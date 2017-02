Was macht ien junger Hacker, wenn ihm am Wochenende langweilig ist und er Informationen zu teilweise heftigen Lücken in Netzwerkdruckern in die Hände bekommt? Nicht ins Kino gehen, sondern ein kleines Programm schreiben, das das Internet nach Druckern scannt, die erreichbar sind und die bereitwillig seine Druckaufträge entgegen nehmen. Und dann druckten nach seinen Angaben weltweit über 150.000 Drucker seine Botschaften aus. Neben der Behauptung, der Drucker wäre nun Teil eines Botnetzes spuckten die Drucker auch kleine ASCII-Kunstwerke aus und die Aufforderung das Problem in Ordnung zu bringen.

Die Besitzer der Drucker reagierten teilweise auf Twitter, immerhin hatte stackoverflowin, so nennt sich der Urheber dieses Hacks, auch die URL seines Twitter-Accounts mit ausgedruckt. Teilweise sind diese Reaktionen ganz amüsant, aber der Hintergrund dieser Aktion ist alles andere als amüsant. Andere waren dann eher besorgt, wie zum Beispiel in einer Anfrage wegen einem „besessenen Drucker“ im HP-Support-Forum zeigt.

Lücken seit Oktober bekannt

Auf die Idee zu seinem kleinen Programm wurde stackoverflowin durch eine Sicherheitsstudie der Ruhr-Universität Bochum gebracht, die Ende Januar veröffentlicht wurde. Die aufgelisteten Sicherheitsprobleme von Druckern beinhaltet alles, was man sich als Hacker nur wünschen kann, eigene Druckaufträge an die Drucker zu schicken ist da noch ein harmloser Spaß. Denial of Service Attacken sind möglich, das Zurücksetzen auf die Standardeinstellungen, die Manipulation von Druckaufträgen, der Zugriff auf im Druckerspeicher abgelegte Informationen und auch Buffer Overflows und die Veränderung der Firmware sind teilweise möglich.

Alle namhaften Hersteller sind von solchen Problemen betroffen und wurden im vergangenen Oktober über die gefundenen Schwachstellen informiert. Einzig Dell hat bis heute zumindest mal auf den Erhalt der Informationen reagiert, von Brother, Hewlett Packard, Kyocera, Konica Minolta, Lexmark, Oki und Samsung kam noch nicht mal das. Entsprechende Updates gibt es dementsprechend auch noch nicht. In Anbetracht der Tatsache, dass laut den Machern der Studie die Fehler bislang von den Herstellern wohl einfach „übersehen“ wurden, kann das Nichtreagieren auf entsprechende Hinweise durchaus als grob fahrlässig bezeichnet werden.

Natürlich könnte man sich auf den Standpunkt stellen, dass Drucker grundsätzlich nicht ans Internet angeschlossen gehören und dieser Standpunkt ist natürlich nicht falsch. Es gibt kaum einen Grund dafür, dass ein Drucker über das Internet direkt erreichbar sein muss. Und wenn, dann höchstens hinter einer Firewall, die nur die Zugriffe durch lässt, die auch erlaubt sein sollen.

Besser wäre natürlich die Verbindung per VPN ins Netzwerk des Druckers, wenn zum Beispiel Außendienstmitarbeiter Dokumente an den Drucker im Büro schicken müssen. Aber selbst in einem geschlossenen Netzwerk kann man nicht ausschließen, dass sich dort jemand „umsieht“, der dort nichts verloren hat, das Ignorieren solcher über das Netzwerk nutzbarer Lücken durch die Hersteller ist mindestens ein starkes Indiz dafür, dass es dort entweder am Interesse der Sicherheit der Kunden mangelt oder aber an der Kompetenz für diese zu sorgen.

Offene Drucker: Wer Ports scannt, der findet

Es war gar nicht so schwer angreifbare Drucker zu finden, stackoverflowin hat einfach sein Programm los geschickt und dieses hat dann versucht IP-Adressen mit den offenen Ports für Standard-Druckporotokolle 515 (LPD), 631 (IPP) und 9100 (raw print jobs) zu finden und denen Druckaufträge zu schicken. Speziell für Xerox-Maschinen hat das Programm noch einen Exploit genutzt, um darüber eigene Druckaufträge zu erstellen. Die Zahl von 158.000 antwortenden Druckern hat ihn nach eigenen Aussagen dann doch selbst überrascht.

Jetzt sind Netzwerkdrucker wirklich kein neues Produkt, es gibt sie seit vielen Jahren und auch Sicherheitslücken sind hier nicht neu. Wenn dann trotzdem eine solche Menge an Druckern einfach so über das Internet erreichbar sind und teilweise gewaltige Lücken aufweisen, um die sich die Hersteller nicht kümmern wollen oder können, dann bekommt man es – allen Bemühungen zum Trotz – in Sachen Sicherheit und IoT mit der Angst zu tun. Geräte mit großen Lücken treffen auf Anwender (oder sogar Administratoren), die diese einfach so ins Internet hängen, das muss man natürlich nicht spannend finden und übertriebene Panik hilft auch niemandem, beruhigend ist es aber auf keinen Fall.

