Geçtiğimiz Perşembe günü, HP CEO’su Enrique Lores, şirketin, kullanıcılar üçüncü taraf mürekkeple yüklediğinde yazıcıları tuğlalama yönündeki tartışmalı uygulamasına değindi. CNBC televizyonuna konuşurken, “Virüsleri kartuşlara yerleştirebileceğinizi gördük. Kartuştan, [the virus can] yazıcıya git, [and then] yazıcıdan ağa gidin.”
Bu korkutucu senaryo, bu ay Dinamik Güvenlik sistemiyle ilgili başka bir davaya maruz kalan HP’nin neden bu sistemi yazıcılara dağıtmakta ısrar ettiğini açıklamaya yardımcı olabilir.
Araştırmak için Ars Technica kıdemli güvenlik editörü Dan Goodin’e başvurdum. Bana, bir kartuşu kullanarak bir yazıcıya virüs bulaştırabilecek, doğada aktif olarak kullanılan herhangi bir saldırı hakkında bilgisi olmadığını söyledi.
Goodin soruyu Mastodon’a da yöneltti ve çoğu yerleşik cihaz korsanlığı konusunda uzman olan siber güvenlik uzmanları kesinlikle şüpheci davrandı.
HP’nin Kanıtı
Lores’in iddiasının HP destekli araştırmalardan gelmesi şaşırtıcı değil. Şirketin hata ödül programı, Bugcrowd araştırmacılarına mürekkep kartuşunu siber tehdit olarak kullanmanın mümkün olup olmadığını belirleme görevi verdi. HP, yazıcıyla iletişim kurmak için kullanılan mürekkep kartuşu mikro denetleyici yongalarının saldırılar için bir giriş yolu olabileceğini savundu.
Actionable Intelligence araştırma firmasının 2022 tarihli bir makalesinde ayrıntılı olarak belirtildiği gibi, programdaki bir araştırmacı, üçüncü taraf bir mürekkep kartuşu aracılığıyla bir yazıcıyı hacklemenin bir yolunu buldu. Araştırmacının aynı hack işlemini bir HP kartuşla gerçekleştiremediği bildirildi.
HP’nin baskı güvenliği baş teknoloji uzmanı Shivaun Albright o sırada şunları söyledi:
Albright, kartuş çıkarıldıktan sonra kötü amaçlı yazılımın “yazıcının belleğinde kaldığını” ekledi.
HP, böyle bir saldırının doğada meydana geldiğine dair hiçbir kanıt bulunmadığını kabul etmektedir. Yine de şirket, üçüncü taraf mürekkep kartuşlarında kullanılan çiplerin yeniden programlanabilir olması nedeniyle (Actionable Intelligence’a göre “kodları doğrudan sahada bir sıfırlama aracıyla değiştirilebilir”) daha az güvenli olduklarını söylüyor. Çiplerin, ürün yazılımı güncellemelerinden sonra yazıcılarda çalışmaya devam edebilmeleri için programlanabilir olduğu söyleniyor.
HP ayrıca, özellikle ISO/IEC sertifikalı kendi tedarik zinciri güvenliğiyle karşılaştırıldığında üçüncü taraf mürekkep şirketlerinin tedarik zincirlerinin güvenliğini de sorguluyor.
Dolayısıyla HP, kartuşların saldırıya uğraması için teorik bir yol buldu ve şirketin böyle bir riski tespit etmek için bir hata ödülü vermesi mantıklı. Ancak bu tehdide karşı çözümü açıklandı önce bir tehdit olabileceğini gösterdi. HP, 2020 yılında hata tespit programına mürekkep kartuşu güvenliği eğitimini ekledi ve yukarıdaki araştırma 2022 yılında yayınlandı. HP, görünüşte yıllar sonra varlığını kanıtlamaya çalıştığı sorunu çözmek için 2016 yılında Dinamik Güvenlik’i kullanmaya başladı.