HP ha voluto gettare acqua sul fuoco. Il modo di dire, questa volta, è più pertitenente che mai. La divisione stampanti della società oggi guidata da Meg Whitman ha voluto rispondere agli articoli che nelle scorse ore hanno iniziato a moltiplicarsi in Rete utilizzando toni generalmente assai sensazionalistici.
“Le congetture che fanno riferimento a possibili incendi nel caso di alcune nostre stampanti dopo la modifica del firmware sono assolutamente false“, ha voluto chiarire l’azienda di Palo Alto (California).
Tutto è nato da uno studio elaborato da alcuni rircatori della Columbia University secondo cui, installando un firmware modificato “ad arte” su alcuni modelli più datati di stampanti LaserJet, un malintenzionato potrebbe addirittura arrivare a provocare un incendio.
“Le stampanti HP LaserJet dispongono di un componente hardware che funge da interruttore termico e che è studiato per prevenire il surriscaldamento ed i rischi d’incendio. Il suo funzionamento non può essere disattivato con nessuna modifica lato firmware“, ha aggiunto HP.
Secondo i ricercatori della Columbia, comunque, la vulnerabilità esiste e potrebbe essere piuttosto comune anche sui modelli di stampanti prodotti e commercializzati da altri produttori. “L’impatto della nostra ricerca è molto ampio. Questi dispositivi sono completamente aperti e possono essere preda di facili attacchi“, ha dichiarato Salvatore Stolfo, docente presso l’università statunitense.
Stolfo ed il suo assistente Ang Cui avrebbero effettuato il reverse engineering del software utilizzato per controllare le stampanti LaserJet a marchio HP. Il duo ha spiegato che ogni volta che la stampante accetta un lavoro da svolgere, provvede a controllare se tale “job” includa un aggiornamento software. Dal momento che per la veicolazione degli aggiornamenti del firmware non viene utilizzata una firma digitale, chiunque potrebbe essere in grado di inviare istruzioni malevole alla stampante provocando, ad esempio, l’installazione di un software pericoloso.
I rischi sono maggiori se la stampante dovesse essere collegata alla rete Internet senza l’impiego di un firewall. Uno scenario, questo, che HP bolla però come poco comune. In una rete privata, si legge nel comunicato dell’azienda, l’unico pericolo potrebbe arrivare nel caso in cui la richiesta di modifica del firmware arrivi da una workstation “fidata”, anch’essa connessa alla medesima rete locale. Precisando che nessun utente ha sinora mai segnalato nemmeno un attacco, HP rilascerà comunque un aggiornamento.
Mikko Hypponen, direttore delle ricerche presso F-Secure, è comunque critico chiedendosi perché HP non faccia uso di certificati e firme digitali per assicurarsi che i nuovi firmware installati sulle sue stampanti siano effettivamente originali e non modificati in nessuna parte. Hypponen spiega che le stampanti sono state più volte un anello debole all’interno delle strutture aziendali. “Molte persone non realizzano che una stampante di rete è un computer collegato alla LAN, con i medesimi problemi e lo stesso impatto in termini di sicurezza“, ha aggiunto l’esperto. In altre parole, se non si può “bruciare” una stampante, un aggressore potrebbe essere in grado di sottrarre automaticamente copie dei documenti stampati e trasmetterle altrove.
Secondo Keith Moore (HP) i ricercatori della Columbia University si sarebbero però limitati a prendere in esame vecchi modelli di stampanti: tutti i firmware pubblicati dal 2009 in poi, infatti, farebbero uso della firma digitale per garantire l’autenticità e la provenienza del software di aggiornamento. Dalla Columbia rispondono di aver acquistato una della stampanti usate nella prova solo nello scorso mese di settembre, presso un grande magazzino newyorkese.