Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zwei Netzwerke sind über Drucker (einmal USB, einmal LAN) verbunden. Irgendwelches Gefährdungspotenzial?

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

24.05.2011, aktualisiert 05.07.2011, 5231 Aufrufe, 8 Kommentare

Hallo,

es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und per Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz kommen kann (vor allem von USB nach LAN)?

Danke
Martin
Mitglied: Lochkartenstanzer
24.05.2011 um 13:53 Uhr
Zitat von AlbertMinrich:
Hallo,

es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und per
Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz kommen
kann (vor allem von USB nach LAN)?


Ja, man kann per USB oder Netzwerk den Drucker neu flashen. Dann der z.B. üebr USB so tun, als ob er ein Laufwerk wäre und so Schadsoftware über Autorun einspielen. Oder er kann über Netzwerk auf shares zugreifen oder das Netzwerk sniffen.

Es reicht auch manchmal, einfach nur ein Programm in den Drucker zu laden (mit Postscript und PCL geht das sehr einfach) und damit Blödsinn anzustellen.

Es kommt daher einfach darauf an, wie paranoid Du bist und wie wichtig es ist, die beiden Netze wirklich getrennt zu halten. ggf. ist es tatsächlich preiswerter, einfach einen zweiten Drucker hinzustellen, auch wenn ein USB-Kabel billiger als ein zweiter Drucker ist.

lks
Bitte warten ..
Mitglied: Phalanx82
24.05.2011 um 14:48 Uhr
Zitat von Lochkartenstanzer:
> Zitat von AlbertMinrich:
> ----
> Hallo,
>
> es gibt zwei getrennte Netzwerke. Die einzige Verbindung ist ein Drucker. Der hängt per USB an einem PC von Netz1 und
per
> Netzwerkkabel im anderen Netz. Seht ihr da irgendeine Möglichkeit, dass Schadsoftware von einem in das andere Netz
kommen
> kann (vor allem von USB nach LAN)?
>

Ja, man kann per USB oder Netzwerk den Drucker neu flashen. Dann der z.B. üebr USB so tun, als ob er ein Laufwerk wäre
und so Schadsoftware über Autorun einspielen. Oder er kann über Netzwerk auf shares zugreifen oder das Netzwerk
sniffen.

Es reicht auch manchmal, einfach nur ein Programm in den Drucker zu laden (mit Postscript und PCL geht das sehr einfach) und damit
Blödsinn anzustellen.

Es kommt daher einfach darauf an, wie paranoid Du bist und wie wichtig es ist, die beiden Netze wirklich getrennt zu halten. ggf.
ist es tatsächlich preiswerter, einfach einen zweiten Drucker hinzustellen, auch wenn ein USB-Kabel billiger als ein zweiter
Drucker ist.

lks

für ein solches Szenario muss man allerdings _sehr_ paranoid sein, außerdem würde sich eine solche
Möglichkeit nur mit Insider Wissen ausnutzen lassen. Drucker Modell, SW Stand, HW Revision, Software
Stand des Rechners der mit USB verbunden ist, Topologie des Netzwerks und ggf. des IDS Systems usw...

Wer so viel kriminelle Energie in ein Projekt stecken möchte der wird sicherlich nicht in einer kleinen oder
mittelgroßen Firma arbeiten, das geht schon Richtung Siemens oder IBM oder Microsoft.
Und bei einem solch großen Unternehmen wo wirklich wichtige oder heikle Daten im Netz herum schwirren
das man 2 Netze strickt trennen muss, wird es mehrere Sicherheitsvorkehrungen geben als eine reine
Trennung der Netze, da gibts dann keine USB Sticks, keine Brenner und auch sonst nix was einen Daten-
austausch ins andere Netz ermöglichen könnte und erst Recht keinen Drucker für beide Netze sondern
einen für jedes Netz, wahrscheinlich sogar Dutzende Drucker in jedem der Netze...

Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...


Mfg.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.05.2011 um 15:11 Uhr
Zitat von Phalanx82:
Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...

Der Threadinitiator hatte ja danach gefragt, welche Möglichkeiten man sieht und ich habe ihm eine skizziert. Ob diese für seinen speziellen Anwendungsfall eine Gefahr darstellt oder nicht, kann ich nicht beurteilen. Immerhin scheint es ja einen Grund dafür zu geben, daß zumindest zwei getrennte Netze vorhanden sind.

Abgesehen davon wurden schon öfter intelligente Drucker schon für die Verbreitung von Malware oder auch nur zum Spionieren (eine Kopie aller Druckaufträge an ein anderes System) benutzt, so daß das gar nicht so weit hergeholt ist. Gut Flashen von Druckern, um dann über USB etwas zu verbreiten ist zwar noch nicht in der freien Wildbahn aufgetaucht, aber ich gehe jede Wette ein, daß es in diveresen Laboren so etwas für Spezialeinsätze schon gibt.

Es gibt ja sogar Drucker, die das Standardmäßig haben. Vor einiger Zeit ist mir ein (Consumer-)HP-Drucker untergekommen der seine Treiber mit eingebaut hatte. Er hat sich erst als "CD-Laufwerk" per USB zu erkennen gegeben und per Autorun die Treiber installiert (Windows-Only natürlich). Man sah der Installation aber nicht an, ob Windows die treiber selbst mitgebracht oder diese von Drucker heruntergeladen wurden. Der Treiber hat dann den Drucker per Befehl von CD auf Drucker umgeschaltet. es sah die ganze Zeit so aus ob das ein ganz normaler USB-Drucker mit PCL war. Erst als man diesen an einen USB-Printserver gehängt hat und dieser mal funktioniert udn mal nicht funktioniert hat, fiel das Fehlverhalten auf.

Da man HP-Drucker (und auch andere) einfach mit einem Druckauftrag flashen kann und diese Dateien keine größeren Geheimnisse bergen, ist es also kein Hexenwerk, Malware zu erstellen, die Drucker infiziert. Bloß macht das nur selten jemand, weil man hier viel spezielleres Wissen benötigt und die installierte Basis an passenden Druckern meist geringer ist.

Nichtsdestotrotz: Nur der Threadinitiator kann beurteilen, ob dieses Szenario für ihn eine Gefährdung darstellt oder nicht.

lks
Bitte warten ..
Mitglied: brammer
24.05.2011 um 16:16 Uhr
Hallo,

um die bisherigen Beiträge mal zusammenzufassen:

Jede Physische Verbindung zwischen zwei oder mehr Netzen lässt sich -theoretisch- für Angriffsszenarien ausnutzen.

Aber irgendwann stellt sich die Frage nach dem Zeit Wert des Eindringen. Wenn ich für das Eindringen nur mit einem Zero Day Exploit arbeiten kann, dann stellt sich die Frage ob sich diese Investition überhaupt noch lohnt.

Möglich ja! Wahrscheinlich ?? Naja...

Die Frage die sich mir stellt was willst du wogegen absichern?

Oder reden wir hier nur von der theoretischen Möglichkeit?

brammer
Bitte warten ..
Mitglied: Phalanx82
24.05.2011 um 16:51 Uhr
Zitat von Lochkartenstanzer:
> Zitat von Phalanx82:
> ----
> Wir könnten das ganze noch weiter spinnen, aber Du siehst schon wo das hin führt. Das artet eher in einer
> Hexenjagd aus und man muss ja nicht mit Kanonen auf Spatzen schießen...

Der Threadinitiator hatte ja danach gefragt, welche Möglichkeiten man sieht und ich habe ihm eine skizziert. Ob diese
für seinen speziellen Anwendungsfall eine Gefahr darstellt oder nicht, kann ich nicht beurteilen. Immerhin scheint es ja
einen Grund dafür zu geben, daß zumindest zwei getrennte Netze vorhanden sind.

Abgesehen davon wurden schon öfter intelligente Drucker schon für die Verbreitung von Malware oder auch nur zum
Spionieren (eine Kopie aller Druckaufträge an ein anderes System) benutzt, so daß das gar nicht so weit hergeholt ist.
Gut Flashen von Druckern, um dann über USB etwas zu verbreiten ist zwar noch nicht in der freien Wildbahn aufgetaucht, aber
ich gehe jede Wette ein, daß es in diveresen Laboren so etwas für Spezialeinsätze schon gibt.

Es gibt ja sogar Drucker, die das Standardmäßig haben. Vor einiger Zeit ist mir ein (Consumer-)HP-Drucker
untergekommen der seine Treiber mit eingebaut hatte. Er hat sich erst als "CD-Laufwerk" per USB zu erkennen gegeben und
per Autorun die Treiber installiert (Windows-Only natürlich). Man sah der Installation aber nicht an, ob Windows die treiber
selbst mitgebracht oder diese von Drucker heruntergeladen wurden. Der Treiber hat dann den Drucker per Befehl von CD auf Drucker
umgeschaltet. es sah die ganze Zeit so aus ob das ein ganz normaler USB-Drucker mit PCL war. Erst als man diesen an einen
USB-Printserver gehängt hat und dieser mal funktioniert udn mal nicht funktioniert hat, fiel das Fehlverhalten auf.

Da man HP-Drucker (und auch andere) einfach mit einem Druckauftrag flashen kann und diese Dateien keine größeren
Geheimnisse bergen, ist es also kein Hexenwerk, Malware zu erstellen, die Drucker infiziert. Bloß macht das nur selten
jemand, weil man hier viel spezielleres Wissen benötigt und die installierte Basis an passenden Druckern meist geringer ist.

Nichtsdestotrotz: Nur der Threadinitiator kann beurteilen, ob dieses Szenario für ihn eine Gefährdung darstellt oder
nicht.

lks


Das ist allerdings sehr interessant, weißt du noch welches Druckermodell das war? Würde ich gerne mal weiter verfolgen
die Geschichte, ggf. kann ich mir so einen Drucker mal live anschauen


Mfg.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.05.2011 um 17:55 Uhr
Zitat von Phalanx82:
Das ist allerdings sehr interessant, weißt du noch welches Druckermodell das war? Würde ich gerne mal weiter verfolgen
die Geschichte, ggf. kann ich mir so einen Drucker mal live anschauen

Der Drucker, der so tut als ob er ein USB-CDROM wäre war irgendein 0815-S/W-Laserjet-Modell vom MM, den der Kunde sich geholt hatte und von mir fürs Netzwerk eingerichtet haben wollte. Die haben dem Kunden dort Drucker und Printserver in die Hand gedrückt und gesagt, damit sollte es gehen. Modell weiß ich aber nicht mehr.

Bei Drucker-Exploits hilf folgender Link weiter:

http://lmgtfy.com/?q=network+printer+exploit

Gleich über den ersten link dort kommt man an einen weiteren link, wo die Gefahren, insbesondere für HP-Drucker mit Jetdirect beschrieben sind.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.05.2011 um 18:31 Uhr
Zitat von brammer:
Möglich ja! Wahrscheinlich ?? Naja...

Den Drucker mit Malware zu infizieren ist ohne weiteres möglich (siehe link unten) und wird auch gemacht. Ob die allerdings schon Software in Umlauf setzen, um auch über den USB-Anschluß malware zu verbreiten ist noch nicht bekannt. Da aber viele Drucker und auch Stick-Hersteller schon die varianten mit Pseudo-CDROM beim Anstecken anwenden, dürfte das wissen, wie man sowas schreibt, schon deutlich verbreiteter sein. Es wäre auch nicht nicht das erste Mal, daß über USB Malware evrbreitet wird. Nur die Kombination Netzwerkdrucker-Exploit mit anschließender Malware-Verbreitung über USB ist imho momentan zwar nicht anzutreffen, aber vermutlich nur eine Frage der Zeit. Ob sowas zum einsatz kommt, kommt einfach nur auf den Wert der Daten an, die abgegriffen werden können.

Daher: Nur der Threadersteller kann in dem Wissen, warum es zwei Netrzwerke gibt beurteilen, ob dieses Szenario für ihn gefährlich ist oder nicht.
Bitte warten ..
Mitglied: AlbertMinrich
25.05.2011 um 12:41 Uhr
Servus.

Die theoretische Möglichkeit einer Bedrohung reicht als Argumentation für einen neuen (zusätzlichen) Drucker.

Danke für alle Antworten.
Gruß
Martin
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

LAN, WAN, Wireless
Zwei private Netzwerke (LAN und WLAN) mit SXT Lite5 verbinden (9)

Frage von MWelslau zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
Multifunktions(Farb)-Laser Drucker (Lan-Wlan) fähig (3)

Frage von wescraven07 zum Thema Drucker und Scanner ...

LAN, WAN, Wireless
gelöst DD-WRT Zwei W-Lan Netzwerke (4)

Frage von schneerunzel zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...