Sårbarheten alla har – men ingen tänker på

Det är möjligt att testa rätt enkelt, ryck ut hårddisken ur din skrivare och se vad du får med dig. Sannolikheten är stor att mängder med dokument från i stort alla användare i din miljö ligger där, helt öppet. Det är på många sätt företagets mest centrala punkt, men står helt oskyddad.

Mattias Wecksten är programansvarig för kandidatprogrammet i it-forensik på Högskolan i Halmstad och en av talarna på TechWorlds säkerhetsseminarie Next Generation Threats. Han har genom åren hunnit med att se många verkliga exempel.

- Det finns flera fall och en grupp som faktiskt specialiserat sig på malware och svagheter i just skrivare. En utskrift räcker för angriparna, sen kan de ta kontroll över maskinen. Det är massor av data som skickas och sedan ska tolkas av en programvara, som kan krascha och därmed attackeras.

Det är också möjligt att injicera skadlig kod via firmware vilket betyder bingo för en angripare. Skrivaren står centralt, mängder med intressanta dokument lagras i den, den är nätansluten och har dessutom ofta möjlighet att skicka e-post. Mängder med data kan slussas ut via skrivaren, som i stort sätt aldrig har säkerhetsfunktioner liknande en vanlig dator.

- Follow-me-printing, där du måste ha identifiera dig med kod eller token, visar att skrivartillverkarna börjar tänka på de här problemen. Olika företag är olika mogna, men köper man en helhetslösning från någon av de stora menar de på att de tänkt på det här problemet. När man läser broschyren finns de rätta nyckelorden med. Med det sagt behöver det inte betyda att det faktiskt fungerar, säger Mattias.

De som viftar bort det här som ytterligare ett fiktivt hot mot it-miljön går knappt att bemöta menar Mattias.

- Det är så reellt som det går. Man behöver inte låsa ner sig till en enskild skrivare, det är konceptet man behöver fundera över. Vill vi tillåta att enskild hårdvara kan flyta fritt i it-miljön?

Samma grundprincip gäller faktiskt även molntjänster där Mattias tycker att många har tagit steget ut för fort och inte tänkt efter.

- Säkerhet är oftast något vi inte tänker så långt kring som vi borde. Det är viktigt att få lite perspektiv och fundera, ta sig tiden innan man sätter något i sjön.