"Massive Sicherheitslücke" in Millionen HP-Druckern

... und dabei (man vergleiche die Sache mit den view.. webcam-URLs) eine Menge an gespiderten Druckern, die offensichtlich aus dem Internet erreichbar waren, gefunden. Bei einem dieser hab ich testhalber mal das LAN-Interface auf 127.0.0.1 umkonfiguriert, dann war der nicht mehr erreichbar *fg*.

Ja, da waren die Herren Hewlett und Packard noch gar nicht auf der Welt. :-)

intern zumindest?

warum sich das problem so lang fortquälen konnte!
dieser programmierstil ist mir doch schon ewig lang aufgefallen, in verbindung mit den szene-news und dem verhalten der drucker und treiberinstallationen, und ich kann nicht der einzige sein.
dazu kommen die verflechtungen der eigentümer,
dazu kommen die ereignisse rund um das management, leo apotheker etc.
dass es die firma noch gibt, scheint nicht marktkräften zu verdanken.

wie groß ist die Papierlade von einem Laserjet?
5 Mio. Blatt?
Also wenn ein Drucker in Rauch aufgeht, wenn er alle Papierladen verwendet, dann habe ich ganz andere Sorgen als die Security.

Security through obscurity ist KEIN Sicherheitskonzept. ;)

Nachdem mein neuer HP Drucker bei jedem Einschalten irgendeine dubiose 3 minütige Reinigungsprozedur durchlaufen hat, bei der jedes Mal gefühlte 10 Prozent der Tinte ins Schwämmchen ging und noch dazu alle Patronen mit Chips versehen sind, so dass es keine Alternativen zu den sauteuren HP Originalen gibt, habe ich generell kein Problem mehr mit HP, deren hart an der Grenze der Legalität liegenden Kundenverarschung oder lückenhaften Updates. Habe generell nichts mehr von HP...

benötigt man das Passwort fürs Web Login

wer keines vergibt - selbst Schuld

...ging das doch per TFTP, oder?

oder?

. . . . ich in Grippezeiten mit einem gebrauchten Taschentuch die Glasscheibe meines Multfunktionsdruckers putze und danach eine nichts ahnende Kollegin dort ein Dokument einscannt das sie dann mit einem unverschlüsselten e-mail an ein wiederum nichtsahnendes Opfer sendet.
Wird dann den sein Rechner von meinen Viren verseucht?
Dr. Watson antwortet: Im Prinzip ja, aber im konkreten Fall wird die Glasplatte alle 2 Wochen von der Security Truppe mit Glasreiniger geputzt und Reste dieses Glasreinigers nisten sich in mikroskopischen Kratzern der Glasplatte ein und töten somit jeden Virus ab. Also: Immer bei neunen Druckern vorsichtig sein aber die arbeiten eh mit Zertifikat..

Dumm gelaufen wuerd ich sagen.. Ziemlich peinlich fuer HP, signierte Updates sollten schon viel viel laenger (viel frueher als 2009) Standards sein.

Sogar meine Wireless Logitech Wave Tastatur nutzt AES..

Geh bitte, das ganze ist doch nur lächerlich. An die meisten Netzwerkdrucker kann man vermutlich auch so unlimitiert Druckaufträge senden, ist ja nicht so, dass man sich da für gewöhnlich authentifizieren müsste.
Dazu muss der Angreifer nicht mal die FW manipulieren.

Außerdem, wie bitte soll der Drucker ein Einfallstor für Netzwerkangriffe sein? Wenn ich auf den Netzwerkdrucker Zugriff hab, bin ich bereits im Netzwerk und kann vermutlich viel Schlimmeres anstellen.

Wuerde ich so nicht unterschreiben. Stellen Sie sich vor, Sie sind in einer Uni/Schule/Groesseren Firma. Da gibt es wahrscheinlich schon interessante Dokumente - obs jetzt die Pruefung, die Matura, die Gehaltsliste der Manager, E-Mails etc ist - sie koennten alles direkt am Drucker abfangen.

Wenn sich jemand die Arbeit macht und solche eine Software schreibt (ist halt wenige Wochen Arbeit) und online stellt, koennten auf einmal alle in der Welt sich die HP Druckdokumente stehlen und schauen was ausgedruckt wird.

Ich finde das ganze nicht so sehr weit hergeholt.

Da ist es einfacher, einen Sniffer parallel zum Drucker ans Netz zu hängen und einfach den ganzen Netzverkehr aufzuzeichnen, der an den Drucker geht.

Dasselbe trifft ungefähr auf alle möglichen Geräte zu welche einen Updatemech. für Firmware haben. Wieder mal eine NoNaNet Ente... Hauptsache man hat es in einen Artikel geschafft.

Was kommt als nächstes?
User können Ihre Dateien freigeben? OH GOTT!

z.B:

http://wiki.debian.org/SecureApt

und das ist auch gut so! OS Updates bzw. im Falle von den Repos bei *Nix auch die Updates für Applikationen müssen einfach signiert sein.

Macht MS, die Linux Distros, *Bsd ...

a running Printer!

nun steht in der Überschrift: Forscher.

Wird das nun zur nächsten Lachnummer bei Talk-Shows?

Früher waren die Experten forsch.
Jetzt sind sie forscher... ;o)

Forsche Forscher forschen

Macht nix, dass hier eine Sicherheitslücke ist. Der HP Drucker bei mir auf Arbeit ist eh meistens kaputt!
;-)

war mein letzter HP LaserJet kurz nach Ablauf der Garantiezeit kaputt. Genauso wie mein HP Bildschirm davor. (Ironie Ende)