Mit ihrem Vor­trag “What The Fax?! – Hack­ing your net­work like it’s 1980 again” am 35C3 (dem 35. Chaos Com­mu­ni­ca­tion Con­gress) haben die bei­den Secu­ri­ty­for­scher Yaniv Bal­mas und Eyal Itkin dem Publi­kum auf­ge­zeigt, dass der Fax nun defi­ni­tiv ins Museum gehört. Unter Lie­fe­ran­ten, Spi­tä­lern, Gerich­ten, Anwäl­ten etc. wird diese Uralt­tech­no­lo­gie (sie ist älter als ich und ich bin Mitte dreis­sig…) immer noch rege genutzt und hat das Poten­tial, zum Secu­ri­ty­de­sas­ter zu werden. 

Mit einer prä­pa­rier­ten Fax­nach­richt konn­ten die bei­den For­scher ein han­dels­üb­li­ches Fax­ge­rät von Hew­lett Packard kapern, das sich in so man­chem Büro fin­det. Von dort aus ist es ihnen dann auch ein Leich­tes gewe­sen, im ein­mal pene­trier­ten Netz­werk auf Pirsch nach wei­te­ren Gerä­ten zu gehen. Es ist höchs­tens eine Frage von Wochen, bis sich die ent­spre­chen­den Exploits im Inter­net fin­den und in Pen­test­ing Frame­works wie metas­ploit etc. Ein­zug finden.

Slide aus dem Vor­trag “What The Fax?! – Hack­ing your net­work like it’s 1980 again” von Yaniv Bal­mas und Eyal Itkin vom 27.12.2018 am 35C3 .

Der Kan­ton Luzern hat schon vor einem Jahr damit begon­nen, den Fax abzu­schaf­fen. Offi­zi­ell gibt es in der Luzer­ner Kan­tons­ver­wal­tung keine Faxe mehr. Nicht etwa wegen Sicher­heits­be­den­ken, son­dern um Kos­ten zu spa­ren. Hier aus­nahms­weise ein­mal nicht am Per­so­nal (wie z.B. bei den Gerich­ten und den Staats­an­walt­schaf­ten), son­dern rich­ti­ger Weise bei Alt­las­ten wie dem Fax. Ver­ein­zelt sieht man frei­lich immer noch ein Fax­ge­rät herumstehen. 

Wenn ich jewei­len auf der Geschäfts­kon­trolle bei einer Instanz anfrage, ob ich das eine oder andere Doku­ment nicht auch per Mail erhal­ten könnte, heisst es meis­tens, “Nein, das geht lei­der nicht, das ist zu unsi­cher. Wir faxen es Ihnen aber sofort.” Wenn man Fax für siche­rer als Email hält, ver­kennt man, dass heute die meis­ten Faxe irgend­ein­mal in ein digi­ta­les Paket umge­wan­delt wer­den und ohne jede Ver­schlüs­se­lung über die Lei­tun­gen der ver­schie­de­nen Pro­vi­der gehen, bis es dann bei mir ankommt. 

Nun kommt – was schon lange ver­mu­tet wurde – dazu, dass sogar das Fax­ge­rät sel­ber angreif­bar ist. Die Ver­trau­lich­keit von Fax war bis­her schon by Design nicht gege­ben und nun gerät sogar zusätz­lich die Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit des Emp­fän­ger­net­zes in Gefahr. Ich erwarte mit Span­nung die ers­ten Hackermeldungen.