Längst nicht alles, was an der sommerlichen BlackHat-Sicherheitskonferenz behandelt wird, findet ein grossartiges Echo. Während manche Themen in allen Medien gross aufgebauscht werden, fristen andere eher ein Mauerblümchen-Dasein.
Eines dieser missachteten Sicherheitsrisiken steckt in modernen Netzwerkdruckern, wie der Sicherheitsexperte Brendan O’Connor in diesem Jahr vorgeführt hat. Er hat während seiner Demonstration die Kontrolle über einen Xerox-Drucker übernommen und dabei eine ganze Palette von mehr oder weniger schädlichen Aktionen durchgeführt.
Eher harmlos und auf der scherzhaften Seite ist es da noch, wenn ein Hacker Scans an beliebige Desktops versendet oder auf jedem Ausdruck eine Kopie einer Büroklammer oder Kaffeeflecken plaziert. Ein Schadenspotential ist aber auch hier schon vorhanden: Wenn Kopien vertraulicher Dokumente wie beispielsweise von Gehaltsabrechnungen plötzlich in den Inboxen sämtlicher Mitarbeiter eines Unternehmens landen, dürfte das bei manchen Betroffenen kaum für grosse Freude sorgen. Auch gedruckte Kaffeeflecken oder andere Verunzierungen auf allen Geschäftspapieren dürften wohl nicht besonders gern gesehen werden – und können fürs Firmenimage durchaus schädliche Auswirkungen haben.
Ans Eingemachte geht es aber dann, wenn Daten tatsächlich manipuliert, beispielsweise falsche Zahlen in Bestellungen montiert oder Vertragspassagen verändert werden. Viele kritische Informationen werden irgendwann im Document Lifecycle gedruckt oder kopiert und können über einen kompromittierten Drucker in falsche Hände geraten.
Grundsätzlich bietet ein gehackter Netzwerkdrucker Zugriff auf sämtliche Informationen, die auf dem Gerät gedruckt, gefaxt, kopiert oder gescannt werden, mitsamt entsprechenden Manipulationsmöglichkeiten. Manipulieren lässt sich ausserdem auch der Seitenzähler, was bei einem volumenabhängigen Nutzungsvertrag die Kosten arg in die Höhe treiben kann – oder aber den Dienstleister um seinen Lohn prellt.
Doch damit noch nicht genug: Über den gehackten Drucker kann ein gewiefter Angreifer sogar den Aufbau eines Firmennetzes ausspähen, was wiederum zu weiteren Attacken führen könnte. Und nicht zuletzt sind Drucker heute einer der zentralen Bestandteile eines jeden Büros. Viele Geschäftsprozesse sind direkt vom Drucker abhängig, und wenn dieser nicht funktioniert, geht eine Menge an Produktivität verloren.
O’Connor benutzte für seine Vorführung einen Xerox-Drucker, wies aber darauf hin, dass auch Geräte – insbesondere Multifunktionssysteme – anderer Hersteller ähnliche Lücken aufweisen würden. Tatsächlich hat beispielsweise auch HP die Problematik erkannt und informiert auf ihrer Website nicht nur darüber (www.hp.com/go/secureprinting), sondern bietet auch entsprechende Lösungen zum Drucker-Schutz an. Ähnliche Hilfestellungen und Informationen übers Internet bieten auch Xerox (www.xerox.com/security) und andere Hersteller an.
Das Grundproblem der angreifbaren Drucker liegt darin, dass diese heute eigentlich als Server behandelt werden müssten. So handelte es sich bei dem gehackten Xerox-Gerät im Prinzip um einen Linux-Server, wie O’Connor erklärte. Moderne Drucker verfügen nicht nur über die gleichen Komponenten (Festplatten, erweiterbare Speicher und grafische Benutzer-Oberflächen) wie Server oder Desktops, sie verwenden auch dieselben Netzwerk-Ports und Protokolle – und sind dementsprechend auch auf den gleichen Schwachstellen verwundbar.
Das von O’Connor gehackte Gerät wies unter anderem Schwachstellen beim Bootloader auf, der nicht gesichert war, aber auch in der Web-basierten Administrationsoberfläche und in Diensten wie SNMP (Simple Network Management Protocol) oder Telnet seien Lücken zu finden, die für Angriffe genutzt werden könnten, wie O’Connor erklärte. Er ist deshalb der Meinung, dass Drucker grundsätzlich auch ein Teil des üblichen Patch-Programms sein sollten und von geschultem Personal administriert werden müssten.
In der Praxis liegt genau hier der Hund begraben: Drucker erhalten nämlich fast nie Updates oder Patches für ihre Betriebssysteme, und bei den meisten Fabrikaten ist die Durchführung eines typischen Patch-Zyklus auch nur schwer möglich.
Entsprechend muss der Sicherheitshebel woanders angesetzt werden, und zwar am besten gleich zweigleisig. So sollten nicht nur der Drucker gesichert, sondern auch die Daten während ihres Transports durchs Netzwerk geschützt werden. Zu den Massnahmen auf Druckerseite gehört etwa die Einführung von Authentifizierung der Anwender durch Passwörter und die Einschränkung der IP-Adressen, die auf den Drucker zugreifen können. Daneben sollte der integrierte Webserver, der für die Administration genutzt wird, entweder ausgeschaltet oder speziell geschützt werden. Weitere Massnahmen sind die Deaktivierung unnötiger Protokolle und Ports, das Sperren des Displays und die routinemässige Löschung der Druckerfestplatte. Auf der Transportseite kann dagegen mit der Einführung einer sicheren Datenübertragung das Risiko minimiert werden, sofern der Drucker Protokolle wie IPsec, HTTPS oder ähnliches überhaupt unterstützt.
Fragt sich bloss, ob die Suppe tatsächlich so heiss gegessen wird, wie sie gekocht wurde. Tatsächlich sind Angriffe nämlich oft «bloss» aus dem Intranet möglich, weil die Multifunktionsgeräte hinter der Firewall gegen Attacken aus dem Internet recht gut geschützt oder von aussen schon gar nicht erst erreichbar sind. Dabei sollte man aber daran denken, dass dies auch bei Servern und Desktops und den darauf befindlichen Daten nicht anders ist und Sicherheitsexperten nicht müde werden zu betonen, dass die grösste Gefahr für die Informationssicherheit in Unternehmen die Angestellten sind. Ein frustrierter Mitarbeiter, der sich über einen gehackten Drucker Zugriff auf bestimmte Dokumente verschafft, kann einen weit grösseren Schaden anrichten als ein externer Hacker.
Wenn dagegen die Konkurrenz an gewissen Daten interessiert ist, hat sie erfolgversprechendere und einfacher durchzuführende Angriffsmethoden zur Hand: Ein (falscher) Service-Techniker tauscht die Festplatte des Druckers aus und kommt so mit geringem Aufwand und wenig Risiko an die begehrten Daten.
Der Sicherheitslevel, den ein Gerät oder Subsystem bietet, lässt sich auch von unabhängigen Instanzen zertifizieren, beispielsweise mit der Common Criteria Certification der National Information Assurance Partnership (NIAP). Diese belegt, dass zertifizierte Systeme ein definiertes Mass an Vertraulichkeit, Datenintegrität und Authentifizierung gewährleisten. Unter anderem Xerox verfügt über einige CCC-zertifizierte Geräte (www.commoncriteriaportal.org).
