Vlákno názorů k článku Postřehy z bezpečnosti: vyhoďte už konečně ty faxy! od kallsyms - Přednášku What the Fax - o hacknutí faxu...
-
Přednášku What the Fax - o hacknutí faxu (nebo jak je dnes běžné multifunkční fax+scanner+tiskárna) fakt doporučuji: https://media.ccc.de/v/35c3-9462-what_the_fax
Nejtěžší bylo získat správný kód pro exploit, protože prý tiskárny nelze jednoduše debugovat. Ani přes JTAG. Že ten software má podivné komponenty jako SpiderMonkey (klientská implementace Javascriptu) už není tak překvapivé.
Pointa fax hacku je to, že použili zapomenutou vlasnost faxu - Color Extension. Tím pádem místo poslání TIFF poslali JPEG a dostali se do málo otestované větve kódu. Buffer overflow a code execution. Dále lze exploitovat interní síť, např. přes ETERNALBLUE nebo další klasiky. Nejspíše tato síť nebude oddělena od vnitřní sítě.
Důvod, proč je ten fax nebezpečný je, že např. v USA je HIPAA zákon, který po poskytovatelích zdravotní péče vyžaduje mít fax.
-
TM (neregistrovaný)
Resil jsem cca rok a pul zpatky u jednoho maleho penzionu v lazenskem meste take fax - presli k jinemu operatorovi a analogova linka pro fax se musela udelat pres nejaky SIP analog prevodnik. Ptal jsem se proc tam tan fax maji - pry pojistovna posila udaje o klientech zasadne faxem a neni zadna metoda jak to zmenit.
Druhy pripad - firma vyrabi plastove vyrobky a dodava je do shopu jako je Obi,... do Cech a Nemecka. Kdyz chcete posilat do nemeckeho obi objednavky a dodaky, tak proste pres fax (je to prece proverena a spolehliva technologie).. -
TM (neregistrovaný)
jasne, takovych sluzeb je spoustu (faxuj.cz,...), ale vetsinou je to na prijem faxu. Tady vznikaly problemy pri odesilani faxu do nemecka takze maji jeste stary stroj s winXP kde maji strcenou modem pci kartu a do toho je pustena telefonni linka a nejaky historicky soft tam zachytava faxy... nastesti to jde mimo me a nemusim si toho vsimat :-)
-
Trident (neregistrovaný)
To je takovy problem udelat scan/foto pres nejakou multifunkcni opicarnu a poslat to pres ty faxove GW jako je uvedene vyse? Je to mnohem spolehlivejsi nez honit faxy pres SIP, nehlede na to ze spousta VoIP bran a i provideru ani neumi T.38.
Vetsina sroubovaku ani nema zaklady telekomunikaci a tak honi analogovy fax pomalu pres GSM kodek a pak se divi proc jim to nejde. Kdyz nahodi G711 tak se divi ze projde jeden fax z peti protoze narozdil od klasickych TDM linek je u kliose sileny jitter nehlede na ztratovost -> opet zabijak pro faxy ktere pres frantu wifinare nebehaji pres T.38 (kolik lidi ma vubec ten funkcni konfig?Ani beznyho kancl PC sroubovaka co chodi zivnostnikum odvirovavat peckudnes clovek nesezene ktery ty veci umi resit jednoduse...
-
TM (neregistrovaný)
Jsou to zakaznici, kteri zavolaji jen kdyz neco potrebuji.. udelat u nich neco jako systemove reseni nevim jak prosadit... u toho prvniho zakaznika (komunikace s pojistovnou) - kdyz jsem se ho zeptal kolik faxu mu prijde tak rikal ze asi 2 za rok.. nechapu logiku platit kazdy mesic za tel. linku jen pro fax a mit z toho za rok mozna dva zakazniky.
U te druhe firmy (analog. fax/modem karta v pc) - co u nich funguje, na to se proste nesaha. Takze tam jedou na XP, kvuli specifickemu mustku z terminalu do Ekonom system nemuzou z XP udelat upgrade na win 7 64 bit (na 32 bit ano) - mustek udelal syn byvale zamestnankyne a uz rok a pul mu to nejde predelat pro novejsi verze (spis se mu nechce) takze tam jen udrzuju muzeum v chodu a cekam kdy neco chcipne definitivne a budou muset situaci resit... -
Trident (neregistrovaný)
Je treba to prezentovat jako ze usetri a nebudou muset provozovat dalsi zarizeni - role termopapiru/nebo papir do multifunkcniho zareizeni, napajeni, opravy. Pri soucasnych cenach faxovych sluzeb je navratnost takove investice jen na pausalech za linku 2 roky - a to neni jednano s obchodnikem o lepsi cene
Pokud pevnou potrebuji i mimo fax tak nechapu proc si nezridi faxovou schranku treba k hlasove a z ni nechat posilat faxy emailem. Ta sluzba je i u takovych vydriduchu jako O2 zdarma. A byla dostupna zdarma i pred vice nez 10ti lety tehdy snad u CTc v ramci memoboxu. Jini poskytovatele co nabizi sluzby pro male firmy/zivnostniky to maji jako moznost k virtualni ustredne.Spis se jedna o to ze obecne lidi nejsou ochotni zmenit zavedene postupy a z ciziho krev netece. Marka proste vezme papir a pripichne k fakturam. Tak to dela od roku 1993 ... Marka proste vezme papir a soupne ho do faxu misto aby dala tisk na faxovou virtualni tiskarnu...
Nevim co si predstavit pod pojmem "mustek". Konektor? Interface?
-
pike (neregistrovaný)
a asi taky bylo dobré změnit ten obrázek toho faxu v hlavičce toho článku za nějaký smysluplný typ - protože toho zařízení co je na tom obrázku se to fakt netýká - navíc to závání "odborností" typu LžiDnes - kde není problém k havarií ultralightu dát ilustrační fotku Boeingu 747.
Zařízení, jichž se to týká:
https://support.hp.com/us-en/document/c06097712 -
pepa (neregistrovaný)
a umíš jako ČÍST? Ta zranitelnost (viz ty obě cve) se netýká žádných "faxů", ale multifunkčních krabic (inkjet tiskárny) firmy HP, přičemž některé z toho seznamu umí i faxovat.
Takže není sebemenší důvod, aby předmět na fotce byl od jiné firmy než HP a hlavně tam nemá co dělat klasický fax.
Díra se týká konkrétních výrobků HP a ne obecných faxů. -
Lad (neregistrovaný)
Co vim, tak z hlediska zakona se vetsinou bere fax a ne email. Tzn. pokud budu chtit neco elektronicky poslat a mit jistotu, ze to je akceptovane i z hlediska zakona, tak jedine faxem. Nejsem si jisty, ze legislativa postavila email na stejnou nebo vyssi uroven nez byl a je fax ...
