[English]Drucker sind weit verbreitet, auch wenn das papierlose Büro angestrebt wird. Drucker werden vernetzt, aber selten gegen Angriffe geschützt. Man hält die Geräte nicht für wirklich schützenswert. Das kann aber in Zeiten von IoT und unter der Datenschutzgrundverordnung (DSGVO) zu erheblichen Problemen und bösen Überraschungen führen. Forscher aus Italien haben sich des Themas angenommen und gleich drei Angriffsmöglichkeiten, mit Printjack bezeichnet, gefunden, die bei Druckern zu Problemen mit der Sicherheit und zu DSGVO-Verletzungen führen können.
Anzeige
In einem Papier mit dem Titel You Overtrust Your Printer (Du vertraust dem Drucker zu sehr) beschreiben Giampaolo Bella (Dipartimento di Matematica e Informatica, Universit`a di Catania, Italy) und Pietro Biondi (Istituto di Informatica e Telematica – Consiglio Nazionale delle Ricerche) die Problematik:
Drucker sind weit verbreitete Geräte, deren vernetzte Nutzung in hohem Maße ungesichert sind, was vielleicht an der tief verwurzelten Annahme liegt, dass ihre Dienste vernachlässigbar und daher nicht schützenswert sind.
In dem Artikel werden strukturierte Argumente entwickelt und technische Experimente durchführt, um einer qualitative Risikobewertung für Drucker zu Unterstützung. Am Ende der Experimente stand fest, dass die Annahme, dass Drucker als Dienste vernachlässigbar und daher nicht schützenswert sind, nicht bestehen bleiben kann. Die Forscher haben drei Angriffsmöglichkeiten auf Drucker gefunden, die als Postexploitation-Aktivitäten interpretiert werden können.
- Einige Drucker können mit Schwachstellen behaftet sein, die sie in ausnutzbare Zombies verwandeln würden. Einbinden in Botnetze oder Verwendung zum Schürfen von Crypto-Geld sind denkbar.
- Außerdem wurde festgestellt, dass eine große Anzahl von Druckern, zumindest auf EU-Ebene, unautorisierte Druckanfragen akzeptiert. Dadurch können Angreifer von Außen auf diese Drucker zugreifen.
- Und drittens besteht auch ein beachtliches Risiko einer Datenverletzung, indem Daten auf dem Weg zum Drucker böswillig abgefangen werden.
Das Ganze wird unter dem Begriff Printjack diskutiert und das Fazit des Artikels lautet: Drucker müssen in der neuen IoT-Ära genauso sicher sein wie andere Geräte (wie z. B. Laptops, sein sollten). Alleine um auch die Vorgaben der Datenschutzgrundverordnung einhalten zu können. (via)
2015
Legen nicht auch viele Drucker Kopien der ausgedruckten Seiten in einem internen Speicher ab? Da es sich oft um Multifunktionsgeräte handelt, gilt das nicht auch für die eingescannten Seiten? Allein aus diesem Grund wäre es nicht so toll, wenn ein Drucker von einem Angreifer übernommen würde.
Auf jeden Fall gab es auf dem 35C3 (Chaos Computer Club Congress 2018) einen Vortrag, wie ein Team von 2 Leuten über das Senden eines kompromittierten Farb-Fax im JPEG-Format (programmgesteuert gesendet von einem Linux-Rechner) ein Fax-Gerät hacken konnte und, da es sich wiederum um ein Multifunktionsgerät mit Netzwerkanschluss handelte, unter Ausnutzung der Windows-Schwachstelle Eternal Blue (die aber bereits zum Zeitpunkt des Vortrags geschlossen war) einen Windows-Rechner im gleichen Netzwerk übernehmen konnte.
Link zum Video: https://www.youtube.com/watch?v=QlSRkUQhwjk
Genau so ist es. Schicke ich einen Auftrag mit Gehaltslisten per Netzwerk an einen Drucker, kann ich im PCL- oder PostScript-Code i.d.R. die persönlichen Daten der Mitarbeiter herausfiltern. Fängt jemand Unbefugtes den Druckauftrag ab oder greift im Speicher darauf zurück, liegt ein DSGVO-Verstoß vor.
Und nächste Jahr lernen Behörden und Ämter anhand von streikenden und Unsinn fabrizierenden Drucker, was Sicherheit und Komfort wirklich kosten. Das wird (k)ein Spaß. Im übrigen erstaunt mich im Nachhinein dass die aktuelle Trojanerwelle so lange auf sich warten ließ.
Was machen eigentlich die TU Berlin und das Berliner Kammergericht?
Die Schreibmaschinen ölen!