Skip to content

Sie werden nicht glauben, was nigerianische Bankangestellte mit Canon-Druckern machen!

Vielleicht spielen sie ja Doom darauf? Oder vielleicht hauen sie ja auch damit ab?

Sorry, der Clown heute morgen zum Frühstück liegt mir noch etwas schwer im Magen.

Den Millionen überweisenden nigerianischen Bankangestellten gibt es wirklich!

Bekommen Sie auch öfter Mails von überforderten nigerianischen Bankangestellten und ähnlichem, die dringend Geld in Sicherheit bringen müssen und dazu unbedingt Ihre Hilfe benötigen? Eigentlich geht man ja immer davon aus, dass die einen nur das Geld aus der Tasche ziehen wollen, Vorschuss etc. kassieren und dann auf Nimmer Wiederlesen verschwinden.

Es gibt aber auch wirklich nigerianische Bankangestellte, die Geld ins Ausland überweisen und nicht die angeblichen Empfänger abkassieren wollen. Einer davon wird jetzt von der Polizei gejagt: "Nigerian bank IT worker on the run after $40m cyber heist". Er hat versucht, zusammen mit einigen Komplizen 40 Millionen US-Dollar auf Konten zu überweisen, von denen die Bande es dann wohl in Sicherheit bringen wollte.

Da bin ich ja mal gespannt auf die nächste Scam-Welle, das eröffnet ja ganz neue Möglichkeiten für die Scammer. Immerhin hat die Polizei jetzt ja quasi öffentlich bestätigt, dass da Geld zu holen ist!

Abgesehen von dieser eher lustigen Sichtweise zeigt das Beispiel aber auch, wie gefährlich ein Angriff durch Insider sein kann. 40 Millionen US-Dollar per Computer zu stehlen ist schon eine beachtliche Leistung.

Die neusten Spielekonsolen: Canon Drucker

Playstation, XBox und Co. bekommen Konkurrenz: Canon Drucker. Michael Jordon von Context Information Security hat die Unsicherheit der Geräte des Internet of Things demonstriert, indem er auf einem Canon-Tintenstrahldrucker Doom installiert hat.

Wenn man Verschlüsselung und Signatur verwechselt...

Und das, obwohl Canon sogar ein bisschen was für die Sicherheit der Firmware getan hat. Zwar ist die Weboberfläche ohne Authentifizierung erreichbar, aber immerhin müssen die Firmware-Updates verschlüsselt sein. Eigentlich wäre das ja ein Anwendungsfall für eine Signatur, so wie es allgemein üblich ist, aber die war für die Drucker-Entwickler wohl eine Nummer zu aufwendig.

... und die Verschlüsselung auch noch selbst entwickelt

Das war es dann aber auch schon mit der Sicherheit, denn die Verschlüsselung lässt sich brechen, und damit ist der Weg für die Installation einer eigenen Firmware frei. Was Michael Jordon durch die Installation von Doom bewiesen und auf der Sicherheitskonferenz 44CON 2014 vorgeführt hat.

Mit bewährten Algorithmen wäre das nicht passiert, aber wenn man unbedingt selbst was entwickeln will und nicht zufällig selbst Krypto-Experte ist, wird das im Allgemeinen nichts.

Ich hätte ja vermutet, dass die Embedded Systems in Druckern etc. gar nicht leistungsstark genug für Doom sind und auch die Displays keine ausreichende Auflösung haben, aber die Demo sieht gar nicht mal so extrem schlecht aus. Natürlich wären da noch etliche Optimierungen nötig, um ein wirklich spielbares Spiel zu bekommen, aber das Potential dafür ist eindeutig da.

Schutz ist möglich. Wenn man will.

Was macht man, um solche Angriffe zu verhindern? Nun, erst mal ist es eine gute Idee, die Weboberfläche mit einer Authentifizierung zu versehen. Noch wichtiger ist es aber, die Firmwareupdates zu signieren und nur korrekt signierte Updates zu installieren. Nur so kann sicher gestellt werden, dass nur von Canon bereit gestellte und signierte Updates installiert werden können. Canon hat sich entschieden, es bei einer Authentifizierung zu belassen. Benutzername und Passwort sind ja auch sowas von sicher, nicht wahr?

Vielleicht sollte man bei Canon erst mal einen Webentwickler für die Weboberfläche einstellen. Oder wenn man das schon hat, dem jemanden an die Seite stellen, der sich mit Sicherheit auskennt und schon mal was von so Angriffen wir Cross-Site Request Forgery gehört hat. Denn auch darüber ist ein Angriff möglich, um eine gefälschte Firmware einzuschleusen, wie man bei Context Information Security gezeigt hat.

Und dann sollte man doch noch mal über eine Signatur für die Firmwareupdates nachdenken.

Ach so: Was die fehlende Authentifizierung der Weboberfläche betrifft - das ist ein allgemeines Problem des IoT, die fehlt sehr oft.

Der Drucker als erster Schritt ins lokale Netz

Wer es fertig bringt, den Drucker mit dem Internet zu verbinden, darf sich wohl kaum wundern, wenn er in Kürze über jede Menge Schmierpapier verfügt und der Tintenverbrauch stark ansteigt, denn nachdem nun die Aufmerksamkeit der Allgemeinheit auf diese Geräte gelenkt wurde werden sicher einige Spassvögel nach den Druckern suchen und die Testseiten drucken lassen und ähnliche nette Scherze treiben. Denn dank Google Hacking und insbesondere Shodan ist es kein Problem, die mit dem Internet verbundenen Drucker zu finden.

Und solche Spielereien mit der Weboberfläche sind noch harmlos gegen das, was ein wirklich bösartiger Angreifer anrichten könnte. Denn wenn man auf den Druckern sogar Doom installieren kann, was kann ein Cyberkrimineller dann wohl alles damit anstellen? Denn mit Code im Drucker haben die Cyberkriminellen einen Ausgangspunkt, von dem aus sie weiter ins lokale Netz vorstoßen können. Und das ohne Gefahr zu laufen, auf dem ersten infizierten "Rechner" von irgend einer Schutzfunktion oder irgend einem Schutzprogramm gestört zu werden. Obwohl: Wie lange es wohl dauert, bis die Antivirenhersteller die ersten Scanner für Drucker anbieten?

Carsten Eilers

Trackbacks

Keine Trackbacks