Abo
  • Services:

Drucker als besonders einfache Möglichkeit, Firmen auszuspionieren

Gewarnt wurde auch vor den aufkommenden Sicherheitslücken in Druckern. In einem anderen Vortrag auf dem Chaos Communication Congress nannte der Entdecker der Sicherheitslücke in HP-Druckern neue Zahlen. Ang Cui von der Columbia University in New York berichtete über 75.000 Laserjets, die über das Internet direkt angreifbar sind. Ein reines Druckkommando reicht, um die Firmware zu aktualisieren. Eine Authentifizierung ist nicht vorgesehen. 43 dieser Drucker stehen obendrein in staatlichen Stellen, 16 davon in den USA. Acht dieser Drucker haben zudem den Namen "Payroll". Solche Drucker würden schnell und einfach Auskunft über die Gehälter der Mitarbeiter bieten, erklärte Ang Cui.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Solche Drucker mit Schadsoftware zu infiltrieren, ist lohnenswert. Den Hackern zeigte Ang Cui unter anderem, wie er einen HP Laserjet 2055DN so manipuliert, dass dieser beim normalen Drucken eine Druckkopie an eine weitere IP schickt. Zudem übernahm er mit dem manipulierten Drucker einen Windows-Rechner gleich mit.

In großer Gefahr sind auch Drucker in internen Netzen, denn über manipulierte Dokumente lassen sich die Drucker mit Schadsoftware aktualisieren. Cui hat dies mit einer Postscript-Datei bereits erfolgreich praktiziert. So schickt ein Angreifer etwa eine Bewerbung zum Opfer. Dort wird der Lebenslauf ausgedruckt. Der Druckauftrag dauert rund 90 Sekunden, die Hälfte der Zeit ist der Drucker gar nicht erreichbar. Ein normaler Anwender wird diesen Angriff nicht erkennen, denn das Dokument wird wie gewünscht ausgedruckt. Dabei wird hinter dem Dokument, also nach der Ansage beim Druck "End of Job", das Firmwareupdate gestartet. HP-Drucker interpretieren End of Job nicht als Ende eines Druckauftrages, sondern können danach ein Firmwareupdate folgen lassen, das intern wie ein Druckauftrag behandelt wird. Firmwareupdates können nämlich per LPR-Befehl an den Drucker geschickt werden.

Solch manipulierte Firmware kann der Angegriffene weder entdecken noch loswerden, wenn der Angreifer es richtig anstellt. Nur ein neuer Drucker hilft dagegen. Cui forderte die Hacker auf, alle ihre Bekannten darauf aufmerksam zu machen, dass sie ihre HP-Drucker aktualisieren müssen. Vermutlich gibt es solche Schwachstellen auch in anderen Druckern, zumindest würde sich Cui nicht darüber wundern. Erste Hinweise, dass Xerox-Drucker ein ähnliches Problem haben, hat er bereits erhalten.

Eines versicherte Cui aber noch: Es ist unmöglich, mittels der Schwachstelle einen Drucker in Flammen aufgehen zu lassen. Das hat er bereits bewiesen. Cui ist über die Berichterstattung sehr unzufrieden, die eine gefährliche Sicherheitslücke auf in Flammen aufgehende Drucker reduzierte. Unabhängig von der Unmöglichkeit eines Feuerangriffs sei den Drucker zu zerstören das Letzte, was ein Angreifer machen würde, denn dazu sei er für Spionageangriffe viel zu wertvoll, argumentierte Cui. Aber auch die Reaktion von HP, das die Gefährdung herunterspielte, hielt er für unpassend, denn die Gefahr sei sehr groß.

Immerhin gibt es schon ein Firmwareupdate für Laserjets, das jetzt jeder einspielen sollte. 2012 sind sonst Firmengeheimnisse sehr leicht zu extrahieren.

Datensparsamkeit wird zu einem Problem

Für 2012 wird es laut Ron und Rieger sehr viel schwerer, auf Datenhygiene zu achten. Das zeigte nicht nur der Carrier-IQ-Vorfall, der Millionen von Anwender betraf. Immer mehr Geräte speichern Daten, ohne den Anwender darauf hinzuweisen. Auch wird die Technik zur Datenerhebung immer ausgereifter. Die Sensoren in Mobiltelefonen werden beispielsweise immer besser und Apples Vorfall zeigte, dass Firmen durchaus Daten auch mal länger ungefragt speichern als notwendig und für Angreifer leicht auslesbar.

Mit den Sensoren, so fürchtet Ron, ließe sich beispielsweise eine Unterzuckerung nach dem Aufstehen erkennen, nur anhand des Zitterns des Nutzers. Googles Android-4.0-Geräte erlauben das Einloggen per Gesichtserkennung, wozu die Kamera aktiv sein muss, auch hier könnte gespeichert werden. Eine Spracherkennung, die immer arbeitet, (Always on speech recognition, AOSR) wird ebenfalls befürchtet. Auch diese Daten ließen sich dauerhaft speichern und dürften Begehrlichkeiten wecken. Die kurzen Akkulaufzeiten von Smartphones sehen die Hacker deswegen durchaus als positive Eigenschaft. So können die Entwickler von Smartphonehard- und -software vieles noch nicht implementieren, was dauerhaft auf Nutzerdaten warten könnte.

 Welcher Webshop und welches Flirtportal wird als Nächstes gehackt?
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 32,99€ (erscheint am 25.01.)
  3. 2,99€
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)

Amüsierter Leser 02. Jan 2012

Geben wir dem Jahr noch eine Chance, aber in jedem Fall ein sehr würdiger Kandidat...

Xstream 01. Jan 2012

bei dem modell um das es ging hat er es gezeigt indem er das heizelement mit einer...

as (Golem.de) 01. Jan 2012

Hallo, Jupp. ;) Nee und ich war zu dem Zeitpunkt auch noch vergleichsweise weit entfernt...

PCAhoi 31. Dez 2011

so, jaaaaaaaaaaaaaaaa. Das war dann die Jahresabschlußrede. Allen einen guten Flutsch und...


Folgen Sie uns
       


HP Omen X Emporium 65 Gaming-Fernseher - Hands on

Wir haben uns den übergroßen 144-Hz-Gaming-TV von HP auf der CES 2019 näher angesehen.

HP Omen X Emporium 65 Gaming-Fernseher - Hands on Video aufrufen
Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

    •  /