09. Dezember 2011
Posted in Internet News

Eine Ende November bekannt gewordene Sicherheitslücke in möglicherweise Millionen von Hewlett Packard-Druckern dürfte dem Hersteller Sorgen bereiten. Das auch, weil jetzt die erste, als Sammelklage angelegte Klage gegen das Unternehmen angestrengt wurde.

Der Kläger wirft dem Druckerhersteller vor, mit vollem Wissen Drucker in den Verkauf gebracht zu haben, die vom technischen Aufbau her Angreifern Tür und Tor öffnen. Hätte der Kläger das gewusst, dann hätte er nicht die HP-Drucker erworben.

HP-Drucker als Wanzen und Fernzünder?

Die Sicherheitslücke, auf die sich die Klage bezieht, wurde bisher noch nicht von unabhängiger Seite bestätigt. Doch was die Wissenschaftler der Columbia University einem Team von MSNBC demonstriert haben, klingt beängstigend. Professor Salvatore Stolfo und sein Mitarbeiter Ang Cui demonstrierten demnach, dass ein Hacker ohne Wissen und Zustimmung des Besitzers ein Firmware-Update auf dem Drucker ausführen kann.

Das wiederum erlaubt es dem Angreifer, sich Zugang zu den gedruckten Dokumenten zu verschaffen, oder sogar aus dem Drucker durch Überhitzung eine Art Fernzünder für einen Brandanschlag zu machen. Das alles sei möglich, so das Forscher-Team, weil HP ein "Remote Firmware Update" benutze,.bei dem die Übertragung der Firmware-Updates unverschlüsselt und ohne Zertifikat verläuft. Damit soll es sowohl durch lokale Druckaufträge mit manipulierten Dokumenten als auch aus der Ferne über das Internet möglich sein, die Drucker unter Kontrolle zu bringen.Sei es durch Druckaufträge an den (Netzwerk-) Drucker, oder durch manipulierte Dokumente im Mail-Anhang.

HP widerspricht

Soweit jedenfalls die Darstellung der Wissenschaftler, der HP allerdings sehr schnell widersprach. Der besonders schlagzeilenträchtige Vorwurf, die Drucker könnten in Flammen aufgehen, wurde nachhaltig widerlegt. Alle Drucker enthalten einen "Thermo Breaker" als Baulement, also einen Überhitzungsschutz, der das Gerät deaktiviert.

Was das ungeschützte Einspielen von Updates angeht, setzt HP seit 2009 in allen Druckern nur noch signierte Firmware-Updates ein. Die Columbia-Wissenschaftler müssten demnach ältere Geräte benutzt haben. Eine Darstellung, der nun aber wiederum die Wissenschaftler widersprechen. Sie wollen die Geräte zeitnah im Handel erworben haben.

"Brandbombe" von Medien aufgebauschte  Randbemerkung

Außerdem sei das Thema "Fernzünder" von den Medien aufgebauscht worden. Die Wissenschaftler selbst haben dieses Thema zwar in dem Video angesprochen, das schon eine Woche vor der Medien-Demonstration aufgezeichnet worden war.

{youtubejw}w-otgRCx6rA{/youtubejw}

Doch darin ist von dem Überhitzungsschalter die Rede, der dafür sorgt, dass höchstens ein brauner Streifen auf dem Papier entsteht. Ansonsten sei die Gefahr eines Brandanschlags nicht zum Thema gemacht worden. 

Womit aber immer noch die Behauptung bleibt, dass HP-Drucker mindestens bis zum Jahr 2009 für solche Angriffe anfällig waren. Wenn das so ist, dann kann nicht ausgeschlossen werden, dass es bereits seit längerer Zeit manipulierte Drucker gibt. Denn eine Firmware-Manipulation wäre im Praxis-Betrieb kaum festzustellen.

Dass allerdings der Kläger in dem eingangs erwähnten Verfahren Opfer eines solchen Angriffs wurde, ist unwahrscheinlich. Wahrscheinlicher ist, dass er - und vor allem die von ihm beauftragte Kanzlei - sich von der Klage einen finanziellen Vorteil verspricht..