Dokumenten-Management
Drucker-Management im Unternehmen
Diese klassische Man-in-the-Middle-Attacke funktioniert auch in einem geswitchten Netzwerk. Zwar ist es richtig, dass ein Ethernet-Switch die Datenpakete nur an den jeweils als Empfänger vorgesehenen PC weiterleitet und alle übrigen Stationen davon nichts mitbekommen. Kommt jedoch ein ARP-Spoofing-Tool zum Einsatz, fällt diese Hürde, da das Programm jeden beliebigen Client dazu anweisen kann, sämtlichen Netzwerkverkehr zum Lausch-PC zu schicken, anstatt zum eigentlichen Gateway. Es ist also ohne weiteres möglich, dass der Praktikant all das mitliest, was der Vorstand zum Drucker schickt. Der PC des Lauschers schreibt die Daten mit Hilfe des zweiten, quasi auf dem ARP-Spoofing-Programm aufsetzenden Tools mit, bevor sie zum ursprünglichen Ziel weitergeleitet werden. Somit bekommt das Opfer nichts mit vom Lauschangriff.
Hat der Angreifer die Druckjobs aus dem Datenstrom gefiltert, macht er das darin befindliche Dokument mit entsprechenden Tools - abhängig von der Druckersprache Post Script oder PCL kommen unterschiedliche Programme zum Einsatz - wieder sichtbar.
Wirksamen Schutz gegen diese unbemerkte Schnüffelei bieten mehrere Wege, teilweise zum Nulltarif:
-
Kein Mitarbeiter sollte Administratorenrechte für seine Arbeitsstation haben. Dadurch wird die Installation der Tools verhindert.
-
Fremden und somit nicht zu kontrollierenden PCs oder Notebooks sollte per (MAC-Adress-)Filter der Zugriff auf das interne Netz verwehrt bleiben.
-
Drucker und Clients sollten durch einen IP-Router in unterschiedliche IP-Subnetze gepackt werden. Dann laufen ARP-Spoofing-Attacken ins Leere, da sie nur im gleichen Subnet funktionieren.
-
Der Datenstrom zwischen Clients und Druckern sollte durch zusätzliche Produkte wie zum Beispiel die Druckserver von SEH verschlüsselt werden.
Mehr als nur ein Drucker: Multifunktionsgeräte
Kaum jemand macht sich Gedanken über das Innenleben eines Druckers. Dabei sind leistungsfähigere, netzwerkfähige Drucker, die sich aus Kosten- und Effizienzgründen als Abteilungsdrucker großer Beliebtheit erfreuen, eigentlich vollwertige PCs/Server: Die Geräte haben ein Betriebssystem - oft NetBSD -, einen vollwertigem IP-Stack (Telnet, SMNP, FTP, SMTP et cetera) und meist auch integriertem Webserver. Viele Netzwerk-MFPs haben zudem integrierte Festplatten. All diese technischen Feinheiten sprechen stark dafür, dass die Geräte nicht als dumme Drucker behandelt werden, sondern dem gleichen Regelwerk unterworfen werden sollten, wie alle übrigen Netzwerkgeräte.
Insbesondere die Betriebssysteme und Serverkomponenten der MFPs sind oft ein leichtes Ziel für Angreifer. So sorgte im Jahr 2006 die Entdeckung eines US-Sicherheitsexperten für Aufregung, der große Sicherheitslücken in den Xerox-Work-Centre-Modellen entdeckte. Durch die Lücken war es einem Angreifer möglich, binnen Minuten die komplette Kontrolle über den Drucker zu erlangen und beispielsweise alle auf der internen Festplatte gespeicherten Dokumente auszulesen.