Sensacyjny news – miliony urządzeń, które każdy zna, a wiele osób posiada, użyte w masowym ataku wyłączającym strony w internecie – cóż może być lepszego, by zachęcić czytelnika do klikania. Szkoda tylko, że nie było w tym ziarna prawdy.
Wczoraj w wielu serwisach podających wiadomości „technologiczne” pojawił się sensacyjny nagłówek – trzy miliony elektrycznych szczoteczek do zębów zostało użytych w ataku DDoS. News miał nawet źródło w postaci szwajcarskiej gazety Aargauer Zeitung – nie miał jednak sensu (dlaczego, o tym za moment). Sensacji dały się ponieść serwisy takie jak PurePC, Telepolis, Benchmark.pl, IThardware.pl, Notebookcheck.pl, Komputer Świat, a także Antyweb czy Spider’s Web.
Dlaczego ta historia brzmiała od początku mało wiarygodnie?
Po pierwsze, źródło w postaci szwajcarskiej gazety, o której nikt nigdy nie słyszał, nie niesie ze sobą wiarygodności. Małe publikacje często nie weryfikują w żaden sposób publikowanych informacji. Choć opis ataku sprawiał wrażenie przynajmniej umiarkowanie wiarygodnego (źródłem był pracownik poważnej firmy Fortinet, wskazano liczbę urządzeń, czas niedostępności stron WWW zaatakowanej firmy), to nadal nie była to waga podobnej informacji podanej przez New York Times czy The Guardian.
Dziennikarze zajmujący się bezpieczeństwem i miłośnicy branży zaczęli szukać potwierdzenia wiadomości. Przez wiele godzin nikomu nie udało się uzyskać komentarza od Fortinetu, nigdzie też nie było ani słowa na temat analogicznego ataku, o jego źródle nie wspominając. Historia wyglądała zatem coraz mniej poważnie – ale na tym nie koniec.
Dlaczego ten atak prawie nie mógł się wydarzyć
Przecież słyszeliśmy o atakach z użyciem internetu rzeczy, prawda? Były ataki z użyciem kamer, nagrywarek wideo, routerów – to czemu nie mogą być z użyciem szczoteczek do zębów?
Mogą, ale to nie takie proste. A na pewno dużo trudniejsze niż w przypadku kamer, nagrywarek monitoringu wideo czy routerów. Powód jest prosty – choć szczoteczki mogą mieć dostęp do internetu, to internet do nich nie (najczęściej). Trzy rodzaje domowych urządzeń najczęściej wykorzystywanych w atakach DDoS to urządzenia, które często są dostępne zdalnie, z zewnątrz domowej sieci – w końcu w kamerze chodzi o to, byśmy mogli będąc poza domem zobaczyć, co dzieje się w środku. Oczywiście można to skonfigurować bezpiecznie, ale wiele osób tego nie robi. To powoduje, że kamery, nagrywarki systemów monitoringu i routery bywają dostępne dla każdego – każdy może się do nich połączyć i próbować przejąć nad nimi kontrolę. Gdy to się uda, mogą zostać częścią botnetu i wziąć udział w ataku DDoS. W historii było wiele takich przypadków.
Inaczej jest z urządzeniami, które znajdują się w wewnętrznej sieci domowej, takimi jak lodówki, pralki, czajniki, telewizory czy elektryczne szczoteczki. Choć mogą się one łączyć z internetem, to jest to ruch inicjowany przez urządzenie, a nie przez użytkownika siedzącego gdzieś poza domem. Internet do szczoteczki połączyć się nie może. Dzięki temu przejęcie nad nimi kontroli jest o kilka rzędów wielkości trudniejsze. Do tego szczoteczki raczej nie łączą się z internetem same, tylko poprzez Bluetooth i sparowaną z nimi aplikację w smartfonie, dodatkowo utrudniając i tak trudny atak.
Trudniejsze, ale nie niemożliwe – tyle że taki atak musiałby np. zacząć się od przejęcia serwera aktualizacji oprogramowania albo uzyskania dostępu do sieci wewnętrznej każdego domu, co jest dość trudne i zdarza się bardzo rzadko, a na pewno nie na masową skalę.
Dementi Fortinetu
Co prawda, musieliśmy czekać na to prawie dobę, ale w końcu Fortinet przekazał prasie swoje stanowisko, w którym poinformował, że artykuł szwajcarskiej gazety jest wynikiem nieporozumienia w tłumaczeniu – pracownik firmy opisywał hipotetyczny scenariusz ataku. Jak mogliście się przekonać w poprzednim akapicie, ten scenariusz był wybrany dość słabo (szansa zdarzenia bardzo bliska zera), ale niestety przez fantazję dziennikarza rozlał się po całym świecie.
Podsumowanie
Zwracajcie uwagę na źródła informacji. To ma znaczenie. Zauważcie, że fałszywej wiadomości nie opublikowało żadne poważne polskie medium, takie jak duże gazety czy telewizje. Pomyślcie też, zanim na coś się powołacie – z litości nie linkujemy tu postów osób zajmujących się sprzedażą produktów i usług anty-DDoS, które przy okazji tego rzekomego incydentu chciały napędzić sobie klientów. No i myjcie zęby, szczoteczki elektryczne są do tego całkiem dobre.
Komentarze
Tak moim zdaniem, to Fortinet jest jedną z ostatnich firm, która powinna wypowiadać się w tematach DDoSów. raczej mają większe problemy na głowie i niech skupią się by ich urządzenia „ochronne” nie błyszczały w newsach w kontekście bycia najpopularniejszym punktem wejścia do sieci (do dalszych ataków).
Obecnie mam takie skojarzenia
Fortniet == Ranosmware
Fortinet == Chńskie APT
Fortinet == DDoS bulshit
Myślisz, że u CheckPointa czy PaloAlto to lepiej wygląda?
Fortinet jest najtańszy, przez to najpopularniejszy, a zawsze ten najpopularniejszy produkt będzie tym najbardziej dziurawym… tzn. o największej liczbie odkrytych dziur.
A co do artykułu… od kiedy domowe routery muszą mieć wystawiony management do internetu? Już nie mówiąc o tym, że wszelkiego rodzaju urządzenia IoT (w tym też i te kamery) też raczej domyślnie do internetu nie są wystawiane, tylko komunikują się z chmurą producenta, gdzie to dane urządzenie inicjuje połączenie do chmury. Wystawianie ich do internetu i tak nic by nie dawało w sytuacjach, gdy użytkownik jest za CGNAT-em, czyli chyba w większości dziś występujących przypadków. Kamera od szczoteczki do zębów tutaj kompletnie niczym się nie różni. Przy routerze – tu jeszcze większość z nich ma funkcję wystawienia managementu do sieci zewnętrznej, choć gdy takie urządzenie jest wpięte bezpośrednio do Internetu, jest to chyba najgorsza możliwa praktyka, jeśli chodzi o bezpieczeństwo, a wymaga świadomie wykonanej przez użytkownika zmiany w konfiguracji.
Ale router jeszcze ma szansę być podatny w taki sposób, że jakiś malware działający wewnątrz sieci sprawi, że otworzy do Internetu jakieś porty. Szczoteczka czy kamera – nie bardzo… Bo wystawienie takiego urządzenia do Internetu wymagałoby odpowiedniej konfiguracji NAT-a na routerze.
akurat Check Point od lat nie miał grubych błędów sec (co mnie osobiście cieszy, choć oczywiście nie daje gwarancji na przyszłość ;) )
Natomiast Forti ostatnio ma naprawdę całą paradę grubych bugów niestety…
Chciałbym tylko przypomnieć o UPnP, które to z radością otworzy w NAT potrzebne porty :)
Macie literówkę w nazwie gazety: jest „Aagrauer Zeitung” zamiast „Aargauer Zeitung” (od Aargau, jednego z kantonów w Szwajcarii).
dzięki, poprawione :-)
Te nazwy portali, które na początku wymieniłeś Adamie, to one już od dawna szorują po dnie. Ja pamiętam je sprzed kilkunastu lat, bo czytałem je wtedy, to były inne czasy, wtedy trzymały poziom. Dlatego łyknęły bajkę o DDoSie szczoteczek do zębów i się skompromitowały.
Masakra, co się dzieje…
I to jest ta pogoń za sensacją. Aby szybciej wrzucić news, najlepiej z chwytliwym tytułem. Nie ma zabawy w weryfikowanie, rzetelne sprawdzanie. Super, że tu wyjaśniono to. Bo jak widzę cześć wspomnianych artykułów zdjęto już a część wisi sobie dalej… i się monetyzuje :)
Wyobraziłem sobie botnet zombie-cyber-dildów wystawionych na publiczne IP… :D
Na PurePC od razu po opisaniu historii jest napisane, że brakuje w niej sporo istotnych informacji, więc nie ma pewności, co do jej autentyczności.
„Brak tych danych może podać w wątpliwość całą historię, więc warto ją wziąć pod uwagę jako przykład ostrzegawczy, jednak nie ma pewności, czy faktycznie jest prawdziwa”
Nie znam się, więc zapytam. Jestem laikiem, ale po przeczytaniu tego newsa na Interii stwierdziłem, że to bzdura. I zacząłem szukać, poczynając od z3s…
Ale, hipotetycznie, gdyby uzyskali dostęp do serwera producenta, i gdyby szczoteczki pobrały zainfekowany upgrade oprogramowania, mogłyby wyrządzić szkody w sieci wewnętrznej, domowej? Mogłyby umożliwić otwarcie połączenia przez router i umożliwić dostęp hakerom?
Trochę ostatnio tracicie na wiarygodności. Pojawiła się u was jakaś nieprofesjonalna nonszalancja, np. w tym artykule, ale też w prezentacji wyśmiewającej dobre praktyki bezpieczeństwa, z których część ma sens, ale zachłyśnięci samozachwytem podeszliście do tego bardzo po łebkach.
https://www.newsweek.com/hacked-butt-plug-controlled-anywhere-lovense-sex-toy-687719
Nie jest to DDoS, ale jak widać przejmowanie serwerów producentów różnych podłączonych rzeczy się zdarza.
Nie masz racji odnośnie przejmowania serwerów producenta – to był atak lokalny na uwierzytelnienie BLE konkretnego urządzenia, wymagający fizycznej obecności atakującego (tu szczegóły: https://scubarda.com/2017/10/17/hacking-a-bt-low-energy-ble-butt-plug/). Mógłbyś raczej dać przykład zhakowania terminali satelitarnych przez rosyjskie APT.
Analogicznie niedawno był news o tym, że ktoś spalił elektryka podgrzewając go tosterem. Wszyscy bezmyślnie go kopiowali. Prawda była jednak zupełnie inna.https://youtube.com/shorts/OClGisB6JFQ?feature=share
Moją pierwszą myślą gdy przeczytałem o botnecie ze szczoteczek było: pewnie zhakowali serwer aktualizacji i podmienili firmware wykorzystując OTA a nowe FW łączyło się z nodem c&c.
Kaczka dziennikarska jest jednak dużo prostszym wyjaśnieniem.
Ja bym wolał byście napisali coś o wyłączeniu telefonów w USA 22.bm
to jest news. prawie 50% telefonów nie dzialało nawet 911