Trojanisches Pferd im internen Netzwerk

Anno 2018 ist die Fax-Technologie eigentlich ein Relikt aus der Vergangenheit – veraltet und von moderner Technik überholt. Trotzdem stehen die Geräte noch in vielen Haushalten und Handwerksbetrieben oder sind Teil von All-in-One-Druckern. Israelische Cyber-Experten haben allerdings eine Schwachstelle entdeckt. Mittels einer präparierten Fax-Nachricht können Hacker verbundene Rechner infizieren und vertrauliche Daten abgreifen. Die Sicherheitslücke nennt sich „Faxploit“.

Betroffen sein sollen 154 Geräte des Herstellers Hewlett Packard (HP), Experten zufolge könnten aber auch Modelle anderer Produzenten verwundbar sein. Haben die Angreifer die Kontrolle über ein Fax­gerät übernommen, können sie alle Dokumente auslesen, die zuletzt auf dem Apparat gedruckt, gescannt oder gefaxt wurden – oder in Zukunft dort verarbeitet werden. Ist das Faxgerät zudem mit dem lokalen Netzwerk verbunden, können Hacker an Sicherheitsvorkehrungen wie Firewalls vorbei auf andere Computer zugreifen und Daten ausspähen. „Trotz des Risikofaktors nutzt die überwiegende Mehrheit deutscher Unternehmen das Fax noch immer zur Kommunikation – ein trojanisches Pferd im internen Netzwerk“, sagt Karsten Glied. Der Geschäftsführer der Techniklotsen GmbH, die IT- und Technik-Lösungen für die Sozial- und Gesundheitswirtschaft entwickelt, erklärt weiter: „Besonders das offene WLAN, mit dem viele Multifunktionsgeräte verbunden sind, bietet einen Angriffsweg ins Internet.“

Datensensibilität in Unternehmen

Ein hoher Grad an Datensensibilität betrifft nicht nur Kliniken, Praxen oder Pflegeeinrichtungen, sondern auch Handwerksbetriebe. In kleineren Unternehmen hat das Fax oftmals noch nicht ausgedient, sodass Hacker es als besonders attraktives Ziel ansehen könnten. „Weil Datensicherheit oberste Priorität haben muss, sollten hier Fachleute für Netzwerktechnik zurate gezogen werden“, empfiehlt Karsten Glied. Abseits davon würde es helfen, Drucker und Fax sinnvoll zu konfigurieren und regelmäßig die Betriebssoftware der Geräte zu aktualisieren. HP hat übrigens in Abstimmung mit dem Security-Unternehmen „CheckPoint“, dessen Forscher die Sicherheitslücke aufgedeckt hatten, ein Software-Update für seine Geräte veröffentlicht, das die Schwachstelle schließen soll

(Kurz-Link: https://bit.ly/2P0SgM5).

Karsten Glied hat noch einen weiteren Tipp parat: Möchten Anwender die Faxmöglichkeit eines Multifunktionsgerätes gar nicht nutzen, sollten sie die Verbindung zum Telefonnetz kappen. „Sonst entpuppt sich das gute alte Fax womöglich als Achillesferse in einer von der Digitalisierung beherrschten Welt.“

Faxgeräte austauschen

Auch Karsten Zimmer, IT-Forensiker und EDV-Sachverständiger aus Menden (Sauerland), sieht eine reale Bedrohung durch „Faxploit“. Er rät, entsprechende Geräte softwaremäßig auf den neuesten Stand zu bringen. Zudem sei es sinnvoll, alte gegen neuere Faxgeräte auszutauschen (siehe Interview).

www.techniklotsen.de

www.csi-menden.de

„Fax ist nicht mehr sicher“

IKZ-Haustechnik: Überrascht Sie die von israe­lischen Forschern aufgedeckte ­Sicherheitslücke?Karsten Zimmer: Nein, keineswegs. Nicht umsonst sind die israelischen Sicherheitsforscher viel weiter in Sachen IT-Security als hiesige Sicherheitsexperten. Bei einem Cyber-Security-Meeting im Juli dieses Jahres mit IT-Forensikern aus aller Welt in Belgien waren u. a. neun Experten aus Israel – zwei aus Deutschland, darunter ich selbst. Allein schon die aktuelle Auswertung eines verschlüsselten IPhones in der Version 11 ist bisher nur mit der israelischen Software des Unternehmens Cellebrite möglich. Wen kann es da noch wundern, dass den dortigen Experten die Aufdeckung dieser Sicherheitslücke gelungen ist?IKZ-Haustechnik: Wie real ist die Bedrohung tatsächlich? Das Fax galt ja bislang als sicher. Ist dem nicht so?

Karsten Zimmer: Leider ist dem nicht so, weil viele alte analoge Faxgeräte den sogenannten Kombinationsdruckern weichen mussten. Die heutigen digitalen Multifunktionsdrucker werden in Firmen oder Behörden an das vorhandene Netzwerk gekoppelt und sind so für jeden Mitarbeiter im Netzwerk erreichbar und bedienbar. Wenn nun ein böser Hacker Zugriff auf das Multifunktionsgerät hat, so kann er ohne größere Anstrengungen auf das gesamte Netzwerk zugreifen. Selbst wenn er keinen Zugriff auf das Netzwerk hat, weil das Gerät nicht in das Behörden-/Firmennetzwerk integriert ist, kann er die Daten des Druckers abzapfen oder Schadsoftware wiederum an andere im Adressbuch befindliche Empfänger weiterleiten.

IKZ-Haustechnik: Wie gehen Hacker bei einem Angriff vor?

Karsten Zimmer: Nachdem das Faxgerät mit Daten eines speziellen Bildes gefüttert worden ist, können Hacker mit einem sogenannten Speicherüberlauf das Gerät überfordern – also den Drucker mit mehr Daten füttern als er erwartet hatte und somit verarbeiten kann. Die ursprüngliche sogenannte Rücksprung­adresse kann nicht mehr erreicht werden. Diesen Programmierfehler können Bösewichte ausnutzen. Sie schleusen nun einen Schadcode in das System des Druckers ein. Der weitere Weg per LAN oder WLAN ist dann nur noch ein Kinderspiel. Aber auch per Ton, den man kurz zu hören bekommt, wer sich per Modem in das Internet einwählt oder eine Fax-Nummer wählt, lässt sich das All-in-One-Gerät aus der Ferne fernsteuern. Denn diese Faxtöne sind nichts anderes als hörbare digitale Codes.

IKZ-Haustechnik: Warum kann ein Hacker-Angriff gefährlich werden und welche Folgen drohen, wenn Drucker und Computer unter Kontrolle eines Angreifers stehen?

Karsten Zimmer: Weil Daten aus diesen Multifunktionsdruckern bzw. aus dem Computer oder gar aus dem gesamten Netzwerk missbraucht werden können. Das heißt, wichtige (behördliche) Dokumente können so kopiert, abgeändert, gelöscht oder verschlüsselt werden. Auch ist so dem Datendiebstahl Tür und Tor geöffnet. Spionage aus anderen Ländern hat täglich Hochkonjunktur. Das Darknet schreibt Bände darüber.

IKZ-Haustechnik: Können alle Drucker angegriffen werden oder ist das Problem auf den Hewlett Packard beschränkt?

Karsten Zimmer: Nicht nur die Multifunktionsdrucker der Marke Hewlett Packard sind hiervon betroffen. Zwar haben die Sicherheitsexperten nur 154 HP-Geräte in Augenschein genommen, jedoch kann dieses Vorgehen des „JPEG-Parser“ jedes Multifunktionsgerät manipulieren.

IKZ-Haustechnik: Wer auf ein Fax nicht verzichten kann oder möchte: Wie lassen sich Hacker-Angriffe über das Fax vermeiden?

Karsten Zimmer: Zunächst sollte man die entsprechenden Geräte software-mäßig auf den neuesten Stand bringen. HP hat bereits mit der Auslieferung von Sicherheits-Updates begonnen. Wenn dies nicht möglich ist, sollten die Geräte vom eigentlichen Netzwerk getrennt werden. Auch kann es sinnvoll sein, Altgeräte gegen neuere Faxgeräte auszutauschen.

IKZ-Haustechnik: Wie lässt sich überprüfen, ob das Fax-Gerät tatsächlich Ziel eines Hacker-Angriffs war? Und was tun in diesem Fall?

Karsten Zimmer: Dieser Faxploit kann mit normalen Tools nicht nachgewiesen werden. Betroffene Firmen sollten sich umgehend in einem unserer Büros melden, damit wir schnellstmöglich beweiskräftige Untersuchungen durchführen können. Verhindern lässt sich so ein Angriff wahrlich nur sehr schwer. Bisher ist mir noch kein Fall eines Faxploit in Firmen- oder Behördennetzwerken bekannt geworden. Jedoch habe ich diesen Exploit mal programmiertechnisch nachempfunden und kann nur sagen: Es funktioniert!

Auf einen Blick

• Das Faxgerät gilt als Bindeglied zwischen Briefpost und E-Mail. Gegen Ende der 60er-Jahre entwickelte das amerikanische Unternehmen Dacom die erste digitale Faxmaschine. Auch heute verrichten die Geräte noch in vielen Haushalten und Handwerksbetrieben, zum Teil auch in All-in-One-Druckern, ihre Dienste.
• Im Rahmen der DEF-CON-Sicherheitskonferenz 2018 in Las Vegas (9. bis 12. August) demonstrierten Angestellte der Security-Firma „CheckPoint“, wie ein Fax zur vollständigen Übernahme eines Heim- oder Firmennetzwerks führen kann. Die Sicherheitslücke ist auf den Namen „Faxploit“ getauft worden.
• Der Hersteller HP hat auf seiner Homepage eine Liste der betroffenen Geräte mit dazugehörigen Sicherheits-Updates veröffentlicht. Experten raten Nutzern, das Update so schnell wie möglich einzuspielen.