Tom's Hardware Italia
Sicurezza

Il primo Doom installato su una stampante, che virus!

Un ricercatore ha installato Doom su una stampante per dimostrarne la vulnerabilità.

L'hacker Michael Jordon (Context Information Security) ha installato Doom su una stampante Canon PIXMA. Sì, proprio il famoso videogioco del 1993, eseguito sul piccolissimo display LCD della stampante. Una cosa divertentissima, ma l'obiettivo era evidenziare vulnerabilità informatiche anche gravi.

Jordon voleva infatti dimostrare che dispositivi come le stampanti sono facili da attaccare, fino al punto da eseguire programmi completi al loro interno. Il ricercatore ha scoperto che la stampante ha un'interfaccia web facilmente accessibile perché non login e password.

Tale interfaccia, in teoria, serve per controllare i livelli d'inchiostro e cose simili. Ma Jordon ha scoperto che da qui è anche possibile avviare un aggiornamento del firmware, e nel farlo inserire software non autorizzato – come appunto il gioco Doom. Per indurre l'utente a installare un falso aggiornamento si potrebbe simulare una notifica ufficiale di Canon, che comunica appunto la disponibilità di una nuova versione.

A questo punto, se invece del gioco s'installa del malware sarebbe possibile intercettare i documenti mandati in stampa, o anche usare la stampante come trampolino per violare la rete locale. "Se puoi eseguire Doom su una stampante, puoi anche fare cose molto peggiori", ha dichiarato Jordon a Tom Fox-Brewster del Guardian; "in un ambiente aziendale sarebbe una buona strategia. Chi sospetterebbe delle stampanti?".

Canon ha modificato l'interfaccia Web delle proprie stampanti, e anche i modelli usciti dalla seconda metà del 2013 in poi riceveranno un aggiornamento correttivo. Una notizia che non è di alcuna consolazione, perché ancora una volta (Stampanti 3D a rischio: con un virus possono esplodere) emerge che c'è tutta una nuova generazione di dispositivi connessi, quelli che costituiscono la Internet of Things, nata senza la giusta preoccupazione per la sicurezza.

Una situazione ai limiti del paradosso, visto che la sicurezza IT e gli attacchi di ogni genere non sono certo una novità di ieri. Eppure chi crea i nuovi prodotti sembra curiosamente refrattario al farli nascere sicuri, e preferisce andare a correggere eventuali problemi quando emergono. Perché?