Informatik, Photos, und Ameisen in einem Terrarium.

Ich bin Informatiker mit biologischem Interesse und mich faszinieren dezentral organisierte Systeme. Ich arbeite als Systemingenieur bei der IVU Traffic Technologies AG an Themen im Umfeld von Continuous Delivery und DevOps.




Xerox-Scanfehler: Katzenbilder nicht betroffen

Der Preis für die trockenste Überschrift geht an Metafilter für ihre Meldung bezüglich der Xerox-Kopierer: Cat images reportedly unaffected - Xerox scanners/photocopiers randomly alter numbers in scanned documents. Herrlich!

Seriöserweise muss ich aber dennoch widersprechen: Seid bitte verdammt vorsichtig beim Scannen HTTP Status Cats.

Xerox-Scanfehler reproduzierbar - auch in anderen Produktlinien?

So langsam wird es richtig interessant und auch aufschlussreich: Zum einen hatte ich heute einen Anruf von Xerox Dutschland, wo man die Meldung (verständlicherweise) erst für einen Scherz gehalten hat. Ich habe mit Nachdruck darauf hingewiesen, dass der Fehler wahrscheinlich schon lange existiert, so dass gegebenfalls Myriaden an Unterlagen subtil fehlerhaft sind. Ich möchte dazu auch noch mal ganz klar sagen, dass ich Xerox das Problem eine Woche vor Veröffentlichung hier beschrieben habe – ich fahre ja keinem Konzern einfach so unfair in die Parade.

Dann bekomme ich langsam Mails von Leuten, die den Fehler reproduzieren können. Das war absehbar, aber es ist gut, dass es so ist, denn jetzt bin ich sicher. Allerdings kann es sein, dass man auf die Tragweite noch eine Dimension aufschlagen kann: Eine Mail aus dem englischsprachigen Raum weist mich gerade darauf hin, dass das Problem mit meiner Anleitung auf einem Xerox ColorQube 9201 reproduziert wurde. Edit: Gerade kommt eine Mail rein, dass der Fehler mit Hilfe meiner TIF-Datei (downloadbar im Originalartikel) auch auf einem Xerox Colorcube 9203 reproduziert werden konnte.

Es könnten also noch mehr Produktlinien betroffen sein, als ich dachte. Ich zitiere mal den Mailer: „Now to figure out how to break the news to my boss.“ Good luck, Mr. Gorsky. Da ich das nicht selbst verifizieren konnte, betrachtet das mal ausdrücklich als Hörensagen.

Ich versuche, an mehr Infos zu kommen; I'll keep you posted.

Erste Vermutungen zur Ursache der Xerox-Scanfehler

Die folgenden Informationen sind auch in den Originalartikel eingepflegt, damit ihr alles auf einen Blick habt.

Der Gedanke einer zu hart eingestellten Bildkompression und der Wiederverwendung einzelner Bild-Patches scheint so falsch nicht gewesen zu sein. Aus mehreren Zuschriften geht die Mutmaßung hervor, dass in den Geräten für PDF-Scans die JBIG2-Kompression für Bilddaten zum Einsatz kommt. Diese erzeugen ein Wörterbuch an ähnlichen Bild-Kacheln (Patches), die dann nach Bedarf mehrfach verwendet werden, solange der dadurch produzierte Fehler nicht zu groß wird. Ich finde das sehr plausibel.

Das würde auch erklären, warum der Fehler primär auftritt, wenn man Text am Rande der lesbaren Auflösung scannt. Dann liegt man größenmäßig in der Nähe der verwendeten Patches, und ganze Buchstabenblöcke werden sauber ausgeschnitten und vertauscht, so wie oben. Statische Strukturen wie Linien um die Buchstaben sind dann sogar hilfreich, und so kommen dann auch so sauber ausgetauschte Quadratmeterzahlen zustande.

Es sieht nun so aus, als wäre JBIG2 im vorliegenden Fall vom Hersteller zu radikal eingestellt, bzw. eine zu große Patchgröße gewählt. Eine Patchgröße zu wählen, in der ganze, lesbare Zeichen unterbringbar sind, wäre extrem fahrlässig. Es würde auch ein Licht darauf werfen, wie die Geräte getestet worden sind – denn gerade der Einfall, bei Einsatz eines solchen Kompressionsverfahrens schlecht aufgelöste Zeichen auf Abweichungen zu testen, drängt sich eigentlich geradezu auf. Man darf also gespannt sein, wann Xerox sich äußert – auf jeden Fall danke erstmal, dass ihr die Sache so verbreitet, ich finde das sehr nützlich. Macht weiter so! Und ich freue mich in jedem Fall über weitere, hilfreiche Zuschriften.

Update: Kommt grad per Mail rein :-) – Danke, Boris!

Xerox-Scankopierer verändern geschriebene Zahlen

:!: Aktuelle Info: Ich werde auf dem diesjährigen Chaos Communication Congress (31c3) einen Vortrag zum Thema halten. Los geht's am 28.12.2014 um 23:00 in Saal G.

Vorabanmerkungen:

  • Eine (lange nicht erschöpfende) Presseschau habe ich anlässlich meiner Gastvorlesung zum Thema hier zusammengestellt. Ich bin selbst überrascht, wie viele Artikel es gibt.
  • Eine Zeitleiste der ganzen Angelegenheit gibt es direkt im nächsten Abschnitt. Darin kann man sich einen Überblick verschaffen, und findet auch die relevanten Blogartikel verlinkt. Daraus geht auch klar hervor, dass ich Xerox sehr viel Zeit gelassen habe, also nicht einfach mit der Sache an die Öffentlichkeit gegangen bin. Das ist mir wichtig, weil ich erstmal versuche, im nicht-öffentlich auf Leute zuzugehen, wenn ich etwas zu beanstanden habe.

In diesem Artikel dokumentiere ich ausführlich, wie weit verbreitete Firmen-Scankopierer der Firma Xerox bei gescannten Seiten Ziffern, Zahlenreihen oder andere Bildfragmente unvorhersehbar vertauschen/ersetzen – und zwar nicht aufgrund irgendwelcher Texterkennung, sondern richtig hart in den Pixeldaten. Das Ergebnis sind Dokumente, die subtil falsch sind, aber perfekt aussehen – so, dass man es auf den ersten Blick nicht bemerkt. So etwas kann extrem gefährlich sein oder sogar Menschenleben kosten. Der Phantasie sind keine Grenzen gesetzt:

  1. Abrechnungen, die plötzlich nicht mehr stimmen.
  2. Baupläne mit vertauschten Quadratmeterzahlen.
  3. Falsche Ingenieurspläne, die wiederum Menschenleben gefährden würden (stellt euch vor, eine Autobahnbrücke hat in der Statik einen Zahlendreher verbaut).
  4. Arzneimitteldosierungen mit Zahlendrehern, eigentlich noch schlimmer.

Ihr seht schon: Was sich zunächst locker anhört, ist absolut kritisch und kann schnell lebensgefährlich werden. Es handelt sich um einen acht (!) Jahre alten Bug, der nach Händlerinformationen hunderttausende Xerox-Multifunktionskopierer weltweit betrifft. Mehrere große Gerätefamilien sind betroffen (eine Liste gibt es weiter unten). Jeder, der diese in den letzten acht Jahren eingesetzt hat oder jetzt noch einsetzt, muss sich fragen:

  • Wieviele fehlerhafte Unterlagen, die auf den ersten Blick richtig aussehen, habe ich in den letzten Jahren gespeichert oder gar an dritte herausgegeben?
  • Sind durch diese denkbaren Fehler Menschen oder Vermögenswerte gefährdet?
  • Kann ich für diese Fehler verantwortlich gemacht werden?

Bis zur Behandlung des Fehlers in meinem Blog war er nicht entdeckt oder veröffentlicht. Seine Tragweite entfaltete sich auch erst in Laufe meiner verschiedenen Blogartikel, die von den Massenmedien aufgegriffen und verbreitet wurden. In welcher Reihenfolge was geschah, lässt sich hön anhand der nachfolgenden Zeitleiste sehen. Es waren zwei interessante Wochen, das kann ich euch versprechen. :-) Ursprünglicher Zweck der Veröffentlichung war die Gefahrenabwehr: Ich hatte nicht den Eindruck, dass Xerox selbst Abhilfe schaffen würde und war der Meinung, dass ein Bug dieser Größenordnung auf jeden Fall veröffentlicht werden muss, um gegebenenfalls Menschenleben zu retten.

Der Rest des Artikels ist wie folgt gegliedert.

  • Zunächst wird an einer Zeitleiste beschrieben, wie die Angelegenheit sich entfaltet hat
  • Es wird an konkreten Beispielen beschrieben, wie der Fehler entdeckt wurde, und wie subtil er auftritt. Weil schwer zu glauben ist, dass ein Scankopierer Zahlen verdreht, liefere ich natürlich Beweismaterial mit.
  • Danach beschreibe ich einige technische Details zu den Kopierern, dem beim Scan verwendeten Dokumententyp und sonstigen Einstellungen.
  • Zum Schluss gibt es noch eine grobe Anleitung, wie sich der Fehler reproduzieren lässt.

Recent changes RSS feed Creative Commons License Donate Minima Template by Wikidesign Driven by DokuWiki