Mối nguy bảo mật mới: "dội bom thư rác" xuống... máy in

Một giám đốc bảo mật tên là Aaron Weaver đã có một phát kiến có thể khiến cả thế giới văn phòng phải rùng mình nhốn nháo: Dội bom thư rác vào máy in của bạn, từ mạng Web.

Khai thác một tính năng ít được biết đến nhưng lại hiện diện trong hầu hết trình duyệt Web hiện nay, Weaver có thể khiến cho trang Web tự động kích hoạt lệnh in trên bất cứ máy in nào thuộc mạng "nạn nhân".

Những mẩu quảng cáo gây bực mình sẽ được in ra liên tu bất tận mà người dùng chẳng hề hay biết lý do vì sao.

Thậm chí theo lý thuyết, Weaver còn có thể tiến hành những hành động nguy hiểm hơn, như ra lệnh cho máy in gửi đi một bản fax, format lại ổ cứng hoặc download một firmware nào đó.

Weaver, một giám đốc bảo mật hiện đang làm việc trong lĩnh vực tài chính, đã đặt tên cho hiện tượng này là "in cross-site" trên website Hacker.org.

Để thực hiện được một vụ tấn công "in cross-site", trước hết, hacker phải lừa nạn nhân ghé thăm một Website độc, thậm chí là một trang web hoàn toàn hợp pháp nhưng có dính lỗ hổng scripting chéo site (một loại lỗi lập trình Web rất thường gặp).

Sau đó, hacker sẽ gửi một đoạn mã JavaScript có nhiệm vụ dò đoán vị trí của máy in tới cho trình duyệt. Cuối cùng là ra lệnh in.

Weaver cho biết anh đã "tấn công" thành công cả hai trình duyệt Internet Explorer của Microsoft lẫn Firefox của Mozilla. Do hình thái tấn công này chỉ áp dụng được cho máy in có nối mạng, nên máy in nào đấu nối trực tiếp với PC sẽ không bị đe dọa.

Có cơ sở

Mặc dù vậy, nguy cơ từ "in chéo site" vẫn hết sức lớn, do hầu hết máy in ngày nay đều có tính năng nối mạng.

Nguồn: Luminous_crack

"Hầu hết trình duyệt đều có thể kết nối với cổng mạng mà máy in sử dụng để tìm kiếm nội dung cần in, do đó, chỉ cần lợi dụng trình duyệt làm bàn đạp, kẻ tấn công sẽ có thể tiếp cận với mục tiêu, kể cả khi đó là máy in nối mạng LAN".

Tuy chưa có vụ tấn công "in chéo site" nào xảy ra trên thực tế, song cơ sở cho nghiên cứu của Weaver là hai khái niệm rất phổ biến trong cộng đồng bảo mật mạng: tấn công scripting chéo site và những lỗ hổng trong cách trình duyệt xử lý IP.

Và nếu như hacker ra lệnh được cho máy in gửi thông tin về những tài liệu đã in lên mạng Internet, tổn thất mà doanh nghiệp phải chịu sẽ còn lớn hơn rất nhiều.

Trước đây, các chuyên gia bảo mật từng chứng minh được: có thể dùng trình duyệt làm bàn đạp để truy cập vào máy chủ mail hoặc VOIP. Họ tin là trình duyệt, với khả năng kết nối với Internet nói chung và mạng LAN nói riêng, sẽ ngày càng trở thành mục tiêu "bắn phá" quan trọng của hacker.

Weaver tỏ ra lo ngại rằng nghiên cứu của anh có thể mở đường cho một hiểm họa bảo mật mới, vì vậy, anh đã khá dè dặt khi công bố tài liệu trên Ha.ckers.org.

Ngay sáng hôm sau, Weaver cho biết anh đã nhận được một email, yêu cầu được xem phần mềm và mã khai thác với lý do: "Tôi cần cho sếp xem để chứng minh đây là nguy cơ có thật". Mặc dù vậy, Weaver hoài nghi đây chỉ là mánh lừa từ spammer nên không trả lời.

Trọng Cầm