It’s not a bug, it’s a feature!

Einer der Kanzleidrucker brauchte neulich etwas Zuwendung. Das Gerät ist etwas betagt und eigentlich verwenden wir es nur als Plan B, wenn der Ich-kann-alles-Primärdrucker gerade ein Problem haben sollte. Und wie man auf dem Bild unten sieht, musste mal ein ein niederländisches Modell ein paar Teile dafür spenden.

Zur Anbindung ans Netzwerk verwendet HP seit grauer Vorzeit Einsteck-Karten, die JetDirect genannt werden. Die haben inzwischen eine wirklich lange Tradition, die Serie gibt es seit dem vergangenen Jahrtausend, 1991 um genau zu sein, in myriaden verschiedener Versionen. Wer einen bürotauglichen HP-Drucker hat, hat fast immer auch wenigstens eine JetDirect Karte.

Die ehrenwerten l0pht Hacker haben 1997 herausgefunden, dass die JetDirect Karten einen buffer overflow Fehler aufweisen, den man ausnutzen kann, um einen beliebigen Text auf dem LCD des Druckers anstelle der “Bereit”-Meldung auszugeben. Die kleine Lücke wurde offensichtlich weiter und weiter vererbt und auch alle heutigen Druckermodelle können auf diese Weise verziert werden.

Wer es selbst probieren will, braucht die IP-Adresse des Geräts und ein kleines Programm. Besitzt man einen zivilisierten Rechner mit Perl, kann man es sich leicht machen. Den Original-Code für weitere Experimente findet man hier. Der Hack ist harmlos, ein wirkliches Problem kann man nicht hervorrufen.

HP versorgt seine Produkte sehr wohl mit Updates, insbesondere wenn die Sicherheit kompromittiert ist. Dass hier über all die Jahre keine Abhife geschaffen wurde, scheint fast Absicht zu sein und ich finde es schön, dass man dieser kleinen Eigenheit einen Platz einräumt. Fast schon ein Easteregg.