Interview mit dem Teenager, der aus Langeweile 150.000 Drucker gehackt hat

Titelbild: Adam Engelhart | Flickr | Lizenz: CC BY-SA 2.0

Es ist Samstagabend, der 4. Februar 2017: Ein nach eigenen Angaben „angepisster Schüler" sitzt in Großbritannien vor seinem Computer. Zu den Klängen von Bones und Yung Lean verschlüsselt er ein Rootkit, eine Sammlung an Softwarewerkzeugen, die unautorisierten Nutzern die Kontrolle über ein Computersystem ermöglichen. Inspiriert von Nachrichtenmeldungen über gehackte Drucker, schreibt er kurzerhand sein eigenes Programm in C.

Kurze Zeit später fangen ungefähr 150.000 internetfähige Drucker auf der ganzen Welt an, mysteriöse Nachrichten auszuspucken. Da viele der betroffenen Drucker an Buchungssysteme von Restaurants angeschlossen sind, starren reihenweise verwirrte Kellner auf die ASCII-Roboter, die aus ihren Belegdruckern quillen. Die Ausdrucke informieren die Besitzer der Drucker darüber, dass ihre Geräte „Teil eines lodernden Botnets" sind. Der Hacker „Stackoverflowin" erklärt sich für den Stunt verantwortlich.

Die beeindruckende Übernahme von Stackoverflowin ist nicht der erste Drucker-Hack, der dieses Jahr Schlagzeilen gemacht hat. So wurden im Januar Internet-Drucker an mindestens drei großen US-amerikanischen Universitäten – Stanford, Vanderbilt und die University of California – gekapert und für das Drucken antisemitischer Flyer verwendet. In derselben Woche veröffentlichten Forscher der Ruhr-Universität Bochum ein Paper über die Sicherheitsrisiken bei Druckern und eröffneten gleichzeitig ein Wiki, um derartige Übergriffe zu dokumentieren. Wenige Tage später lenkte Stackoverflowin durch seine Aktion noch mehr Aufmerksamkeit auf das Sicherheitsproblem.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Um mehr über den Hacker hinter den jüngsten Drucker-Attacken zu erfahren, habe ich Stackoverflowin über Ricochet, eine anonyme Messenger-App, kontaktiert. Wir haben über die Sicherheit des Internet of Things, Hintertüren in chinesischen Produkten und seine unverhohlene Abneigung gegen „skids" gesprochen – kurz für Skript-Kiddies, unerfahrene Leute, die Skripte oder Programme zwar dazu benutzen, Computer zu attackieren, aber unfähig sind, ihre eigenen Programme zu schreiben.

Motherboard: Du sagst , dass du die Drucker-Attacke gestartet hast, um auf Sicherheitslücken aufmerksam zu machen – wie hast du das gemacht und wie können sich Endnutzer schützen?
Stackoverflowin: Ich habe den Druckern über das LPD-Protokol (Port 515), IPP (Port 631) und Port 9100 Druckaufträge geschickt. Gleichzeitig nutzte ich RCE [Remote-Code-Execution, diese Ausführung ermöglicht es, aus der Ferne auf Endgeräte zuzugreifen und dort Änderungen vorzunehmen], um die Xerox Systemsteuerung zu beeinflussen. So konnte ich nach Belieben Druckaufträge erstellen und mein eigenes PostScript-Schriftformat verwenden. Ehrlich gesagt sollten die Leute wenn möglich ihre Drucker vom Internet nehmen. Wenn sie die Internetverbindung unbedingt brauchen, sollten sie eine weiße Liste für sichere IPs erstellen und alle anderen IPs blockieren oder einen VPN-Zugang zum lokalen Netzwerk verwenden.

Ich nehme an, dass du den Prozess für die Druckaufträge automatisiert hast?
Genau, ich habe dafür ein kleines Programm in C geschrieben.

Auf den Ausdrucken konnten die Leute lesen, dass ihre Geräte Teil eines Botnets seien, obwohl das gar nicht stimmte. Warum hast du das gemacht?
Das war einfach das Erste, was mir in den Sinn kam. Angesichts der wachsenden Sicherheitsbedenken beim Internet of Things, fand ich es angemessen.

Warum hast du dich ausgerechnet für Drucker entschieden? Hat dich vielleicht das Paper der Ruhr-Universität Bochum darauf gebracht oder interessierst du dich generell für die Internet of Things-Problematik?
Ich habe mich vor ein paar Monaten schon einmal mit Druckern beschäftigt und experimentiert. Nun haben mich ein paar Artikel wieder auf das Thema gebracht. Ich versuche schon seit Anfang 2015 das IoT-Chaos zu bereinigen. Durch die Einrichtung von Honeypots konnte ich jeden nennenswerten IoT-Bot identifizieren.

Die Sache wurde aber erst durch die Malware Mirai so richtig interessant, als die Öffentlichkeit plötzlich auf das Problem aufmerksam wurde. Ich glaube, dass die meisten Leute beim Internet of Things nicht zuerst an Drucker denken. Von dem IoT-Sicherheitsrisiko sind jedoch vor allem DVRs, Router und Drucker betroffen. Ich bin der Meinung, dass die Medien das Thema zu sehr aufblasen. Die Leute glauben ja, dass ihre Toaster jeden Moment angegriffen werden könnten.

Genau, sie fürchten, dass jemand sich an ihrem vernetzten Kühlschrank zu schaffen machen könnte und ihre Milch schlecht wird.
Beim Internet of Things kann unglaublich viel schief gehen. Der Großteil der Geräte, die in Angriffen verwendet werden, werden von einer Firma verkauft, aber von einer anderen Firma hergestellt – oft von zwielichtigen chinesischen Entwicklern. Das ist nicht rassistisch gemeint. Aber ihr Code ist erschreckend schlecht und bei vielen internetfähigen Geräten gibt es mehrere Software-Hintertürchen.

Lass uns über den tatsächlichen Hack reden. Ich versuche mir die Szene vorzustellen. Es ist Samstag und du sitzt gelangweilt mit einer Tasse Kaffee am Schreibtisch und beschließt einfach etwas zu unternehmen?
Ehrlich gesagt hatte ich nie die Absicht, dass es solche Ausmaße annimmt. Als ich sah, dass 158.000 Geräte reagierten, war ich etwas sprachlos. Ich hatte auch nicht damit gerechnet, dass ich so viel Aufmerksamkeit erhalten würde. Ja, es war Samstag und ich saß da, hörte Yung Lean und trank Kaffee mit zwei Stück Zucker. Ich glaube, ich war gerade dabei, meine Linux-Programmierfähigkeiten in einem Testprogramm zu verbessern – ich dachte, das wäre mal eine Abwechslung, da ich mich schon lange mit dem Benutzermodus beschäftigt hatte und das langsam langweilig wurde. Oder vielleicht arbeitete ich den Abend auch gerade an meinem LD_PRELOAD Rootkit. Ich war an dem Abend ehrlich gesagt einfach gelangweilt.

Einige Ausdrucke hast du mit dem Namen Michael Jensch unterschrieben und laut deines Twitter-Accounts bist du ein 23-jähriger Forscher in Deutschland. An anderer Stelle hast du jedoch angegeben, dass du ein Schüler aus Großbritannien bist.
Ach, das ist ein Freund von mir. Er hat mich gebeten, das zu tun. Ich bin aus Großbritannien. Ich bin Schüler. Ein angepisster Schüler, der sich die Zukunft in der Informatik verbaut hat.

Das kann ich mir nicht vorstellen, schließlich weiß ja niemand, wer du wirklich bist.
Nein, ich meine im echten Leben. Ich habe nicht die Noten, die ich gerne hätte. Ich schätze, ich werde den Rest meines Lebens mit solchem Mist verbringen.