trong suốt thời gian hoạt động. Nếu cần in một tài liệu cá nhân, có lẽ bạn
nên chờ tới khi về nhà để in trên thiết bị và mạng mà bạn có quyền kiểm
soát.
Hoạt động do thám, ngay cả là do thám nhân viên, đã trở nên rất sáng tạo.
Một số công ty sử dụng cả các thiết bị văn phòng phi truyền thống mà chúng
ta vẫn bỏ qua, chưa bao giờ tưởng tượng rằng chúng có thể được sử dụng để
theo dõi chúng ta. Hãy xem xét câu chuyện của một sinh viên cao học thuộc
Đại học Columbia tên là Ang Cui. Để xem mình có thể đột nhập vào một
văn phòng và ăn cắp dữ liệu nhạy cảm thông qua các phương tiện phi truyền
thống hay không, Cui quyết định tấn công máy in laser, một thiết bị cần thiết
trong hầu hết các văn phòng ngày nay.
Cui nhận thấy rằng các máy in lạc hậu rất xa so với thời đại. Trong một số
cuộc kiểm định an ninh, tôi cũng đã quan sát thấy điều này. Tôi đã có thể tận
dụng máy in để có quyền truy cập sâu hơn vào mạng cục bộ của công ty. Sở
dĩ tôi làm được thế là do nhân viên hiếm khi thay đổi mật khẩu quản trị trên
các máy in nội bộ.
Phần mềm sử dụng trong máy in, đặc biệt là máy in thương mại cho văn
phòng, chứa rất nhiều lỗi bảo mật cơ bản. Vấn đề là, rất ít người cho rằng
máy in văn phòng là đối tượng dễ bị tấn công. Họ đinh ninh rằng mình đang
được hưởng cái gọi là “an ninh qua sự mù mờ”
– nếu không ai nhận thấy
lỗ hổng, thì bạn được an toàn.
An ninh qua sự mù mờ: Chỉ việc bảo đảm an ninh cho một hệ thống bằng cách dựa vào tính bí mật
của thiết kế hay sự triển khai hệ thống.
Nhưng như tôi đã nói, tùy thuộc vào kiểu máy, máy in và máy photo thường
có một điều quan trọng chung – cả hai đều có thể chứa ổ đĩa cứng. Và trừ
khi ổ đĩa cứng đó được mã hóa (nhưng trên thực tế, rất nhiều máy không
được mã hóa), việc truy cập các hoạt động in ấn trên máy là hoàn toàn khả
thi. Tất cả những điều này đã được biết đến trong nhiều năm. Điều mà Cui
băn khoăn là liệu anh có thể khiến máy in của công ty chống lại chủ nhân
của nó và giải mã bất cứ thứ gì đã được in ra hay không.
