Secure Printing
Datenschleuder Netzwerkdrucker

Der Feind im Haus

Secure Printing

Das papierlose Büro ist trotz E-Mail immer noch Fiktion. Millionen von Dokumenten werden tagtäglich ausgedruckt, die meisten davon in Büros auf netzwerkfähigen Laserdruckern. Manche Dateien sind sogar so vertraulich, dass sie ausschließlich gedruckt werden und nicht etwa per E-Mail verschickt. Der Feind könnte ja den Mailverkehr mithören.

Dummerweise tut er das aber auch, wenn Files gedruckt und nicht per E-Mail verschickt werden. Ganz gleich, ob simple Word-Dokumente, komplexe grafische Illustrationen oder 3D-Konstruktionszeichnungen Datenschnüffler fangen den Druckjob zwischen Rechner und Printer ab, ohne dass der unbedarfte Druckernutzer davon Notiz nimmt.

Da laut einer Studie des amerikanischen Secret Service fast 85 Prozent aller Cyber-Attacken aus dem inneren Unternehmensnetzwerk heraus geschehen, ist das Gefahrenpotenzial immens. Der Feind sitzt also meist im eigenen Haus. Muss er auch, denn über das Internet kommt er mit den weiter unten genannten Tools zum Glück nicht an fremde Druckdaten.

Den Schnüfflern auf der Spur

Secure Printing

Doch wie kommen die Lauscher unbemerkt an die Druckjobs? Die leider erschreckend simple Antwort: Mit der Kombination dreier Freeware-Tools aus dem Internet. Und wie kann sich ein Unternehmen gegen solche Attacken schützen? Zum Glück auch vergleichsweise simpel und mit moderatem finanziellen Aufwand. Am sichersten sind natürlich lokale Drucker, die per USB oder Parallelport an nur einem Rechner hängen. Wo kein Netzwerk, da kein Lauschangriff.

Das eigentliche Abhören wird durch das Fehlen einer Verschlüsselung von Druckdaten erst möglich gemacht. Ganz egal, ob per Postscript oder PCL (Printer Control Language) zwischen den PCs und den Druckern kommuniziert wird, der Inhalt der TCP/IP-Datenpakete ist immer uncodiert. Somit muss ein Angreifer lediglich an den kompletten Datenaustausch zwischen Rechner und Netzwerkprinter kommen und kann dann die gedruckte Datei wiederherstellen. Um den Datenaustausch mitzubekommen, muss der Angriffs-Rechner noch nicht einmal in der Nähe des Druckers oder der Client-PCs stehen. Es genügt, wenn er per Ethernet-Switch im gleichen Netzwerk hängt.

Zum Mitschneiden des Datenstroms dient der weithin bekannte und völlig legale Netzwerkanalysator Ethereal. Diese Freeware wird von Millionen Netzwerkadministratoren auf der ganzen Welt zur Fehlersuche im lokalen Netz verwendet. Das Programm ist unter anderem wegen seiner wirkungsvollen Funktionen sehr beliebt.

Gute Tools, böser Einsatz

Secure Printing

Die Suche nach Druckjobs in einem per Ethereal mitgeschnittenen Dumpfile ist denkbar einfach, da Windows-Clients standardmäßig über einen festen TCP-Port drucken. Verwirft der Angreifer also allen anderen TCP-Traffic per Filter, bleiben nur Druckjobs übrig. Ist das erste Datenpaket eines Printjobs identifiziert, kann das Programm alle folgenden Pakete nach einem Rechtsklick durch den User erkennen und diese in eine Datei speichern. Geschieht das im RAW-Format, ist der Dateiinhalt ein lupenreines Postscript- oder PCL-File aus TCP/IP-Datenwust wird ein Druckerfile.

An dieser Stelle kommt das zweite Freeware-Tool zum Einsatz. Denn Windows kann per se ja nichts mit Postscript-Dateien anfangen. Sichtbar macht diese beispielsweise Ghostview. Ein Doppelklick auf das von Ethereal erzeugte File genügt und schon verrät Ghostview dem Angreifer, was der unwissende Druckernutzer zum Printer geschickt hat. Für die Anzeige von belauschten PCL-Druckjobs müssen kommerzielle Anzeigetools wie zum Beispiel Swiftview oder EscapeE zum Einsatz kommen.

Ethernet-Switches gegen Lauscher

Secure Printing

Zumindest helfen Switches, wenn der Angreifer technisch kaum bewandert ist. Dann blockt ihn die Switch-Architektur: Das Gerät leitet die Datenpakete gezielt an einzelne Ports. Es kommen also immer nur die Pakete an einem Port an, die den daran angeschlossenen Rechner/Drucker erreichen sollen. Genau wie ein Briefträger die Post durch den passenden Briefschlitz wirft und nicht alles auf einen großen Haufen in den Hausflur kippt. Alle übrigen Ports bekommen vom Traffic der anderen nichts mit.

Nachdem der Switch offenbar nicht so ohne weiteres zu überlisten ist, muss der Angreifer seine Opfer in dem Fall Rechner und Drucker dazu bringen, den Traffic zum attackierenden Rechner zu schicken. Ohne Man-in-the-Middle-Attacke ist einem geswitchten Netzwerk also nicht beizukommen.

Den Befehl zur Umleitung der Rechner schickt die Daten nicht ans Netzwerk-Gateway, sondern zum Angreifer gibt ein Angreifer-Tool, das ARP-Poisoning (Adress Resolution Protocol) beherrscht. Das Tool gaukelt dem Opfer vor, dass der angreifende Rechner das Gateway ist. Nachdem alle Datenpakete erstmal zum Gateway müssen, muss das Opfer den Traffic auf dem Silbertablett zum Schnüffler weiterleiten.

Wird also zuerst ein solches ARP-Poisoning-Tool aufs Netzwerk losgelassen, kann das auf dem gleichen Angreifer-PC laufende Ethereal auch Datenpakete auffangen, an die es sonst nicht käme. Die Tools bilden eine Kaskade der Datenspionage.