, ecc.Alcuni di questi strumenti sono da qualche anno dotati anche di disco interno che permette di mantenere una copia dei documenti copiati o stampati, in modo da poterli recuperare successivamente per chi avesse distrutto o restituito l’originale, o smarrito il file sorgente.A fianco di questi ovvi vantaggi per l’attività di ufficio, si innestano altrettanto ovvie problematiche di sicurezza, ovvero: una volta che la mia stampante è in rete e mantiene copie dei documenti sul suo disco interno, essi possono essere raggiunti con più facilita da un insider.Un esempio è mostrato dalle due immagini qui sotto: grazie a Google, è stato semplice individuare una fotocopiatrice Konica Minolta che espone il suo server web di gestione al pubblico.

In questo caso, sebbene sia presente un disco fisso interno, fortunatamente non ci sono file memorizzati nell’area pubblica.

Così come la fotocopiatrice dell’esempio, altre marche e modelli potrebbero essere facilmente raggiungibili da un normale browser all'interno di una rete aziendale.

Un altro esempio riguarda gli scanner HP: prendendo spunto da un articolo di net-security.org (Corporate espionage for dummies: HP scanners), ho cercato in rete alcuni scanner del produttore americano collegati a domini aziendali, e in questo caso l’analisi si è rivelata più fruttuosa.
Grazie alla funzione Webscan, è possibile “la scansione di foto e documenti dalla periferica sul computer utilizzando un browser Web, anche se si decide di non installare il software della periferica sul computer.”

Questo permette, come ha constatato l’autore dell’articolo sopra citato, di recuperare documenti dimenticati negli scanner collegati in rete.
E' altresì immaginabile un ufficio in cui un impiegato ripone un documento nello scanner per digitalizzarlo e un collega (insider) che ne è a conoscenza lancia il processo di cattura via rete.
Semplice e molto poco rischioso.
Poco più difficile, invece, realizzare uno script che permetta l’automatizzazione del monitoraggio degli scanner di rete, per recuperare.
Infine, attenzione ai dispositivi non protetti da password o a quelli con password impostata dal produttore. Qui sotto uno dei casi reperibili direttamente da Google.

Suggerimenti

Ecco alcune semplici regole che vi consentiranno di abbassare il grado di rischio di questi dispositivi. Naturalmente sono da inserite in ogni specifico contesto, ma la prima di esse è introduttiva alle seguenti:

  1. effettuare un risk assessment di questi dispositivi e definire, dipendentemente da come si desidera gestire il rischio, le contromisure da adottare;
  2. contromisura obbligatoria: cambiare la password di Administrator di default;
  3. evitare di memorizzare sul disco fisso interno della fotocopiatrice le copie dei documenti. E' davvero così indispensabile questa funzione? Probabilmente il 98% degli utenti non ne è nemmeno a conoscenza. Ed é una cifra ottimistica;
  4. nelle fotocopiatrici, se proprio è indispensabile memorizzare dei documenti sul disco fisso, esistono dei moduli del sistema operativo della fotocopiatrice che consentono la crittografia dei documenti.

Nessun commento: