Onderzoekers van F-Secure hebben een serieus security risico bij HP printers vastgesteld en dat gisteren via de pers bekend gemaakt. HP heeft patches klaar, dus het probleem kan in principe snel verholpen worden.
Toch is het onjuist deze melding en de patches als een gemiddeld incident te beschouwen. Eindgebruikers zijn zich echt niet bewust van de verborgen ongewenste features van dit soort machines. Keer op keer blijkt dat. Er is inmiddels een hele lijst van incidenten met printers, van de eenvoudigste inkjet machine voor op de studeerkamer tot de grote machines op kantoor.
Waar gaat het mis en waarom?
Het gaat mis omdat printers steeds meer features krijgen. Die zijn bedoeld om de gebruiker meer waar voor zijn geld te bieden. Er speelt dus een commercieel belang van de fabrikanten. Meer features betekent dat de firmware en software steeds uitgebreider wordt en dat vergroot de kan op fouten. Dat is in een notendop de achterliggende oorzaak.
De fouten die nu zijn ontdekt betreffen machines van HP. Dat is niet de eerste keer. Maar Epson, Canon en alle andere merken hebben ook al eerder vergelijkbare problemen moeten melden. De meldingen over multifunctionele machines gaan in ieder geval terug tot 2006 (!). Diverse hackers conferenties, waaronder Black Hat en CCC, hebben de problematiek ook al meermaals aan de kaak gesteld.
Wat is de oplossing en voor wie?
Als het aan de producenten, in dit geval HP, ligt is het installeren van een patch de enige juiste oplossing. Elk type gebruiker kan dat doen en daarmee is het verhaal voor heb klaar.
Er kan ook voor een ander soort oplossing worden gekozen. Daarbij is het uitgangspunt niet dat het multifunctionele device de gebruikers van alle gemakken moet voorzien. Systeem beheerders en security specialisten kunnen er ook voor kiezen dit soort machines default te beschouwen als een security risico.
Zij zullen daarom ook heel snel besluiten de fax functionaliteit van dit soort machines uit te zetten. Die kunnen namelijk op een hele vervelende manier misbruikt worden en een fix is niet mogelijk. Die fix blijft achterwege omdat zo weinig mensen de fax nog gebruiken. De optie via het netwerk te scannen is ook nog steeds interessant voor lieden die met slechte bedoelingen toegang tot dat netwerk willen krijgen.
Wie echt voor zeker wil gaan komt tot de conclusie dat een multifunctional zelden de beste oplossing is. Een printer die alleen maar kan printen is vaak de veiligste oplossing. Maar commercieel is dat een lastig verhaal. Daarom houden de multifunctionals een groot marktaandeel en zullen we nog wel vaker horen van een security issue en risico door het gebruiken en zelfs alleen maar aansluiten van dit soort printers.