Skrivarsäkerhet: Din kontorsskrivare lagrar alla dokument och kan hackas

Kontorsskrivaren sitter i hörnet och gör sitt jobb tyst. Skriv ut, skanna, kopiera, faxa. Ingen ser det som en säkerhetsrisk. Men den multifunktionsskrivaren är en dator med en hårddisk, en nätverksanslutning och firmware som sällan uppdateras. Den lagrar kopior av allt den bearbetar, den kan hackas på distans och den skriver ut osynliga spårningspunkter på varje sida.

Din skrivare har en hårddisk

De flesta moderna kontorsskrivare och multifunktionsenheter innehåller interna hårddiskar eller solid-state-lagring. Varje dokument du skriver ut, skannar, kopierar eller faxar lagras på den här enheten - ofta på obestämd tid.

Vad som lagras

• Utskriftsjobb — Fullständiga kopior av alla dokument som skickas till skrivaren
• Skanna data — Varje dokument som skannas, inklusive till e-post
• Kopiera data — Dokument placerade på skannern för kopiering
• Faxloggar — Skickade och mottagna fax med fullständigt innehåll
• Användaruppgifter — Inloggningsinformation om skrivaren ansluter till nätverksresurser eller e-postservrar
• Nätverkskonfiguration — IP-adresser, DNS-inställningar, anslutna enheter

En undersökning 2019 av CBS News köpte begagnade skrivare från lagerförsäljning och återställde tiotusentals dokument från deras hårddiskar – inklusive medicinska register, polisrapporter och skattedeklarationer.

Skrivare kan hackas

Skrivare kör operativsystem, ansluter till nätverk och har ofta standardlösenord som aldrig ändras. De är bland de mest förbisedda attackvektorerna i företags- och hemnätverk.

Vanliga skrivarsårbarheter

Sårbarhet	Risk
Standardadmin lösenord	Full kontroll över skrivarinställningar och lagrade data
Föråldrad firmware	Kända exploits som aldrig korrigeras
Öppna nätverksportar	Direkt åtkomst från internet (särskilt port 9100)
LDAP/SMB-integration	Autentiseringsuppgifter för nätverksresurser lagrade i skrivarens minne
Avlyssning av utskriftsjobb	Man-in-the-midten fånga dokument under transport
Användning av USB-port	Fysisk åtkomst tillåter direkt dataextraktion

Riktiga attacker

2017 — Stackoverflowin: En hackare utnyttjade öppen port 9100 på över 150 000 skrivare över hela världen, vilket tvingade dem att skriva ut ASCII-konst med ett varningsmeddelande om skrivarsäkerhet.

2018 — PewDiePie Printer Hack: En annan hacker utnyttjade samma sårbarhet för att skriva ut meddelanden på över 50 000 skrivare, vilket visar att de flesta nätverksskrivare har noll säkerhet.

2020 — PrintDemon & PrintNightmare: Kritiska sårbarheter i Windows Print Spooler gjorde det möjligt för angripare att exekvera godtycklig kod med privilegier på systemnivå genom utskriftstjänsten.

Osynliga spårningspunkter

De flesta färglaserskrivare bäddar in nästan osynliga gula prickar på varje sida de skriver ut. Dessa prickar kodar skrivarens serienummer, datum och tid för utskrift. De kallas Machine Identification Codes (MIC) eller skrivarsteganografi.

Så fungerar spårningspunkter

• Mönster: Små gula prickar ordnade i ett rutnät, upprepade över hela sidan
• Storlek: Cirka 0,1 mm i diameter - osynligt för blotta ögat
• Innehåll: Skrivarens serienummer, datum och tid för utskrift
• Synlighet: Kan ses under blått ljus eller genom att skanna med hög upplösning
• Syfte: Ursprungligen utvecklad för att hjälpa brottsbekämpande myndigheter att spåra förfalskade valuta

Vem använder dessa uppgifter

• Bordsbekämpning — NSA och FBI har använt spårningspunkter för att identifiera läckare. Under 2017 identifierades Reality Winner som källan till ett sekretessbelagt NSA-dokument delvis genom spårningspunkterna på de utskrivna sidorna.
• Skrivartillverkare — Det kodade serienumret länkar direkt till köparen
• Underrättelsebyråer — Flera regeringar upprätthåller databaser med skrivaridentifikationskoder

Skrivare som är kända för att skriva ut spårningspunkter

EFF (Electronic Frontier Foundation) upprätthåller en lista över skrivare som skriver ut spårningspunkter. De flesta större tillverkare ingår: HP, Canon, Epson, Brother, Xerox, Lexmark, Samsung och Dell.

Hur du skyddar din skrivare

Nätverkssäkerhet

1. Ändra standardlösenord — Det enskilt viktigaste steget. Varje skrivare har en adminpanel, vanligtvis på sin IP-adress i en webbläsare
2. Uppdatera firmware — Sök efter uppdateringar varje kvartal. De flesta skrivare har inte uppdaterats sedan installationen
3. Isolera på ett separat VLAN — Håll skrivare på ett nätverkssegment borta från känsliga system
4. Inaktivera oanvända protokoll — Stäng av FTP, Telnet, SNMP v1/v2 och alla andra protokoll du inte använder
5. Stäng port 9100 — Blockera råutskriftsport från extern åtkomst vid brandväggen
6. Aktivera kryptering — Använd IPPS (krypterad utskrift) istället för rå IPP

Dataskydd

1. Aktivera diskkryptering — Många företagsskrivare stöder hårddiskkryptering
2. Ställ in automatisk dataöverskrivning — Konfigurera skrivaren för att skriva över lagrad data efter varje jobb
3. Förstör hårddiskar fysiskt — När du tar bort en skrivare, ta bort och förstör hårddisken
4. Inaktivera skanna till e-post — Om det inte behövs, inaktivera funktioner som lagrar autentiseringsuppgifter
5. Använd pull-utskrift — Dokument skrivs endast ut när de är autentiserade på enheten

Dokumentsäkerhet

• Undvik att skriva ut känsliga dokument när det är möjligt - dela digitalt via krypterade kanaler istället
• Använd svartvit utskrift för känsliga dokument — spårningspunkter visas endast på färglaserutskrifter
• Redo för spårning av prickar i din hotmodell om dokumentanonymitet är viktigt

Det större problemet: Dokumentdelning

Skrivaren är den sista milen av ett dokuments resa. Men hela kedjan spelar roll - från skapande till delning till utskrift till kassering.

De flesta dataläckor sker inte vid skrivaren, utan under delning. Dokument som skickas som e-postbilagor, delas via meddelandeappar eller lagras i oskyddade molnmappar är mycket mer benägna att äventyras än tryckta kopior.

Använd krypterade kanaler när du behöver dela känsliga dokument eller referenser för att komma åt dem. LOCK.PUB låter dig skapa lösenordsskyddad länkar som upphör att gälla automatiskt. Istället för att mejla ett lösenord för ett delat dokument via WhatsApp eller WhatsApp — där det sitter i chatthistoriken för alltid — dela det genom en självförstörande länk.

När en skrivare tas ur drift

Skrivare vid slutet av sin livslängd är en stor risk för dataläckor. Innan du säljer, återvinner eller kasserar en skrivare:

1. Fabriksåterställning räcker inte — data kan fortfarande återställas
2. Använd tillverkarens datasaneringsverktyg om tillgängligt
3. Ta bort hårddisken och förstör den fysiskt
4. Rensa alla lagrade referenser, skanningsloggar och faxhistorik
5. Ta bort skrivaren från alla nätverksåtkomstlistor och katalogtjänster

Slutsats

Din skrivare är en dator som ingen patchar, ingen övervakar och ingen tänker på. Den lagrar dina dokument, den kan attackeras på distans och den markerar varje sida med osynliga koder som identifierar den.

Ta 15 minuter för att säkra din skrivare: ändra lösenordet, uppdatera firmware, aktivera kryptering. Och för känsliga dokument, fundera på om du behöver skriva ut dem överhuvudtaget. Digital delning genom krypterade, självförfallande verktyg som LOCK.PUB lämnar inga fysiska spår och inga lagrade kopior på skrivarens hårddiskar.

Det säkraste dokumentet är det som aldrig skrevs ut.