26
Пока ваши безопасники обвешивают серверную датчиками сетчатки глаза, а сисадмины заставляют менять пароли каждые две недели (наклеивая их на монитор, ага), в углу офиса тихо жужжит он. МФУ. Многофункциональное устройство.
Или, как я его называю – «сундук с компроматом, который забыли закрыть на замок».
Большинство людей воспринимает принтер как тостер: сунул бумагу – получил документ. Но с точки зрения цифровой криминалистики, современный корпоративный принтер – это полноценный сервер с жестким диском, оперативной памятью, ОС (часто дырявым Linux или Windows CE) и прямым выходом в сеть. И если вы думаете, что нажав «Отмена» на панели, вы уничтожили улики – у меня для вас плохие новости.
Давайте разберем, почему эта пластиковая коробка – мечта форензика и кошмар для инсайдера.
1. Жесткий диск: кладбище ваших секретов
Вы удивитесь, но в том здоровенном «шкафу», который стоит у секретарши, скорее всего, крутится обычный жесткий диск. Зачем? Чтобы ставить в очередь сотни задач, хранить адресные книги и… делать теневые копии.
Многие корпоративные МФУ настроены так, что сохраняют образ каждого отсканированного, скопированного или напечатанного документа. Просто на всякий случай.
Что мы делаем:
Мы вытаскиваем диск, подключаем через блокиратор записи (помните прошлую лекцию?) и делаем образ. А там – красота. Договоры, сканы паспортов директора, черная бухгалтерия за прошлый год. Даже если файлы «удалили», восстановить их с магнитного диска – дело техники. Data carving (вырезание данных по сигнатурам) работает безотказно.
2. Machine Identification Code (MIC): Желтые точки предательства
Любите теории заговора? Тогда слушайте правду. Почти все цветные лазерные принтеры печатают на каждом листе невидимые глазу желтые точки.
Это стеганография в действии. Эти микроскопические метки кодируют:
Вы можете распечатать анонимку, надеть перчатки, отправить её почтой из другого города. Но если у следствия есть этот листок и лупа (ну или синий светофильтр), мы узнаем, что этот документ вышел из принтера HP в кабинете 305 ровно во вторник в 14:43. Именно на этом погорела Реалити Уиннер, слившая документы АНБ. Технология старая, но работает как часы.
3. Spool-файлы: призраки в системе
Даже если у принтера нет жесткого диска (что бывает с дешевыми домашними моделями), следы остаются на компьютере, с которого отправляли печать.
Windows создает файлы спулинга (.SPL и .SHD), чтобы временно хранить данные перед отправкой на устройство. Часто после печати они удаляются, но не затираются. Восстановить такой файл – это как достать бумагу из мусорной корзины: помятая, но читаемая.
В .SPL файле лежит сам контент (часто в формате EMF или RAW), который можно визуализировать обратно в текст и картинки. А в .SHD – метаданные: кто печатал, какой принтер, приоритет задачи. Шах и мат.
4. Сетевая безопасность уровня «Бог»
Знаете, какой самый популярный пароль на веб-интерфейсе принтеров? Пустота. Или admin/admin. Или 123456.
Админы настраивают фаерволы на серверах, но забывают про принтеры. А ведь через веб-морду МФУ можно:
Я лично видел кейсы, когда злоумышленники проникали в сеть, закреплялись на принтере (потому что антивирусов там нет) и снифали трафик месяцами. Shodan, поисковик по интернету вещей, завален открытыми портами 9100 (JetDirect). Подключайся и печатай хоть «Войну и мир», хоть требования выкупа.
Итог: не недооценивайте тостеры
Офисная техника – это недооцененный вектор атаки и золотая жила для сбора улик. Если вы проводите внутреннее расследование утечки – первым делом идите к принтеру. Снимайте логи, дампите диск, смотрите журнал событий.
А если вы тот самый парень, который решил распечатать базу клиентов перед увольнением… что ж, удачи. Она вам понадобится, когда мы придем с ультрафиолетом и софтом для восстановления данных.
Серьезно, ребят, в 2026 году думать, что «бумага не оставляет цифровых следов» – это непростительная наивность.