Chaos Communication Congress 31C3 und der »Xerox-Scanner-Fall«
Was war der spektakulärste Vortrag auf dem Chaos Communication Congress 31C3, der zum Jahreswechsel in Hamburg stattfand? Es gab viele, sehr viele – aber aus ECMguide.de-Sicht war es sicherlich der Beitrag »Glaube keinem Scan, den du nicht selbst gefälscht hast« von dem Systemingenieur David Kriesel: Er deckte im Sommer 2013 auf, dass Xerox-Scanner/Kopierer Marke »WorkCentre« und auch »ColorQube« Zahlen beim Abspeichern von gescannten Dokumenten vertauschten. Vor allem wurde bei dem Softwarefehler aus einer »6« oftmals, aber nicht immer, eine »8«.
Das ärgerliche an dem Fehler: er ist tückisch – er fällt nicht auf. Das auf der Kopie wiedergegebene Zeichen sieht perfekt aus, ist aber schlicht falsch. Kriesel deckte auf, dass der Fehler – es betraf den Pattern-Matching-Algorithmus der JBIG2-Kompression – in den Xerox-Betriebssystemen sagenhafte acht Jahre sein Unwesen trieb.
Fehler im Pattern-Matching-Algorithmus der JBIG2-Kompression
Zunächst redete sich Xerox im Sommer 2013 heraus, dass es nur den »Normal«-PDF-Modus betreffe, aber nicht in den »higher«- und »highest«-Modi. Und diese würden laut Betriebsanleitung für professionelle Scans empfohlen. Doch Kriesel wies nach, dass es auch die höher auflösenden Modi betraf. In seinem Vortrag auf dem 31C3-Kongress zeigte er auf, wie er sich in die Materie einarbeitete – und Xerox zunächst nicht reagierte. Aber nachdem es nicht mehr von der Hand zu weisen war, reagierte Xerox recht professionell, und beseitigte mit Patches den Softwarefehler.
Das untenstehende Video vom 31C3-Kongress ist absolut sehenswert. Es dauert zwar etwas über eine Stunde, aber wenn Sie mit Scannern zu tun haben, sollten Sie sich die Zeit nehmen. Denn der Beitrag beschreibt auch andere Probleme der Kompression, die zu Inhaltsveränderungen führen können.
Betroffene Xerox-Modelle sind in Großunternehmen und bei Scandienstleistern vielfach eingesetzte Arbeitstiere
Bedenken Sie: Xerox-Modelle sind absolute Arbeitstiere, und werden vielfach auch in Posteingangszentren von größeren Unternehmen sowie bei Scandienstleistern eingesetzt. Wenn hier möglicherweise zigmillionenfach aus einer »6« eine »8« wurde, wanderten Millionen von Datensätzen mit falschen Belegnummern oder Kundennummern oder Rechnungsbeträgen in SAP-Systeme zur weiteren Verarbeitung. Wurden die Originale anschließend vernichtet, lässt sich der Fehlscan nicht mehr nachweisen.
Abgesehen von falschen Abrechungen könnte sich Kriesel laut seinem Blog auch noch Fehlermöglichkeiten in Bauplänen (mit vertauschten Quadratmeterzahlen), falsche Ingenieurspläne vielleicht bei Autobahnbrücken oder Zahlendreher bei Arzneimitteldosierungen vorstellen.
Kriesel weist eingangs von seinem Vortrag ironisch auf eine Art »Disclaimer« hin: »Wer ein inniges Verhältnis zu seinem Kopierer hat, und das gerne beibehalten möchte, der sollte den Vortrag nicht anhören.« Und da der Fehler erstmals auf einem Bauplan auffiel, meinte er abschließend noch mit einem kleinen Seitenhieb auf die Probleme des Berliner Flughafens BER: »Auf welchen Kopieren wurden eigentlich die Baupläne für den Berliner Flughafen kopiert?«
David Kriesel: Xerox-Fall auf dem Chaos Communication Congress 31C3
- Auch Dr. Ulrich Kampffmeyer von Project Consult geht in einem Blog auf den »Xerox-Fall« ein
- Vortrag von Linus Neumann auf dem 2013er »Chaos Communication Congress 30C3« über Schwachstellen in der De-Mail-Programmmierung
- Mehr über Scannen, Erkennen, Klassifizieren und Input-Management im ECMguide.de-Schwerpunkt
.