Letzte Änderung: Uhr
David Kriesel – jBig2 Xerox-Fail
Wenn die Scanner Zahlenroulette spielen
Kennen Sie den ultimativen Lieblings-Hass-Satz bei allen technischen Problemen? Richtig: “Kann nicht sein!” Wir – ich pauschaliere das jetzt einfach mal so – sind mittlerweile so technikgläubig, dass wir immer zuerst nach selbstverschuldeten Bedienfehlern suchen, bevor wir auch nur ansatzweise daran denken, dass es am Gerät liegen könnte …
Xerox Systemfehler hier kaum bekannt
Einen der größten internationalen Systemfehler im letzten Jahrzehnt wurde von einem jungen Informatiker aus Bonn aufgedeckt. David Kriesel konnte mittels astreiner und fitzeliger Recherche nachweisen, dass Xerox-Kopier beim Scannen teilweise Informationen verändern, genau genommen gewisse Zahlen verändern. Aufgefallen ist den Bauplan-Zeichnern, die bemerkten, dass ein kleiner Raum auf ihren Bauplänen nach dem Scan plötzlich mehr Quadratmeter aufwies als der größere. Sie baten David, sich das doch einmal anzusehen. Nächster Fall: Hier machte der Xerox-Scan innerhalb eines Kostenregisters aus Sechsen eine Acht. Aufgefallen ist dies deshalb, weil die Zahlenreihe absteigend angelegt worden war. Siehe Scan:
David Kriesel hat danach versucht den Fehler selbst “nachzustellen” und auch das ist ihm auf Anhieb anhand von selbst generierten Zahlenkolonnen gelungen.
David Kriesel auf Xerox-Spurensuche
Höchste Zeit also, um mit den Menschen von Xerox zu reden. Da die meisten Leser den Umgang mit Konzernen kennen (oder sich zumindest lebhaft vorstellen können) bilden wir hier nur einen Zeitraffer des Ablaufs ab. Nachzulesen ist der ganze Krimi im Blog von David Kriesel.
PDF-Converter in Verdacht
Kriesel setzte sich zunächst mit dem Xerox-Support in Verbindung. Dieser bestätigte den Fehler, wusste aber auch keine Lösung. Es vergingen Tage. Kriesel veröffentlichte in einem ersten Blog seine Entdeckung und fand Gleichgesinnte. Ein erster Verdacht, dass es an der JBIG2-Kompression liegen könnte, tauchte auf. Eine weitere Theorie meinte, dass sich der Fehler beseitigen ließe, wenn die Kompressionseinstellung von „normal“ auf „higher“ gestellt würde. Xerox bestätigte dies, behauptete aber, dass die Werkseinstellung ohnehin nicht mit normal ausgeliefert werden würde. Mittlerweile hatte Kriesel direkten Telefonkontakt mit dem Vizepräsidenten des Unternehmens. Während Xerox Pressemeldungen mit dem Versprechen, die Normal-Einstellung zu canceln, aussandte, gelang es Kriesel den Fehler auch mit höheren Einstellungen zu wiederholen. Das Problem war also kompressionsunabhängig. Xerox bestätigte schließlich einen Software-Bug* in Verbindung mit der JBIG2-Kompression für die ausgelieferten Geräte der letzten 8 (!) Jahre und kündigen einen Patch** an.
*Auch Google Plus war von einem Bug betroffen und musste deshalb geschlossen werden.
**Patch: Softwareprogramm, das die in einem Programm enthaltenen Fehler beheben soll.
Xerox-Fail: Schaden bis heute nicht klar
Da Xerox einen dezentralen Vertrieb hat, gab es keine Möglichkeit, die Kunden aufzulisten und zu erreichen. Bis heute ist deshalb komplett unklar, wie viele Geräte gepatched wurden und wie viele nicht. Falls Sie jetzt denken: “Mein Gott, wegen der paar Zahlenreihen!” Dann denken Sie doch bitte an die Statik der nächsten Brücke, über die Sie fahren, die Berechnung der Spritzufuhr Ihres Urlaubsflugs oder die Menge einer lebenswichtigen Medikamenten-Dosis für Ihr Kind. Sind Sie auch ganz sicher, dass die letzte Vorschreibung vom Finanzamt richtig war? Also: Spread the word.
Timeline: Der Fehler wurde im Juli 2013 entdeckt. Erst Anfang 2015 konnten die ersten Patches ausgeliefert wurden. Im März 2015 riet das Bundesamt für Sicherheit in der Informationstechnik von der Verwendung von JBIG2 ab. Betroffen sind nachfolgende Geräte, die zwischen 2008 und 2015 verkauft wurden:
Betroffene Xerox-Kopierer, der Buchstabe x kann für beliebige Ziffern stehen, gemeint sind immer die ganzen Gerätefamilien
Und jetzt für die Technik-Freaks unter uns – was ist geschehen?
Salopp gesagt, es wurden die Bilddaten durcheinandergewürfelt. Bildbestandteile, die der Kopierer für gleich hält, werden nur einmal gespeichert und dann immer wieder verwendet. Irrt sich das Ähnlichkeits-Messverfahren (Pattern Matching) der Kopierer, werden Zeichenblöcke durch andere ersetzt. In diesem Fall eine 6 durch eine 8. Dazu kommt, dass JBIG2 ein Bildformat* und kein Kompressionsalgorithmus ist. JBIG2 wurde lediglich dafür entwickelt, um effizient Bilder zu speichern, die auch gescannten Text enthalten. Also war per se nicht JBIG2 der Grund für die bei Xerox aufgetretenen Verfälschungen, sondern eine fehlerhafte Parametrierung beim Kodieren in JBIG2. Es wurden durch einen Bug Verluste eingebaut, wo keine hätten sein dürfen. Beim sogenannten „Symbol Matching“ wurde PM&S (Pattern Matching & Substitution) eine der Standardvorgehensweisen bei lossy JBIG2 verwendet, welche als “verlustbehaftet” gilt. Richtig gewesen wäre stattdessen SPM (Soft Pattern Matching) die bei lossless JBIG2 als verlustfrei gilt. Beide Kompressionsmodi von JBIG2 arbeiten zunächst nach dem gleichen Schema: Das Bild wird in Symbole zerlegt, diese werden nach Ähnlichkeit gruppiert. Für jede Gruppe werden dann nur Repräsentanten gespeichert und diese wiederverwendet. Im Unterschied zu PM&S werden bei SPM aber die so entstandenen Pixelfehler korrigiert, indem ein Differenzbild zum Original dazugespeichert wird. Dieser Korrekturschritt scheint bei Xerox weggelassen worden zu sein.
*Mehr zum Thema Bildformate findet ihr auch unter Bilder fürs Web optimieren
Datensicherung mit falschen Daten
Der rechtliche Ansatz: Sollten die Originalbelege nicht mehr vorhanden sein, kann nicht mehr nachgewiesen werden, ob Ihr Scan korrekt ist. Das heißt, rechtlich ist alles anfechtbar, was während dieses Zeitraums als PDF eingescannt und archiviert wurde. Der Wert dieser Dokumente geht somit gegen null! Was das für etwaige entstandene Schäden und deren Haftung bedeutet, könnte in den nächsten Jahren noch ein spannendes Nachspiel haben.
Vortrag von David Kriesel
Fazit zum Scanner-Fail von Xerox:
Es ist eigentlich unglaublich, dass es ein paar Zufälle, einen engagierten jungen Informatiker und eine wache, kleine Community braucht, damit eine riesengroße Sicherheitslücke eines riesengroßen Konzerns geschlossen werden kann. Noch unglaublicher ist es, dass deutsche und österreichische Medien von dem Skandal kaum Notiz nahmen, während das Thema in den USA große Wellen schlug. Positiv muss Xerox angerechnet werden, dass David Kriesel nach Bekanntwerden der Tragweite relativ raschen Kontakt mit Entscheidungsverantwortlichen hatte. Auch die in Großkonzernen bei solchen Anlässen üblichen, peinlichen PR-Schnitzer – die Exxon Valdez Ölkatastrophe lässt grüßen – blieben an dieser Stelle aus. Einen schalen Nachgeschmack hingegen hinterlässt das Ende der Geschichte. Denn weder wurde David Kriesel feierlich in die USA zu einem Danke samt feuchten Händedruck eingeladen, noch gab es eine monetäre Vergütung für den Zeitaufwand und das Auffinden eines vielleicht milliardenschweren Fehlers. Vielleicht sollte man an dieser Stelle einmal laut darüber nachdenken, einen Finderlohn für Software-Fehler gesetzlich zu verankern, wie es Torsten Armbrecht in den Kommentaren von Kriesels Blog vorschlägt. Dies hätte sicherlich auch einen positiven Einfluss auf die künftige Qualitätssicherung in der Software Entwicklung.
Sie sehen, nicht nur Datensicherheit ist beim Archivieren Ihrer Daten ein Thema. Auch die Qualität der gesicherten Daten spielt eine entscheidenden Rolle. Lassen Sie uns doch über garantiert „scan-freie“ Cloud-Lösungen sprechen.
