Als moderne Ergo- und
Physiotherapiepraxis mit Standort
in Monheim am Rhein suchen wir
engagierte und motivierte
Physiotherapeuten, die ihre
Karriere in einem dynamischen und
jungen Team beginnen möchten. Bei
uns erwartet Dich nicht nur eine
erstklassige Arbeitsumgebung,
sondern auch attraktive Benefits,
die Deine beruflic...
Physiotherapiepraxis mit Standort
in Monheim am Rhein suchen wir
engagierte und motivierte
Physiotherapeuten, die ihre
Karriere in einem dynamischen und
jungen Team beginnen möchten. Bei
uns erwartet Dich nicht nur eine
erstklassige Arbeitsumgebung,
sondern auch attraktive Benefits,
die Deine beruflic...
Das Fax öffnet einen Angriffsweg[1] der zunächst die in allen halbwegs modernen Faxgeräten die zuletzt versandten Daten und potentiell alle zukünftig verwendeten Daten offenlegt; je nach Einbindung des Faxes in die Netzwerkinfrastruktur aber auch einen Angriff auf die IT-Infrastruktur über das Faxgerät ermöglicht.
Betroffen sind nach aktuellem Kenntnisstand 154 (also praktisch alle) Multifunktionsgeräte von HP, da die Lücke aber auf Standard-Faxalgorithmen aufbaut dürften andere Hersteller ebenso betroffen sein; Nur-Fax-Geräte sind ebenso betroffen wie Cloud-Fax-Dienste, effektiv bedeutet das: Jedes Fax-Gerät das in den letzten 40 Jahren auf den Markt kam ist ein Sicherheitsrisiko.
-> Einzelgeräte sind nur ein bisschen kritisch weil "nur" die dort vorliegenden Daten evt. verlustig gehen
-> Multifunktionsgeräte sind sehr kritisch weil über das Fax ein Angriff auf die restlichen PCs im Netzwerk ausgeführt werden kann. "Firewall" und "Router/fritzBox" helfen nicht weil das Fax als Telefon-Endgerät anders angeschlossen ist.
-> das einzige was für einen erfolgreichen Angriff bekannt sein muss ist die Faxnummer. Und wie man das schädliche Fax erzeugt. Aber: die Lücke wurde von der NSA --National Security Agency, Auslandsgeheimdienst der USA-- seit mindestens 2012 aktiv genutzt, muss also schon vorher bekannt gewesen sein. Anfang 2017 wurde ein großer Fundus an Verschlusssache/Streng Geheimen Sicherheitslücken die aktiv genutzt werden öffentlich zugänglich, d.h. seit da könnten Interessierte bereits auf diese Lücke gestoßen sein.
-> egal wie sehr ihr auf die Sicherheit eurer Anbindung an's Internet geachtet habt: Das Fax bietet einen Tunnel an allen Sicherheitsmaßnahmen vorbei. Effektiv bedeutet das: Solange ihr nicht sicher seid das euer Fax nicht angreifbar ist [HP bietet bereits einen Patch an[2] da sie mit den Entwicklern des Schad-Faxes zusammengearbeitet haben] wäre es gut, das Fax bei Nichtgebrauch aus der Telefondose auszustöpseln, ganz besonders wenn dieses Fax einen Zugang zu eurem LAN bietet (...dann muss ein eventueller Angreifer das Timing gut genug hinbekommen um das Schad-Fax dann zu senden wenn ihr die Leitung gerade nicht mit eurem ausgehenden Fax belegt. Das hilft gegen alle automatisierten Angriffe die Stück-für-Stück alle öffentlich bekannten Faxnummern abarbeiten...)
[1] Faxploit: Breaking the Unthinkable | Check Point Blog : Check Point Blog
[2] HPSBHF03589 rev. 4 - HP Ink Printers Remote Code Execution | HP® Customer Support
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Papa Alpaka schrieb:
Bisher gilt die These, das "Fax" als per Gesetzeskraft geschützter Übertragungsweg eher geringe Probleme aufwirft die durch Mechanismen wie "Doppelte Kontrolle der Ziel-Faxnummer" und "beim Arzt anrufen und anmelden das ein Fax kommt bzw. den Empfang bestätigen lassen" in ihrer Wirkung beschränkt werden können.
Das Fax öffnet einen Angriffsweg[1] der zunächst die in allen halbwegs modernen Faxgeräten die zuletzt versandten Daten und potentiell alle zukünftig verwendeten Daten offenlegt; je nach Einbindung des Faxes in die Netzwerkinfrastruktur aber auch einen Angriff auf die IT-Infrastruktur über das Faxgerät ermöglicht.
Betroffen sind nach aktuellem Kenntnisstand 154 (also praktisch alle) Multifunktionsgeräte von HP, da die Lücke aber auf Standard-Faxalgorithmen aufbaut dürften andere Hersteller ebenso betroffen sein; Nur-Fax-Geräte sind ebenso betroffen wie Cloud-Fax-Dienste, effektiv bedeutet das: Jedes Fax-Gerät das in den letzten 40 Jahren auf den Markt kam ist ein Sicherheitsrisiko.
-> Einzelgeräte sind nur ein bisschen kritisch weil "nur" die dort vorliegenden Daten evt. verlustig gehen
-> Multifunktionsgeräte sind sehr kritisch weil über das Fax ein Angriff auf die restlichen PCs im Netzwerk ausgeführt werden kann. "Firewall" und "Router/fritzBox" helfen nicht weil das Fax als Telefon-Endgerät anders angeschlossen ist.
-> das einzige was für einen erfolgreichen Angriff bekannt sein muss ist die Faxnummer. Und wie man das schädliche Fax erzeugt. Aber: die Lücke wurde von der NSA --National Security Agency, Auslandsgeheimdienst der USA-- seit mindestens 2012 aktiv genutzt, muss also schon vorher bekannt gewesen sein. Anfang 2017 wurde ein großer Fundus an Verschlusssache/Streng Geheimen Sicherheitslücken die aktiv genutzt werden öffentlich zugänglich, d.h. seit da könnten Interessierte bereits auf diese Lücke gestoßen sein.
-> egal wie sehr ihr auf die Sicherheit eurer Anbindung an's Internet geachtet habt: Das Fax bietet einen Tunnel an allen Sicherheitsmaßnahmen vorbei. Effektiv bedeutet das: Solange ihr nicht sicher seid das euer Fax nicht angreifbar ist [HP bietet bereits einen Patch an[2] da sie mit den Entwicklern des Schad-Faxes zusammengearbeitet haben] wäre es gut, das Fax bei Nichtgebrauch aus der Telefondose auszustöpseln, ganz besonders wenn dieses Fax einen Zugang zu eurem LAN bietet (...dann muss ein eventueller Angreifer das Timing gut genug hinbekommen um das Schad-Fax dann zu senden wenn ihr die Leitung gerade nicht mit eurem ausgehenden Fax belegt. Das hilft gegen alle automatisierten Angriffe die Stück-für-Stück alle öffentlich bekannten Faxnummern abarbeiten...)
[1] Faxploit: Breaking the Unthinkable | Check Point Blog : Check Point Blog
[2] HPSBHF03589 rev. 4 - HP Ink Printers Remote Code Execution | HP® Customer Support
Gefällt mir
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
FFGG schrieb:
Toller Beitrag: ausdrucken, wegwerfen, fertig
Toller Beitrag: ausdrucken, wegwerfen, fertig
Das hatte ich auch im Sinn. Dann dürfte ich auch keinen PC benutzen, weil der ja auch gehackt werden könnte.
Patienten dürften dann auch nicht mehr in der Praxis anrufen... könnte ja die NSA mithören.
Hier kann ich nur sagen... Mir doch egal :smile:
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Wonderwoman schrieb:
FFGG schrieb am 16.8.18 08:32:
Toller Beitrag: ausdrucken, wegwerfen, fertig
Das hatte ich auch im Sinn. Dann dürfte ich auch keinen PC benutzen, weil der ja auch gehackt werden könnte.
Patienten dürften dann auch nicht mehr in der Praxis anrufen... könnte ja die NSA mithören.
Hier kann ich nur sagen... Mir doch egal :smile:
"Hier" reicht der Empfang eines Faxes über die Telefonverbindung um das Faxgerät zu übernehmen und damit Zugang zur Sicherheitszone "lokales Netzwerk" zu haben.
Das reicht aus um z.B. windowsbasierten Geräten via Remote Procedure Call einen Sprachbefehl unterzujubeln der von Cortana ohne weitere Prüfung ausgeführt wird da angenommen wird das Sprachbefehl und Bestätigung von einem legitimen, im Raum befindlichen Nutzer kommen. Für jemanden der weiß wie ist das trivial.
Öffentlich ist dieser Angriff "frisch", es dürfte aber nicht lang dauern bis es die ersten systematischen Angriffe mit schädlichen Faxen gibt...
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
...Korrektur: PCs als Angriffsziel via Internet sind hinreichend bekannt und dem entsprechend im Blick mancher Hersteller (anderen ist es dagegen schnurzegal ob jemand ein Plakat aufhängt auf dem steht welche Zugangsdaten der Superuser per fest installiertem Code hat). Meist muss man aber irgendeine Konto-Passwortkombination kennen um etwas auszurichten.
"Hier" reicht der Empfang eines Faxes über die Telefonverbindung um das Faxgerät zu übernehmen und damit Zugang zur Sicherheitszone "lokales Netzwerk" zu haben.
Das reicht aus um z.B. windowsbasierten Geräten via Remote Procedure Call einen Sprachbefehl unterzujubeln der von Cortana ohne weitere Prüfung ausgeführt wird da angenommen wird das Sprachbefehl und Bestätigung von einem legitimen, im Raum befindlichen Nutzer kommen. Für jemanden der weiß wie ist das trivial.
Öffentlich ist dieser Angriff "frisch", es dürfte aber nicht lang dauern bis es die ersten systematischen Angriffe mit schädlichen Faxen gibt...
Hat das hiermit zu tun?
Gruß Suzanne
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Pat2 schrieb:
Seit 2 Wochen gibt es bei uns Ä., die keine Rezeptänderung mehr per Fax machen, wegen nicht Unterschreiben des Patientens der Datenschutzklausule " Faxübertragung von Patientendaten von und zum A."
Hat das hiermit zu tun?
Gruß Suzanne
Seit 2 Wochen gibt es bei uns Ä., die keine Rezeptänderung mehr per Fax machen, wegen nicht Unterschreiben des Patientens der Datenschutzklausule " Faxübertragung von Patientendaten von und zum A."
Hat das hiermit zu tun?
Gruß Suzanne
Da bleiben wir cool und lassen den Patienten zum Ändern laufen... Der/Die wollte das ja :smile:
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Wonderwoman schrieb:
Pat2 schrieb am 16.8.18 15:31:
Seit 2 Wochen gibt es bei uns Ä., die keine Rezeptänderung mehr per Fax machen, wegen nicht Unterschreiben des Patientens der Datenschutzklausule " Faxübertragung von Patientendaten von und zum A."
Hat das hiermit zu tun?
Gruß Suzanne
Da bleiben wir cool und lassen den Patienten zum Ändern laufen... Der/Die wollte das ja :smile:
Seit 2 Wochen gibt es bei uns Ä., die keine Rezeptänderung mehr per Fax machen, wegen nicht Unterschreiben des Patientens der Datenschutzklausule " Faxübertragung von Patientendaten von und zum A."
Hat das hiermit zu tun?
Gruß Suzanne
Nein. Das Paper selbst ist erst gut zweieinhalb Wochen öffentlich; das wird eher mit der DSGVO und der Nichteinwilligung in die Datenfernübertragung per Fax zu tun haben ;)
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Papa Alpaka schrieb:
Pat2 schrieb am 16.8.18 15:31:
Seit 2 Wochen gibt es bei uns Ä., die keine Rezeptänderung mehr per Fax machen, wegen nicht Unterschreiben des Patientens der Datenschutzklausule " Faxübertragung von Patientendaten von und zum A."
Hat das hiermit zu tun?
Gruß Suzanne
Nein. Das Paper selbst ist erst gut zweieinhalb Wochen öffentlich; das wird eher mit der DSGVO und der Nichteinwilligung in die Datenfernübertragung per Fax zu tun haben ;)
Toller Beitrag: ausdrucken, wegwerfen, fertig
--> Schöner Beitrag von Papa ... noch besserer von FFGG ... :smile:
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
MikeS schrieb:
FFGG schrieb am 16.8.18 08:32:
Toller Beitrag: ausdrucken, wegwerfen, fertig
--> Schöner Beitrag von Papa ... noch besserer von FFGG ... :smile:
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
Papa Alpaka schrieb:
oh, und um dem Fax kein Unrecht zu tun: Seit der Erfindung des Systems im Jahr 1863 gab es, bis jetzt, keinen bekannten Weg um dem Besitzer eines Faxes größeren Schaden zuzufügen als den Empfang einer gefaxten Rolle Klopapier. Das sind 155 Jahre, 149 wenn man die NSA berücksichtigt, in denen es etliche erfolgreiche Angriffe auf's Telefon als Datenfernübertragungsweg gab aber keinen auf's Fax. Selbst die Briefpost wurde von der StaSi systematisch angegriffen und war vorher schon über Jahrtausende angreifbar (zur Sicherung wurden unter anderem Wachs-Siegel, besondere Papierfaltungen und mehrere auf verschiedenen Wegen ausgetragene Briefe gleichen Inhalts eingesetzt bzw. nur auf einem bestimmten Weg eingehende Briefe wurden als inhaltlich zutreffend eingeordnet).
Wir haben zwei Praxen da funktioniert der Übertragunsgweg nicht, das ist jedesmal echt nervend mit den Patienten rumzudiskutieren, das sie es selber machen müssen, wenn ich das mit jedem machen sollte , ne Danke.
Auch hat noch keine Arzt etwas gegen das faxen gesagt, es wird so gemacht wie die letzten 32 Jahre auch.
Korrigierte Faxe kommen in de Regel innerhalb 24 Stunden zurück. Heute dauerte es bei einem Rezept gerade 4 Minuten bis es wieder da war,
Gefällt mir
Wollen Sie diesen Beitrag wirklich melden?
Problem beschreiben
idefix- schrieb:
Netter Beitrag. Unsere Patienten müssen unterschreiben, das wir faxen dürfen und das auch der Arzt zurückfaxen kann. Es werden ca. 80% aller Rezepte bei uns geändert. Wenn wir das jedesmal über den Patientenweg machen müssten, dann gute Nacht.
Wir haben zwei Praxen da funktioniert der Übertragunsgweg nicht, das ist jedesmal echt nervend mit den Patienten rumzudiskutieren, das sie es selber machen müssen, wenn ich das mit jedem machen sollte , ne Danke.
Auch hat noch keine Arzt etwas gegen das faxen gesagt, es wird so gemacht wie die letzten 32 Jahre auch.
Korrigierte Faxe kommen in de Regel innerhalb 24 Stunden zurück. Heute dauerte es bei einem Rezept gerade 4 Minuten bis es wieder da war,
Mein Profilbild bearbeiten