Angriff durch die Peripherie

Zwei Informatiker haben auf der Shmoocon-Konferenz demonstriert, dass auch Drucker ein Sicherheitsrisiko ersten Ranges sein können.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Robert Lemos

Zwei Informatiker haben auf der Shmoocon-Konferenz demonstriert, dass auch Drucker ein Sicherheitsrisiko ersten Ranges sein können.

Die Kehrseite der voll vernetzten Welt ist ihre Verwundbarkeit. Ständig klaffen in dem globalen Software- und Hardware-Puzzle Lücken, die Angreifer für sich nutzen können. Zwei Informatiker haben nun auf der Shmoocon-Konferenz in Washington eine weitere Schwachstelle vorgeführt: den guten, alten Drucker.

So simpel wie noch in den neunziger Jahren ist das allgegenwärtige Peripherie-Gerät längst nicht mehr. Manche Druckermodelle können heute Emails empfangen und versenden oder sogar Webinhalte aufrufen. Ermöglicht wird dies beispielsweise durch eine Embedded-Plattform, auf der Java-Programme laufen. Bei dieser Aufrüstung hätten die Hersteller aber die Sicherheitsaspekte vernächlässigt, beklagt Deral Heiland. Der unabhängige IT-Sicherheitsberater bricht im Auftrag von Firmen in deren IT-Systeme ein, um Schwachstellen zu identifizieren.

Dabei wurde er auf das neue Einfallstor aufmerksam. „Drucker sind heute nicht mehr nur einfach an Firmennetzwerke angeschlossen, sondern vollständig in die digitale Wirtschaft integriert“, sagt Heiland. „Genau das macht sie zu einem Angriffsziel ersten Ranges.“

Um dies zu demonstrieren, hat Heiland das PERL-Programm „Praeda“ (Latein für „Beute“) geschrieben. Es nutzt einige verbreitete Sicherheitslücken, um sich von außerhalb Zugang zu Druckern in einem Firmennetzwerk zu verschaffen. Gelingt dies, kann das Programm von dort auf Server und andere Netzwerkrechner zugreifen, um zum Beispiel Kennwörter und Dateien zu stehlen, wie Heiland auf der Shmoocon zeigte.

Die Lücken können ganz schlichte Konfigurationsfehler sein: So würden viele Hersteller von den Nutzern nicht verlangen, dass diese ein neues Kennwort festlegen müssen, um auf einen Drucker zuzugreifen, nennt Heiland ein Beispiel. Die Folge: Viele Drucker – etwa von Canon, HP und Toshiba – laufen mit den voreingestellten Kennwörtern des Herstellers, die sich leicht in Online-Handbüchern nachschlagen lassen.

Mittels Webbrowser ansteuerbare Drucker wiederum würden häufig mit einer unsicheren Server-Software laufen, so Heiland. Gewiefte Angreifer könnten darüber Nutzernamen und Kennwörter ausspähen. Die würden von vielen Druckersystemen nämlich nicht unkenntlich gemacht. „Wir können dann einfach in den Quellcode gehen und in den entsprechenden Datenfeldern diese Informationen im Klartext nachlesen.“

Auch Steve Stasiukonis, der für Secure Network Technologies Penetrationstests von Firmennetzwerken vornimmt, hält das Gefahrenpotenzial durch ungesicherte Drucker für real. „Wir lassen unsere Geräte nie unverändert“, sagt Stasiukonis. „Auf ihnen liegen wertvolle Daten.“

Eine andere Sicherheitslücke hat Ben Smith auf der Shmoocon präsentiert. Mit Hilfe des Python-Programms „Print File System“ oder PrintFS zapft er die Speicherkapazitäten von Hewlett-Packard-Druckern an. Als Smith mit PrintFS aus dem Internet heraus die Schnittstellen von Druckern abtastete – im so genannten Port-Scanning –, bekam er genug Geräte unter seine Kontrolle, um aus ihnen ein ansehnliches Speichernetzwerk zu errichten.

„PrintFS scannt die Geräte, ob sie in der Lage sind, als Speicherort zu dienen“, sagt Smith. „In den meisten Fällen waren 20 bis 30 Drucker in einem lokalen Netzwerk ungesichert, mit Kapazitäten zwischen einem und 30 Gigabyte.“ In einer solchen Speicher-Cloud ließen sich Schadprogramme ablegen, aber auch andere Daten, die jemand außerhalb seiner eigenen Rechner deponieren will.

„Viele Drucker, die in Wohnungen stehen, bieten bereits ebenfalls Web-Funktionalitäten“, warnt Deral Heiland auch Heimanwender. „Sie lassen sich zwar noch nicht so umfassend integrieren, können aber über das eigene Netz zuhause angesteuert werden.“

Hersteller und Nutzer sollten deshalb jedes Netzwerk-Gerät genau überprüfen, empfiehlt Stasiukonis. „Wenn es eine IP-Adresse und eine Schnittstelle mit Ihrem Netzwerk hat, sollten Sie es als potenzielles Sicherheitsrisiko betrachten.“ (nbo)