Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

Een hacker heeft een exploit ontwikkeld waarmee op relatief eenvoudige wijze netwerkprinters zouden kunnen worden misbruikt om bijvoorbeeld van afstand printopdrachten uit te voeren.

Met behulp van een simpel stukje javascript is het mogelijk printers via de browser aan te sturen. De exploit maakt gebruik van het feit dat steeds meer printers een netwerkverbinding hebben en vaak standaard op poort 9100 naar printopdrachten luisteren. Met de gepresenteerde proof-of-concept hack is het mogelijk om met behulp van een webformulier simpele ascii-art naar de printer te sturen.

Een spammer kan een stapje verder gaan door pcl in javascript te gebruiken. Op die manier kunnen postscript-commando's naar een printer worden gestuurd. Zo is het mogelijk ook complexere printjes, waaronder zogenaamde banner-pagina's die bij elke printopdracht afgedrukt worden, naar kwetsbare printers te sturen. Hoewel postscript meer mogelijkheden biedt, kunnen meer printers met de ascii-methode overweg en derhalve aangevallen worden.

Wanneer een spammer de behoefte voelt, kan een stukje html automatisch vertaald worden naar postscript-opdracht. Door een webpagina met de printercode in bijvoorbeeld een iframe rond te sturen, kan de printerspam een bedrijfsnetwerk binnendringen. De netwerkprinter die de spam moet afdrukken kan vervolgens gevonden worden door het interne netwerk 'brute force' af te lopen. Hoewel massale spamaanvallen via de printer niet direct te verwachten zijn, kan toegangsbeperking tot de printer, met wachtwoorden of via netwerkrestricties, het probleem verhelpen.

Spam door printertoegang via browser
Moderatie-faq Wijzig weergave

Reacties (71)

Ik denk niet dat dit voor bedrijven zo'n probleem gaat opleveren.

Ten eerste hebben printers waarschijnlijk al geen toegang tot Internet omdat ze achter een firewall zitten.

Ten tweede lijkt me dat iedere zichzelf respecterende beheerder/IT-afdeling wel een password op de printerconfiguratie zet.

Overigens is papieren overlast niet helemaal nieuw, een jaar of 5 terug stuurde het Bugbear-virus zichzelf ook al naar alle netwerkprinters die het kon vinden waardoor er behoorlijk wat overlast ontstond.
Dat ze achter een firewall zitten is niet relevant.
Het is de client (binnen het netwerk) die de printopdrachten verstuurd. Door een javascript op een pagina die gehackt is.

Elke client moet toch printopdrachten kunnen sturen naar de printer, spam of niet, dat kun je er niet uithalen.
Klopt, elke client moet in principe kunnen printen. Maar je kan wel overwegen of je dat via port 9100 moet doen of via bijvoorbeeld LPR of een fabrikant-specifieke poort. Of de poort aanpassen naar iets anders, de meeste printers die bedoeld zijn voor zakelijk gebruik ondersteunen dat tegenwoordig wel volgens mij
Thuis is hier een hele makkelijke oplossing voor en dat is zelfs nog beter voor het milieu ook... printer gewoon afzetten.

Kijk dat dit niet gaat in bedrijven is te begrijpen, maar een wachtwoord op een bedrijfsprinter zetten is volgens mij ook geen rocket science, kan de baas meteen bijhouden of je niet iets te veel print :P

Op scholen is dit een ander verhaal, leerlingen en docenten moeten daar vaak al een code opgeven om te kunnen printen of betalen voor het printen - uit mijn ervaring in ieder geval. Dat betekend dus ook dat je niet gaat betalen voor een pagina waar je niets mee van doen hebt.

Persoonlijk beschouw ik dit wel als grappig maar nog niet echt een echte serieuze bedrieiging. Het kan natuurlijk wel lastig zijn als je printer spool vol wordt gestouwd met zooi, maargoed als de gebruiker dan de printer aanzet (!) dan ziet hij/zij ook dat er rotzooi uitkomt. De meeste mensen zullen de printer hierop uitzetten en de computer opnieuw opstarten of een handig computerneefje/dochter/zoon/etc halen.

Overigens vind ik het wel goed dat dit toch als nieuws wordt bestemepelt, want dan kun je er wel aware op zijn, zeg maar.
Naja of je hebt een printer die automatisch aan gaat als je een opdracht geeft. Mijn HP printer doet dat... dus uitzetten heeft ook niet altijd zin :P
Het werkt wel. Heb het hier getest binnen een toch heel groot bedrijf die alles toch netjes op orde heeft met tich servers, firewalls en een stuk of 100 netwerk printers. Heb het natuurlijk wel alleen maar naar de lokale printer van de afdeling gestuurd.

Printer komt mooi met een A4'tje text.

Het begint met een hele zooi data:
Welk programma de opdracht heeft gestuurd,
van welke site de opdracht komt,
Language,
Encoding,
Charset,
...........

Daarna volgt het bericht.
Kan javascript zomaar op je lokale netwerk lopen chatten? Op lokale netwerken staat wel vaker spul open ompdat lokaal verkeer vertrouwd wordt.

Wellicht is het beter browsers met javascript dan in een virtuele(virtule mahicne of citrix) en onschadelijke omgvingen op te starten.
Kan javascript zomaar op je lokale netwerk lopen chatten
Het is geen chatten, het is eenrichtingsverkeer naar een bepaalde poort - dat deze bedoeld is voor printer-code, dat zal de browse een worst zijn.

Het beste is dat de printer HTTP verkeer herkent en deze dan gaat negeren, het meest praktische en snelst haalbare is dat browsers alle pogingen tot het connecten naar poort 9100 gaan blokkeren...
Gewoon scripting uitzetten:

http://noscript.net (alleen voor firefox)
Ja dat is de perfecte oplossing.
Men ontwikkeld prachtige scripting technologieën om te uiteindelijk uit te schakelen 8)7
Vertel er dan ook eens bij hoeveel website's niet zullen werken, ik denk al bv aan AJAX websites, geen enkele werkt nog.
Als je bepaalde dingen uit/in-schakeld is het altijd een mes die langs 2 kanten snijd. En de perfecte oplossing is er ook nog niet.
Of geen browser gebruiken en nooit op internet gaan!
Das toch niks nieuw. Standaard staat via de jetdirect poort ook SNMP open. Via snmp - set tooltje zou je dus oneindig veel testpagina's kunnen laten afdrukken. Dus zo spannend is die exploit niet.
Via snmp - set tooltje zou je dus oneindig veel testpagina's kunnen laten afdrukken. Dus zo spannend is die exploit niet.
Het gaat niet om testpagina's, maar om spam, oftewel ongewenste reclame. Ik denk dat je vreemd op zal kijken als je 's morgens op kantoor komt om op alle printers pagina's te vinden met blote dames, viagra-aanbiedingen, diploma's en zo nog wat...
Ik denk dat je vreemd op zal kijken als je 's morgens op kantoor komt om op alle printers pagina's te vinden
Als ik het goed hebt begrepen moet je eerst met een browser of mailclient de bewuste code uitvoeren, dus kun je dat nooit 's ochtends in de printer terugvinden. Tenzij je favoriete website ineens gehacked is en op standaard refresh staat en je PC aan laat staan 's nachts.
of er zit adware op een pc, die toevallig ook aan staat :9
mwoh ergens denk ik eigenlijk dat ik angenaam verrast zou zijn als ik een stapel blote damens aan zou treffen, hehe :P


ja, hilarisch.
moet je je printer maar niet zomaar open laten staan :P (herinner me nog een studiejaar bij Fontys, toen we boeken en dictaten van 200+ pagina's moesten printen en alle beveiligingen uit stonden.. heh, helpdesk was niet blij toen ze na een paar dagen door hun voorraad papier heen waren :D )
Ongeveer gelijk bij ons op school, infrarood poort van de printer doet het best :)
Op de TU Delft ook gedaan, maar dan op ambachtelijke wijze. Adminwachtwoord achterhalen uit een memory dump, nieuwe student met admin rechten maken en printquota uitvinken. (Kon je meteen die irritante headerpagina's personaliseren ;) )
Zelfde bij ons, waar je de netwerkprinter met je eigen laptoppie kunt verbinden om zo om het betaalsysteem van school heen komen kunt.
Bij ons kon je lange tijd op de computers van de derectie!
Gelukkig heb ik een all-in-one, kan ik die spam meteen scannen.
Heb ik alleen nog een versnipper-extensie nodig.
Apart dat dit in 2008 boven water komt en niet in laten we zeggen 1995. Helemaal onschuldig is het bepaald niet. Je kunt immers iedere machine op een intranet bestoken met een tamelijk willekeurige stroom bytes. Printers, routers, computers. Het leuke van een intranet is dat de snelheid er nogal hoog ligt en dat allerlei beveiligingsmaatregelen niet van toepassing zijn op deze veilig geachte zone. Asynchrone Ajax connecties maken het in potentie mogelijk om resultaten terug te sturen naar buiten - zonder dat de gebruiker er iets van merkt. Hoe vaak komt het niet voor dat een site - bijvoorbeeld tweakers - onder een tabblad in een browser een dag open staat? Een brute force attack is dan niet meer kansloos te noemen.

Webpagina's zijn applicaties geworden. Zelfstandige applicaties die weliswaar opereren binnen de context van een webbrowser. De oplossing is In de Unix wereld gemakkelijk te vinden. Webapplicaties zouden als aparte processen moeten draaien, apart van de context van de webbrowser met passende rechten. Dit implementeren in de huidige webbrowsers is waarschijnlijk nog niet zo simpel. Nog afgezien van het feit dat Windows weinig kaas gegeten heeft van een rechten systeem op proces/ applicatieniveau.

De wijze les op ieder intranet is intranet niet anders te behandelen dan Internet. Dus natuurlijk moeten die printers beveiligd zijn.
En een externe hacker moet wel eerst ín het LAN komen voordat'ie dit kan...
en interne spammers kun je zo opsnorren lijkt me zo! :O
Dat is dus niet zo.
Als je iets in elkaar fixt in bv Javascript, wordt dit client side uitgevoerd. Alleen wordt het gissen naar het IP van een printer.. Maar goed je kan het bv ook naar de locale ip reeks sturen.
Dat is niet helemaal waar. Als je op een internetpagina op een 'print dit' knopje klikt, rolt het toch echt uit je eigen printer, ook al staat de bron op een server aan de andere kant van de wereld.

Enige verschil met deze hack, is dat er gezocht wordt naar alle printers op het netwerk die open staan ipv alleen de door jou geselecteerde printer. Op kantoren van grote brdrijven, waar elke afdeling zijn eigen, gedeelde, printer heeft, kan je in 1x een x aantal spam berichten naar buiten laten rollen.

Moet er nog steeds een actie plaatsvinden door de gebuiker natuurlijk, maar de ervaring leert ons dat dat niet zo'n heel groot probleem is... ;)
Nee, het "aardige" van deze hack is dus dat er geen gebruikersinterventie nodig is. Javascript "praat" direct met de printer. En je collega's zich maar afvragen waarom jij viagra advertenties uit zit te printen...
Nou ja, met 'actie van de gebruiker' bedoelde ik ook meer het lokken van die gebruiker naar een website. Natuurlijk is het daarna automatisch dankzij de Javascript.
Gewoon iemand naar een website lokken, de javascript doet de rest.
hmm je printer moet wel aan staan hiervoor natuurlijk, en het is geen script die gelijk gaat printen als je je printer aan staat. meeste mensen zijn hier dus wel veilig voor denk ik.. alleen bedrijven, die vaak een paar centrale printers hebben gaan hier echt last van krijgen (als deze hack veel toegepast gaat worden)
Mijn HP deskjet 940c is aangesloten via USB op de computer. Zodra de computer wilt printen zet de printer zichzelf aan. Dus een thuis gebruik is niet veilig zolang deze optie beschikbaar is op de printer van de gebruiker.
maar het gaat over netwerkprinters. Je printer op usb is dus veilig.
Je printer op usb is dus veilig.
Het is ook mogelijk om vanuit je browser zonder popup te printen, dus zo veilig is het ook weer niet.
"Helaas" voor die spammerts is dat niet zomaar met elke browser mogelijk en is vraagt dat voor zover ik weet nog wel een paar randvoorwaarden.
Gôh, beetje verbaast, had niet verwacht dat dit ook zo "makkelijk" kan.
Wel grappig trouwens :)
Ben je eindelijk van je spam in je mailbox af, kotst je printer allemaal spam uit...
Gelukkig is een printer makkelijker uit te zetten dan je mailbox.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True