Принтеры оказались опасными для корпоративных сетей
Загрузка галереи
Исследователи из Рурского университета в Германии обнаружили в прошивках некоторых моделей популярных сетевых принтеров несколько критических уязвимостей. Согласно их исследованию, которое будет официально представлено в мае 2017 года на конференции по кибербезопасности RurSec, благодаря обнаруженным уязвимостям злоумышленники могут получать копии отправляемых на печать документов и даже захватывать контроль над всей корпоративной сетью.
Все существующие сегодня принтеры во время печати управляются компьютером с помощью нескольких специальных протоколов и языков. В случае с сетевыми принтерами во время печати компьютер сначала инициализирует принтер через протокол управления устройством, затем устанавливает с ним обмен данным через сетевой протокол, после чего отправляет ему задание для печати сначала на языке управления заданиями, а потом на языке описания страниц.
Если говорить упрощенно, пи старте печати компьютер находит в сети принтер, пробуждает его и сообщает, что нужно напечатать, например, два документа — сначала документ с одним идентификатором, а затем — с другим. При этом для каждого документа отправляется дополнительное описание как именно его надо напечатать — прокрутить одну строку, по таким-то координатам нанести краску и так далее. Основные языки управления заданиями и описания страниц были написаны еще в 1970-80-х годах и сегодня используются на всех принтерах.
Обнаруженные уязвимости потенциально присутствуют на всех принтерах (из-за общности языков управления ими), но представляют наибольшую угрозу именно на сетевых устройствах, поскольку к ним можно подключиться удаленно, а не по USB, как в случае с домашними устройствами. Самое простое, что может сделать злоумышленник с сетевым принтером — отправить его в замкнутый цикл, заставив выполнять одно и то же действие. При этом устройство перестанет отвечать на все внешние команды.
Загрузка галереи
Злоумышленник также может вывести принтер из строя, сначала отдав команду, например, на прогрев барабана для спекания порошковой краски, а затем введя устройство в замкнутый цикл. Отправка команд принтеру обусловлена открытой природой обмена данными с устройством — оно обрабатывает все получаемые адресные команды. При этом защиты практически нет. Благодаря этому и знанию основ языка управления заданиями и описания страниц злоумышленник может считывать документы, загруженные в память принтера во время печати.
Получение копии документа, отправленного на печать, возможно на тех сетевых принтерах, которые работают через стандартный порт 9100, поддерживающий двусторонний обмен данными. Через этот порт принтер отправляет уведомления о закончившейся бумаге или о готовности продолжить печать в случае с двусторонней печатью. По данным исследователей, через языки управления заданиями злоумышленники могут получить и доступ ко всей корпоративной сети. Более подробно об уязвимостях можно почитать в блоге исследователей.
По данным исследователей, уязвимости были обнаружены на 20 принтерах компаний Dell, HP, Lexmark, Brother, Samsung, Kyocera, Konica и OKI. Ученые полагают, что проблема распространена гораздо шире, но они не могут проверить это предположение, поскольку проект изучения уязвимостей не финансируется. Отчеты о найденных брешах исследователи отправили производителям, из которых откликнулась только компания Dell. Впрочем, она пока найденные уязвимости не устранила.
Исследователи создали собственный инструмент — программу, которую может скачать любой желающий. Это приложение, получившее название PRET, позволяет протестировать любой принтер, подключенный по USB, Wi-Fi или LAN, на наличие уязвимостей.
В ноябре прошлого года израильские исследователи обнаружили, что практически любой настольный компьютер и ноутбук с подключенными к ним наушниками можно превратить в подслушивающее устройство. Исследователи написали специальную программу, которая использует встроенную функцию автоматического определения подключенных устройств в аудиочипах Realtek. В частности, программа может заставить систему распознавать наушники, как микрофон, после чего через них можно вести прослушку.
Василий Сычёв
Пока лишь со скоростью 1,6 миллиметра в секунду
Американские инженеры разработали робота, способного автономно передвигаться в толще сыпучего материала, проталкивая себя вперед с помощью двух конечностей, напоминающих плавники. В испытаниях робот продемонстрировал способность передвигаться в песке на глубине около 127 миллиметров со скоростью до 1,6 миллиметра в секунду. Статья опубликована в журнале Advanced Intelligent Systems. Сыпучие материалы, такие как песок, мягкие почвы, снег или лунный реголит, представляют собой довольно сложную среду для передвижения. Объекты, движущиеся в их толще, испытывают высокое сопротивление, возрастающее с глубиной погружения. Кроме того, сыпучая среда ограничивает возможности зондирования и обнаружения препятствий. Тем не менее инженеры пытаются создать роботов, способных передвигаться в таких условиях. Например, американские разработчики представили прототип робочервя, способного двигаться в толще песка. Для снижения сопротивления он выдувает перед собой воздух, и одновременно разматывает мягкую оболочку своей передней части, выталкивая ее вперед, в то время как остальное тело остается неподвижным. Это позволяет значительно снизить сопротивление движению. Однако для его работы требуется воздух, который приходится подводить с поверхности. Создать робота, который смог бы передвигаться в песке автономно, решили инженеры под руководством Ника Гравиша (Nick Gravish) из Калифорнийского университета в Сан-Диего. Разработанный ими робот перемещается, проталкивая себя вперед через толщу сыпучей среды с помощью двух гибких конечностей, напоминающих плавники морской черепахи. Конечности состоят из пяти звеньев. Каждое звено способно вращаться относительно предыдущего, но углы их отклонений ограничиваются с помощью фиксаторов. В движение оба плавника приводятся через червячную трансмиссию с помощью единственного электромотора. При этом трансмиссия воздействует только на первые ближайшие к корпусу звенья. Благодаря фиксаторам, ограничивающим углы поворотов звеньев, при движении вперед конечности изгибаются, испытывая меньшее сопротивление среды, а при движении назад наоборот, распрямляются, позволяя роботу отталкиваться от песка. На концах конечностей разработчики поместили сенсоры, с помощью которых робот может обнаруживать расположенные сверху объекты. Корпус робота длиной около 26 сантиметров имеет прямоугольное сечение и утолщение в передней части, которое позволяет снизить сопротивление песка при движении. Нос робота заострен и имеет наклонную поверхность сверху, которая необходима для компенсации подъемной силы, возникающей при движении в песке. С этой же целью по бокам после проведенных тестов пришлось разместить два дополнительных наклонных неподвижных плавника, так как робот имел тенденцию задирать нос при движении под действием выталкивающей силы. Чтобы избежать попадания песчинок в механизм, конечности поместили в чехлы из нейлоновой ткани. Разработчики протестировали робота, погруженного на глубину 127 миллиметров в песок, сначала в небольшом искусственном резервуаре, а после в естественных условиях в песке на пляже. В сухом песке робот смог развить скорость 1,6 миллиметра в секунду. В более влажном песке на пляже робот двигался медленнее, со скоростью около 0,57 миллиметра в секунду. В будущем инженеры планируют увеличить скорость передвижения робота, а также научить его самостоятельно погружаться в песок. Ранее мы рассказывали об исследовании, в котором физики выяснили, что происходит со структурой песка при передвижении по нему с помощью прыжков. Они обнаружили, что при правильно подобранном времени задержки между приземлениями и новым толчком, можно увеличить высоту прыжка на 20 процентов и даже больше.