albertminrich
Goto Top

Zwei Netzwerke sind über Drucker (einmal USB, einmal LAN) verbunden. Irgendwelches Gefährdungspotenzial?

Hallo,

es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und per Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz kommen kann (vor allem von USB nach LAN)?

Danke
Martin

Content-Key: 166808

Url: https://administrator.de/contentid/166808

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.05.2011 um 13:53:10 Uhr
Goto Top
Zitat von @AlbertMinrich:
Hallo,

es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und per
Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz kommen
kann (vor allem von USB nach LAN)?


Ja, man kann per USB oder Netzwerk den Drucker neu flashen. Dann der z.B. üebr USB so tun, als ob er ein Laufwerk wäre und so Schadsoftware über Autorun einspielen. Oder er kann über Netzwerk auf shares zugreifen oder das Netzwerk sniffen.

Es reicht auch manchmal, einfach nur ein Programm in den Drucker zu laden (mit Postscript und PCL geht das sehr einfach) und damit Blödsinn anzustellen.

Es kommt daher einfach darauf an, wie paranoid Du bist und wie wichtig es ist, die beiden Netze wirklich getrennt zu halten. ggf. ist es tatsächlich preiswerter, einfach einen zweiten Drucker hinzustellen, auch wenn ein USB-Kabel billiger als ein zweiter Drucker ist.

lks
Mitglied: Phalanx82
Phalanx82 24.05.2011 um 14:48:25 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
> Zitat von @AlbertMinrich:
> ----
> Hallo,
>
> es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und
per
> Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz
kommen
> kann (vor allem von USB nach LAN)?
>

Ja, man kann per USB oder Netzwerk den Drucker neu flashen. Dann der z.B. üebr USB so tun, als ob er ein Laufwerk wäre
und so Schadsoftware über Autorun einspielen. Oder er kann über Netzwerk auf shares zugreifen oder das Netzwerk
sniffen.

Es reicht auch manchmal, einfach nur ein Programm in den Drucker zu laden (mit Postscript und PCL geht das sehr einfach) und damit
Blödsinn anzustellen.

Es kommt daher einfach darauf an, wie paranoid Du bist und wie wichtig es ist, die beiden Netze wirklich getrennt zu halten. ggf.
ist es tatsächlich preiswerter, einfach einen zweiten Drucker hinzustellen, auch wenn ein USB-Kabel billiger als ein zweiter
Drucker ist.

lks

für ein solches Szenario muss man allerdings _sehr_ paranoid sein, außerdem würde sich eine solche
Möglichkeit nur mit Insider Wissen ausnutzen lassen. Drucker Modell, SW Stand, HW Revision, Software
Stand des Rechners der mit USB verbunden ist, Topologie des Netzwerks und ggf. des IDS Systems usw...

Wer so viel kriminelle Energie in ein Projekt stecken möchte der wird sicherlich nicht in einer kleinen oder
mittelgroßen Firma arbeiten, das geht schon Richtung Siemens oder IBM oder Microsoft.
Und bei einem solch großen Unternehmen wo wirklich wichtige oder heikle Daten im Netz herum schwirren
das man 2 Netze strickt trennen muss, wird es mehrere Sicherheitsvorkehrungen geben als eine reine
Trennung der Netze, da gibts dann keine USB Sticks, keine Brenner und auch sonst nix was einen Daten-
austausch ins andere Netz ermöglichen könnte und erst Recht keinen Drucker für beide Netze sondern
einen für jedes Netz, wahrscheinlich sogar Dutzende Drucker in jedem der Netze...

Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...


Mfg.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.05.2011 um 15:11:30 Uhr
Goto Top
Zitat von @Phalanx82:
Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...

Der Threadinitiator hatte ja danach gefragt, welche Möglichkeiten man sieht und ich habe ihm eine skizziert. Ob diese für seinen speziellen Anwendungsfall eine Gefahr darstellt oder nicht, kann ich nicht beurteilen. Immerhin scheint es ja einen Grund dafür zu geben, daß zumindest zwei getrennte Netze vorhanden sind.

Abgesehen davon wurden schon öfter intelligente Drucker schon für die Verbreitung von Malware oder auch nur zum Spionieren (eine Kopie aller Druckaufträge an ein anderes System) benutzt, so daß das gar nicht so weit hergeholt ist. Gut Flashen von Druckern, um dann über USB etwas zu verbreiten ist zwar noch nicht in der freien Wildbahn aufgetaucht, aber ich gehe jede Wette ein, daß es in diveresen Laboren so etwas für Spezialeinsätze schon gibt.

Es gibt ja sogar Drucker, die das Standardmäßig haben. Vor einiger Zeit ist mir ein (Consumer-)HP-Drucker untergekommen der seine Treiber mit eingebaut hatte. Er hat sich erst als "CD-Laufwerk" per USB zu erkennen gegeben und per Autorun die Treiber installiert (Windows-Only natürlich). Man sah der Installation aber nicht an, ob Windows die treiber selbst mitgebracht oder diese von Drucker heruntergeladen wurden. Der Treiber hat dann den Drucker per Befehl von CD auf Drucker umgeschaltet. es sah die ganze Zeit so aus ob das ein ganz normaler USB-Drucker mit PCL war. Erst als man diesen an einen USB-Printserver gehängt hat und dieser mal funktioniert udn mal nicht funktioniert hat, fiel das Fehlverhalten auf.

Da man HP-Drucker (und auch andere) einfach mit einem Druckauftrag flashen kann und diese Dateien keine größeren Geheimnisse bergen, ist es also kein Hexenwerk, Malware zu erstellen, die Drucker infiziert. Bloß macht das nur selten jemand, weil man hier viel spezielleres Wissen benötigt und die installierte Basis an passenden Druckern meist geringer ist.

Nichtsdestotrotz: Nur der Threadinitiator kann beurteilen, ob dieses Szenario für ihn eine Gefährdung darstellt oder nicht.

lks
Mitglied: brammer
brammer 24.05.2011 um 16:16:49 Uhr
Goto Top
Hallo,

um die bisherigen Beiträge mal zusammenzufassen:

Jede Physische Verbindung zwischen zwei oder mehr Netzen lässt sich -theoretisch- für Angriffsszenarien ausnutzen.

Aber irgendwann stellt sich die Frage nach dem Zeit Wert des Eindringen. Wenn ich für das Eindringen nur mit einem Zero Day Exploit arbeiten kann, dann stellt sich die Frage ob sich diese Investition überhaupt noch lohnt.

Möglich ja! Wahrscheinlich ?? Naja...

Die Frage die sich mir stellt was willst du wogegen absichern?

Oder reden wir hier nur von der theoretischen Möglichkeit?

brammer
Mitglied: Phalanx82
Phalanx82 24.05.2011 um 16:51:26 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
> Zitat von @Phalanx82:
> ----
> Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
> Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...

Der Threadinitiator hatte ja danach gefragt, welche Möglichkeiten man sieht und ich habe ihm eine skizziert. Ob diese
für seinen speziellen Anwendungsfall eine Gefahr darstellt oder nicht, kann ich nicht beurteilen. Immerhin scheint es ja
einen Grund dafür zu geben, daß zumindest zwei getrennte Netze vorhanden sind.

Abgesehen davon wurden schon öfter intelligente Drucker schon für die Verbreitung von Malware oder auch nur zum
Spionieren (eine Kopie aller Druckaufträge an ein anderes System) benutzt, so daß das gar nicht so weit hergeholt ist.
Gut Flashen von Druckern, um dann über USB etwas zu verbreiten ist zwar noch nicht in der freien Wildbahn aufgetaucht, aber
ich gehe jede Wette ein, daß es in diveresen Laboren so etwas für Spezialeinsätze schon gibt.

Es gibt ja sogar Drucker, die das Standardmäßig haben. Vor einiger Zeit ist mir ein (Consumer-)HP-Drucker
untergekommen der seine Treiber mit eingebaut hatte. Er hat sich erst als "CD-Laufwerk" per USB zu erkennen gegeben und
per Autorun die Treiber installiert (Windows-Only natürlich). Man sah der Installation aber nicht an, ob Windows die treiber
selbst mitgebracht oder diese von Drucker heruntergeladen wurden. Der Treiber hat dann den Drucker per Befehl von CD auf Drucker
umgeschaltet. es sah die ganze Zeit so aus ob das ein ganz normaler USB-Drucker mit PCL war. Erst als man diesen an einen
USB-Printserver gehängt hat und dieser mal funktioniert udn mal nicht funktioniert hat, fiel das Fehlverhalten auf.

Da man HP-Drucker (und auch andere) einfach mit einem Druckauftrag flashen kann und diese Dateien keine größeren
Geheimnisse bergen, ist es also kein Hexenwerk, Malware zu erstellen, die Drucker infiziert. Bloß macht das nur selten
jemand, weil man hier viel spezielleres Wissen benötigt und die installierte Basis an passenden Druckern meist geringer ist.

Nichtsdestotrotz: Nur der Threadinitiator kann beurteilen, ob dieses Szenario für ihn eine Gefährdung darstellt oder
nicht.

lks


Das ist allerdings sehr interessant, weißt du noch welches Druckermodell das war? Würde ich gerne mal weiter verfolgen
die Geschichte, ggf. kann ich mir so einen Drucker mal live anschauen face-smile


Mfg.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.05.2011 um 17:55:28 Uhr
Goto Top
Zitat von @Phalanx82:
Das ist allerdings sehr interessant, weißt du noch welches Druckermodell das war? Würde ich gerne mal weiter verfolgen
die Geschichte, ggf. kann ich mir so einen Drucker mal live anschauen face-smile

Der Drucker, der so tut als ob er ein USB-CDROM wäre war irgendein 0815-S/W-Laserjet-Modell vom MM, den der Kunde sich geholt hatte und von mir fürs Netzwerk eingerichtet haben wollte. Die haben dem Kunden dort Drucker und Printserver in die Hand gedrückt und gesagt, damit sollte es gehen. Modell weiß ich aber nicht mehr.

Bei Drucker-Exploits hilf folgender Link weiter:

http://lmgtfy.com/?q=network+printer+exploit

Gleich über den ersten link dort kommt man an einen weiteren link, wo die Gefahren, insbesondere für HP-Drucker mit Jetdirect beschrieben sind.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.05.2011 um 18:31:30 Uhr
Goto Top
Zitat von @brammer:
Möglich ja! Wahrscheinlich ?? Naja...

Den Drucker mit Malware zu infizieren ist ohne weiteres möglich (siehe link unten) und wird auch gemacht. Ob die allerdings schon Software in Umlauf setzen, um auch über den USB-Anschluß malware zu verbreiten ist noch nicht bekannt. Da aber viele Drucker und auch Stick-Hersteller schon die varianten mit Pseudo-CDROM beim Anstecken anwenden, dürfte das wissen, wie man sowas schreibt, schon deutlich verbreiteter sein. Es wäre auch nicht nicht das erste Mal, daß über USB Malware evrbreitet wird. Nur die Kombination Netzwerkdrucker-Exploit mit anschließender Malware-Verbreitung über USB ist imho momentan zwar nicht anzutreffen, aber vermutlich nur eine Frage der Zeit. Ob sowas zum einsatz kommt, kommt einfach nur auf den Wert der Daten an, die abgegriffen werden können.

Daher: Nur der Threadersteller kann in dem Wissen, warum es zwei Netrzwerke gibt beurteilen, ob dieses Szenario für ihn gefährlich ist oder nicht.
Mitglied: AlbertMinrich
AlbertMinrich 25.05.2011 um 12:41:13 Uhr
Goto Top
Servus.

Die theoretische Möglichkeit einer Bedrohung reicht als Argumentation für einen neuen (zusätzlichen) Drucker.

Danke für alle Antworten.
Gruß
Martin