lochkartenstanzer
Goto Top

HP-MF-Drucker per Fax angreifbsr

Endlich eine sinnvolle Verwendung für Faxe:

https://m.heise.de/security/meldung/Totale-Kontrolle-Multifunktions-Druc ...

Damit kann man offensichtlich den Drucker übernehmen.

lks

Content-Key: 383282

Url: https://administrator.de/contentid/383282

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: 1Werner1
1Werner1 15.08.2018 um 09:01:27 Uhr
Goto Top
Moin,

also in der Liste von HP stehen auch Großraumdrucker, die kein Fax haben.

Somit wird auch ein Angriff über das normale Internet erfolgreich sein, wenn hier keine Firewall,
dies verhindert.
Das Sicherheits Problem scheint wohl größer als gedacht.

Gruss
Werner
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.08.2018 um 09:13:40 Uhr
Goto Top
Zitat von @1Werner1:

also in der Liste von HP stehen auch Großraumdrucker, die kein Fax haben.

Die haben meist optionale Module, die den Faxempfang über POTS oder VOIP ermöglichen. Die Firmware selbst hat das meist schon eingebaut und muß nur noch aktiviert werden.

Von daher ist es nciht verwunderlich, daß die auch verwundbar sind.

Somit wird auch ein Angriff über das normale Internet erfolgreich sein, wenn hier keine Firewall,
dies verhindert.

Es reicht, wenn die Dinger als Client an einer VOIP-Anlage hängen.

Das Sicherheits Problem scheint wohl größer als gedacht.

Das ist größer, weil der Angriff so geartet ist, daß er mit den meisten heutigen (Multifunktions-)Faxgeräten funktioniert.

Drucker waren schon immer ein riskantes Einfallstor in ein Netzwerk, schon in den 90ern. Das Problem ist mit den heutigen Multifunktionsgeräten, die "nach hause telefonieren", ist, daß der Hersteller das viel zu nachlässig implementieren. Durch einen geschickten MITM-Angriff kann man den meisten inzwischen Fake-Firmware unterschieben.

lks
Mitglied: the-buccaneer
the-buccaneer 15.08.2018 um 23:54:09 Uhr
Goto Top
Bin gespannt, wie das weitergeht und wie die anderen Hersteller Stellung beziehen.
Ein FAX-Gerät hat "eigentlich" im Netzwerk ebensowenig zu suchen, wie ein Telefon, ein Kühlschrank oder Toaster.
Leider ist diese Ansicht heute sowas von "Old-School"...
Und ich halte mich natürlich aus Bequemlichkeit auch nicht an meine Grundüberzeugungen...

Dass das FAX bisher so wenig in den Schlagzeilen war, liegt ja nur daran, dass es wohl ausser den Schlapphüten keinen interessiert hat.

Wir haben aus Spieltrieb und vordergründiger Nützlichkeit eine Situation geschaffen, in der Sicherheit nur eine nachgeordnete Rolle spielt. Das ist nicht wieder einzufangen und es wäre ein grundsätzliches Umdenken erforderlich um dieses Biest wieder in die Büchse zu kriegen.

Ich bin langsam an dem Punkt, an dem ich die Horrormeldungen nur noch goutiere, statt in hektische Betriebsamkeit zu verfallen.
Der Kampf ist unter den herrschenden Bedingungen nicht zu gewinnen.

e mare libertas
Buc

P.S.: Habe gerade überlegt, was das "Undenkbare" für unsere Welt bedeuten würde, wenn wir ALLE ALLES auf machen würden. Kein Datenschutz keine Privatsphäre, kein Geschäftsgeheimnis. Zumindest nicht elektronisch. ALLES AUF. Ähnlich, wie der von durchaus ernstzunehmenden Leuten vertetene Gedanke der Freigabe von Drogen um der Mafia das Geld zu entziehen. Was würde passieren? Wie würde es unsere Welt verändern? Wikipedia könnte ein Beispiel sein und das entwickelt eigene undemokratische Machstrukturen....
Trotzdem: man müsste das mal ausspinnen. Weiss jemand einen Roman oder einen Artikel, der das mal weitergesponnen hat?

Etwas OT, aber so isses nach dem 4. Bayreuther...
Mitglied: 1Werner1
1Werner1 17.08.2018 um 11:10:50 Uhr
Goto Top
Moin Buc,

natürlich hat ein Fax wenig im Netzwerk zu suchen. Aber vielleicht ist dann bis nach euch, nach Bayern durchgedrungen, das die Telekom alle ISDN anschlüsse gekündigt hat oder kündigt , und somit das normale Fax nicht mehr funktioniert.

Da viele Aufträge noch per Fax hereinkommen, muss man das Fax auch in der Serverlandschaft per VOIP noch schalten.

Für deine sinnige Anmerkung kann ich dir ein Buch empfehlen, da hast du jawohl die Zeit dafür:

https://www.beck-shop.de/arbinger-institute-franke-leben-selbstbetrug/pr ...

Gruss

Werner
Mitglied: the-buccaneer
the-buccaneer 17.08.2018 aktualisiert um 23:31:03 Uhr
Goto Top
Moin Werner!

Die aktuelle Problematik ist, wie ich es verstanden habe, von der Übertragungstechnologie unabhängig. Ob das FAX via VOIP, Analog, ISDN oder Händeklatschen an das Gerät übermittelt wird... Wenn es ankommt und das Gerät ist im LAN, ist es vorbei.

Man muss nur damit Leben können, dass ein FAX ein Papier ausspuckt. Dafür ist es entwickelt und gebaut. Diese Kunden haben kein Problem.

Wenn es aber aus allen Anwendungen im LAN möglich sein muss, ein FAX zu senden und zu empfangen...
Na ja, schön. Praktisch... Aber wieder 100 Türchen auf...

Danke für den Link, aber Lebensratgeber lese ich seit vielen Jahren grundsätzlich nicht. Ein Spass wäre es, mal einen zu schreiben, aber die Zeit... face-wink
Die Frage bezog sich eher auf einen Science-Fiction, der das mal ausspinnt...

VG
Buc

Achso, nur so am Rande... Auch Hessen wissen das gute bayrische Bier zu schätzen. face-wink
Mitglied: 1Werner1
1Werner1 20.08.2018 um 16:01:25 Uhr
Goto Top
Moin Buc,

tut mir leid das ich dich glatt für einen Bayer gehalten habe, schönen Gruss aus dem Emsland.

Du wirst es nicht glauben, aber jeder kann ein Fax bei uns über Email bekommen, somit hängt der Fax-Server im LAN.
( Er kommt zur Zeit noch per ISDN herein, wrid aber demnächst bei einer neuen Telefonanlage durch VOIP ersetzt)

Das tut jetzt eigentlich fürden HP Bug nichts zur Sache,
aber es wird dein Vorstellung FAX ohne LAN natürlich durcheinander bringen.

Lasst dir das bayerische Bier schmecken, ein Bernzen Korn aus Haselünne dazu, dann stimmt die Mischung.

Gruss

Werner
Mitglied: the-buccaneer
the-buccaneer 21.08.2018 aktualisiert um 23:55:14 Uhr
Goto Top
Moin moin!

"Du wirst es nicht glauben, aber jeder kann ein Fax bei uns über Email bekommen, somit hängt der Fax-Server im LAN.
( Er kommt zur Zeit noch per ISDN herein, wrid aber demnächst bei einer neuen Telefonanlage durch VOIP ersetzt)"

Ich glaube das sehr wohl, finde es nur "unglaublich", dass wir uns diese "Totalvernetzung" mit dem Versprechen eines besseren, einfacheren, produktiveren (Arbeits-) Lebens aufschwätzen lassen und letztlich unkritisch die Kontrolle über unsere Daten ("Der Rohstoff des 21. Jh") abgeben.

Oder hätte eure Unternehmensleitung dem FAX per Mail im Netzwerk zugestimmt, wenn bekannt gewesen wäre, dass eine Sicherheitslücke existiert, mit der das komplette Netzwerk über ein manipuliertes FAX angreifbar ist?
Hätte man dann nicht entschieden, das FAX lieber da zu lassen, wo es hingehört? Ins 20. Jh. Papierspuckend, piepsend und alle 2-3 h geht mal jemand vorbei und verteilt den Papierstapel an die zuständigen Mitarbeiter?

Im Gegenteil hätte man evtl. sogar das Fax aufs analoge beschränken können, so dass es zur Übermittlung von unterschriebenen Originalen getaugt hätte. Also a la "FAX via VPN". Wieviele rechtskonform signierte Dokumente versendest du per Mail?

Dass das ne steile These ist, weiss ich auch... Ob das technisch irgendwie realisierbar ist... gewesen wäre... keine Ahnung...
Mir geht's immer nur um eine Richtung, die mir nicht gefällt...

Wenn nur mal ein Umdenken in Richtung "Sicherheit vor Bequemlichkeit" stattfinden würde, oder Hersteller für, durch eine Sicherheitslücke verursachte, Schäden verantwortlich gemacht werden könnten (gleicher Effekt), wäre einiges gewonnen...

Und... ich hoffe sehr, dass es dich nicht zu sehr durcheinanderbringt, wenn du dir vorstellst, dass es vor 20 oder 30 Jahren eine produktive Wirtschaft mit glücklichen und unglücklichen Arbeitnehmern gab, die ohne VOIP telefoniert haben, Faxe in der Hand hatten und keine Smartphones hatten.

Damals war Geheimdienstarbeit noch mit Anwerben von Quellen verbunden. Heute ist das mit dem Häkchen unter AGB's die keiner gelesen hat, erledigt.

Brave new world...

Buc

P.S.: Viel bedenklicher finde ich ja, dass man von anderen Herstellern NICHTS hört...