Fortinet: “DDoS com 3 milhões de escovas de dentes inteligentes não foi um caso real”… veículo que publicou primeiro contesta
(tomshardware.com)- A Fortinet corrigiu a reportagem de que 3 milhões de escovas de dentes inteligentes teriam sido usadas em um ataque DDoS, afirmando que se tratava de um exemplo de tipo de ataque, não de um incidente real; mas o veículo que publicou primeiro, o Aargauer Zeitung, contestou, dizendo que a Fortinet o apresentou como um caso real
- A reportagem inicial afirmou que escovas de dentes inteligentes com sistema operacional baseado em Java foram infectadas por malware e viraram uma botnet, derrubando por 4 horas o site de uma empresa suíça e causando prejuízos de milhões de euros
- A Fortinet explicou que a história não se baseava em pesquisas da Fortinet ou do FortiGuard Labs, e que, durante a tradução, a fronteira entre um cenário hipotético e um caso real ficou borrada
- O Aargauer Zeitung rebateu que representantes da Fortinet na Suíça não corrigiram a expressão “incidente que realmente aconteceu” em reuniões nem durante a revisão do texto antes da publicação
- Independentemente da disputa sobre a veracidade, dispositivos IoT conectados, como escovas de dentes, roteadores e câmeras de vigilância, podem se tornar alvos de ataque ou recursos de botnet, exigindo atualizações e monitoramento da rede
A correção da Fortinet e a contestação do Aargauer Zeitung
- A Fortinet corrigiu a reportagem de que 3 milhões de escovas de dentes inteligentes teriam sido usadas em um ataque DDoS, dizendo que ela era imprecisa
- Explicou que o caso das escovas era um exemplo usado durante uma entrevista para ilustrar um tipo específico de ataque
- O conteúdo não se baseava em pesquisas da Fortinet ou do FortiGuard Labs
- A empresa entende que, no processo de tradução, foi criada uma narrativa que misturou cenário hipotético e caso real
- O Aargauer Zeitung não aceitou a explicação da Fortinet sobre “problema de tradução”
- Afirmou que representantes da Fortinet na Suíça descreveram o caso das escovas como um ataque DDoS real durante uma reunião sobre ameaças atuais
- Segundo o veículo, a Fortinet também forneceu informações específicas sobre por quanto tempo o site da empresa suíça ficou fora do ar e qual teria sido a escala dos danos
- Explicou que o nome da empresa afetada não foi divulgado pela Fortinet por consideração ao cliente
- Rebateu dizendo que o texto foi enviado à Fortinet para revisão antes da publicação e que não houve objeção à expressão de que se tratava de um incidente real
O ataque descrito na primeira reportagem
- A reportagem inicial afirmou que cerca de 3 milhões de escovas de dentes inteligentes foram infectadas por hackers e incorporadas a uma botnet
- Essa botnet teria realizado um ataque DDoS contra o site de uma empresa suíça, e o site teria saído do ar por não suportar a carga do ataque
- Segundo a reportagem, o ataque durou 4 horas e resultou em perdas comerciais na casa de milhões de euros
- O texto original incluía uma frase no sentido de que “este exemplo, que parece um roteiro de Hollywood, realmente aconteceu”, e o veículo alemão Golem.de também o noticiou como um caso real
- Vários falantes de alemão confirmaram que a tradução de “realmente aconteceu” estava correta
Explicação técnica e incertezas restantes
- A reportagem inicial sugeriu que a botnet de escovas em questão poderia ter sido vulnerável por causa de um sistema operacional baseado em Java
- Nenhuma marca específica de escova de dentes inteligente foi mencionada
- A função normal de conectividade das escovas inteligentes era acompanhar e melhorar os hábitos de higiene bucal dos usuários
- Após a infecção por malware, essas escovas teriam sido forçadas a integrar uma botnet
- O nome da empresa suíça afetada e os detalhes dos prejuízos não foram divulgados
Alerta de segurança em IoT
- Stefan Züger, da filial suíça da Fortinet, disse que qualquer dispositivo conectado à internet pode ser um alvo em potencial ou ser explorado em ataques
- Além de escovas de dentes, roteadores, set-top boxes, câmeras de vigilância, campainhas, babás eletrônicas e máquinas de lavar entram na mesma categoria
- Dispositivos conectados têm suas vulnerabilidades constantemente sondadas por hackers, e continua a disputa entre fabricantes de software e firmware de dispositivos e cibercriminosos
- A Fortinet afirmou que, ao conectar à internet um PC desprotegido, ele foi infectado por malware em 20 minutos
O que usuários de dispositivos conectados devem fazer
- Mesmo que os detalhes do caso ainda estejam em disputa, proprietários de dispositivos conectados devem manter os aparelhos, o firmware e o software atualizados
- É preciso monitorar atividades suspeitas na rede
- Software de segurança deve ser instalado e usado
- Devem ser seguidas as melhores práticas de segurança de rede
- A Tom’s Hardware alterou o título original, “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”, para refletir os novos desdobramentos
1 comentários
Opiniões do Hacker News
Esta matéria é estranha e faltam muitos detalhes. Pelo que eu sei, as grandes escovas de dente inteligentes usam BLE e não se conectam diretamente ao Wi‑Fi
Tentei verificar os fatos, mas não encontrei nada. Muitos chips BLE também suportam Wi‑Fi, então não dá para descartar totalmente a possibilidade de alguém ter comprometido o firmware e ativado a função de Wi‑Fi, mas ainda assim fica a dúvida de como isso teria sido conectado ao Wi‑Fi para operar uma botnet. A premissa de que dispositivos IoT trazem riscos continua válida, mas sou bem cético em relação a esta matéria em si
Eu sei que existiu o Java ME e que há micro JVMs que rodam em microcontroladores, mas mesmo assim a história não fecha. O ataque DDoS realmente aconteceu, e isso acontece o tempo todo, mas parece que, no processo de tradução, perderam-se detalhes ou isso foi transformado em clickbait a partir de especialistas em segurança dizendo que esses ataques podem vir de qualquer lugar, até mesmo de escovas de dente
https://cyberplace.social/@GossiTheDog/111886558855943676
Matéria realmente muito fraca. Alguém afirma que 3 milhões de escovas de dente inteligentes foram usadas num DDoS, mas ninguém diz o quê/quem/como fez isso
Uma alegação tão incomum assim parece exigir pelo menos algum tipo de evidência. Não deveria haver ao menos alguns detalhes técnicos que permitissem identificá-las como escovas de dente?
Eu uso uma escova Philips antiga, sem Bluetooth, sem internet e sem cabeças de escova com bloqueio de fornecedor, e ela ainda carrega por indução dentro de um copo de vidro. Gosto muito dela
Recentemente tentei comprar uma segunda, mas só consegui encontrar modelos novos cheios de funcionalidades inúteis que eu não queria. Quem, afinal, quer conectar uma escova de dente à internet? Acabei procurando estoque antigo no eBay. Pode soar cruel, mas espero que o idiota que decidiu colocar esse tipo de recurso no produto e o subordinado inepto que o implementou tenham um dia ruim hoje e reflitam sobre a sabedoria do que fizeram
Desde que comecei a usar uma escova inteligente com aplicativo no celular, meu dentista percebeu uma melhora clara na placa atrás dos meus molares
Se o alerta é para “manter dispositivos, firmware e software atualizados, monitorar atividades suspeitas, instalar e usar software de segurança e seguir as melhores práticas de segurança de rede”, então talvez o ideal fosse permitir a compra de escovas de dente inteligentes apenas para consumidores com certificação obrigatória
Eu estava lembrando errado desses dois como se fossem um único quadrinho, mas acho que não dá para ter tudo
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Aviso sobre a escova de dentes elétrica da Philips: não dá para desligar o Bluetooth mesmo sem usar os recursos inteligentes
Também é preciso tomar cuidado com os purificadores de ar Philips com Wi‑Fi. Isso porque não dá para desativar a função de controle remoto. Para concluir a configuração, é preciso criar um hotspot Wi‑Fi ao qual você se conecta pelo smartphone e, se não usar esse recurso, o purificador fica criando um hotspot Wi‑Fi permanente, à espera de ser explorado
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
O app do celular e o relógio ficavam o tempo todo se procurando para sincronizar, e a alternativa era desemparelhar para usar e depois parear de novo para sincronizar, o que era inconveniente demais. Ainda assim, a duração da bateria realmente melhorou. Reclamei online com o suporte ao cliente da empresa, mas eles também não sabiam por que a bateria era tão ruim e só disseram para eu tentar restaurar o celular para as configurações de fábrica, como se eu tivesse mudado alguma opção. Depois que mudei para a Polar, o relógio que uso agora dura 5 dias com uma carga. Uma diferença enorme em relação a menos de um dia
Que empresa maravilhosa. Compram um dos melhores fabricantes de CPAP, depois economizam no material até chegar ao ponto em que um recall por câncer faz sentido financeiramente, e certamente não tinham a opção de esconder isso pelo máximo de tempo possível
Por que uma escova de dentes precisaria ter conexão com a web em primeiro lugar? Entendo a questão de acompanhar hábitos de escovação, mas isso não poderia ser feito só com uma conexão local, como numa LAN?
E não podemos esquecer dos aspiradores, geladeiras, máquinas de lavar, cafeteiras e incontáveis eletrodomésticos “inteligentes” que enviam dados pessoais. Dá vontade até de fazer uma pesquisa sobre quantas pessoas no HN constroem exatamente esse tipo de tecnologia, quantas estão lendo este post e quantas realmente se importam com isso
Acho que toda tecnologia passa por um período de experimentação antes de ficar claro como ela deve ser usada
Foi assim que bombas tiveram o Project Plowshare, e agora até dispositivos que só precisariam de um botão liga/desliga estão ganhando conexão com a internet. Não entendo muito bem por que precisamos de escovas conectadas, mas, mesmo que de vez em quando surja uma botnet baseada em escovas, valorizo muito esse espírito experimental
Só falando da internet, já tivemos uns 40 anos para “experimentar”. Agora já é hora de haver resultados, conclusões e algum tipo de produto relativamente maduro
[0] https://news.ycombinator.com/context?id=39253045
Como vender o produto X mais caro? Basta colocar Wi‑Fi e IA. Dá para fazer isso com quase qualquer coisa
e eu não falei nada, porque não era escritor do Onion
Depois vieram buscar o Black Mirror
e eu não falei nada, porque não era escritor do Mirror
Depois vieram atrás de Horselover Fat…
A insanidade já está aqui. Só não está distribuída de forma uniforme
O “porquê” é claro. Sempre há mercado para dados agregados sobre comportamento humano
Stanislav Lem escreveu “Washer Tragedy”, sobre máquinas de lavar ficando inteligentes e assumindo o controle; ao ver esse tipo de escova, ele provavelmente ficaria orgulhoso
Tenho medo da inevitável guerra dos dildos da internet que virá em 2037. Um cenário em que milhões de dildos conectados e geladeiras em rede causam caos em toda a internet, provocam bilhões de dólares em danos, e “os suspeitos continuam foragidos”
Acho que era sobre gravações de voz feitas pelo app companheiro que vazaram