1 pontos por GN⁺ 2024-02-09 | 1 comentários | Compartilhar no WhatsApp
  • A Fortinet corrigiu a reportagem de que 3 milhões de escovas de dentes inteligentes teriam sido usadas em um ataque DDoS, afirmando que se tratava de um exemplo de tipo de ataque, não de um incidente real; mas o veículo que publicou primeiro, o Aargauer Zeitung, contestou, dizendo que a Fortinet o apresentou como um caso real
  • A reportagem inicial afirmou que escovas de dentes inteligentes com sistema operacional baseado em Java foram infectadas por malware e viraram uma botnet, derrubando por 4 horas o site de uma empresa suíça e causando prejuízos de milhões de euros
  • A Fortinet explicou que a história não se baseava em pesquisas da Fortinet ou do FortiGuard Labs, e que, durante a tradução, a fronteira entre um cenário hipotético e um caso real ficou borrada
  • O Aargauer Zeitung rebateu que representantes da Fortinet na Suíça não corrigiram a expressão “incidente que realmente aconteceu” em reuniões nem durante a revisão do texto antes da publicação
  • Independentemente da disputa sobre a veracidade, dispositivos IoT conectados, como escovas de dentes, roteadores e câmeras de vigilância, podem se tornar alvos de ataque ou recursos de botnet, exigindo atualizações e monitoramento da rede

A correção da Fortinet e a contestação do Aargauer Zeitung

  • A Fortinet corrigiu a reportagem de que 3 milhões de escovas de dentes inteligentes teriam sido usadas em um ataque DDoS, dizendo que ela era imprecisa
    • Explicou que o caso das escovas era um exemplo usado durante uma entrevista para ilustrar um tipo específico de ataque
    • O conteúdo não se baseava em pesquisas da Fortinet ou do FortiGuard Labs
    • A empresa entende que, no processo de tradução, foi criada uma narrativa que misturou cenário hipotético e caso real
  • O Aargauer Zeitung não aceitou a explicação da Fortinet sobre “problema de tradução”
    • Afirmou que representantes da Fortinet na Suíça descreveram o caso das escovas como um ataque DDoS real durante uma reunião sobre ameaças atuais
    • Segundo o veículo, a Fortinet também forneceu informações específicas sobre por quanto tempo o site da empresa suíça ficou fora do ar e qual teria sido a escala dos danos
    • Explicou que o nome da empresa afetada não foi divulgado pela Fortinet por consideração ao cliente
    • Rebateu dizendo que o texto foi enviado à Fortinet para revisão antes da publicação e que não houve objeção à expressão de que se tratava de um incidente real

O ataque descrito na primeira reportagem

  • A reportagem inicial afirmou que cerca de 3 milhões de escovas de dentes inteligentes foram infectadas por hackers e incorporadas a uma botnet
  • Essa botnet teria realizado um ataque DDoS contra o site de uma empresa suíça, e o site teria saído do ar por não suportar a carga do ataque
  • Segundo a reportagem, o ataque durou 4 horas e resultou em perdas comerciais na casa de milhões de euros
  • O texto original incluía uma frase no sentido de que “este exemplo, que parece um roteiro de Hollywood, realmente aconteceu”, e o veículo alemão Golem.de também o noticiou como um caso real
  • Vários falantes de alemão confirmaram que a tradução de “realmente aconteceu” estava correta

Explicação técnica e incertezas restantes

  • A reportagem inicial sugeriu que a botnet de escovas em questão poderia ter sido vulnerável por causa de um sistema operacional baseado em Java
  • Nenhuma marca específica de escova de dentes inteligente foi mencionada
  • A função normal de conectividade das escovas inteligentes era acompanhar e melhorar os hábitos de higiene bucal dos usuários
  • Após a infecção por malware, essas escovas teriam sido forçadas a integrar uma botnet
  • O nome da empresa suíça afetada e os detalhes dos prejuízos não foram divulgados

Alerta de segurança em IoT

  • Stefan Züger, da filial suíça da Fortinet, disse que qualquer dispositivo conectado à internet pode ser um alvo em potencial ou ser explorado em ataques
  • Além de escovas de dentes, roteadores, set-top boxes, câmeras de vigilância, campainhas, babás eletrônicas e máquinas de lavar entram na mesma categoria
  • Dispositivos conectados têm suas vulnerabilidades constantemente sondadas por hackers, e continua a disputa entre fabricantes de software e firmware de dispositivos e cibercriminosos
  • A Fortinet afirmou que, ao conectar à internet um PC desprotegido, ele foi infectado por malware em 20 minutos

O que usuários de dispositivos conectados devem fazer

  • Mesmo que os detalhes do caso ainda estejam em disputa, proprietários de dispositivos conectados devem manter os aparelhos, o firmware e o software atualizados
  • É preciso monitorar atividades suspeitas na rede
  • Software de segurança deve ser instalado e usado
  • Devem ser seguidas as melhores práticas de segurança de rede
  • A Tom’s Hardware alterou o título original, “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”, para refletir os novos desdobramentos

1 comentários

 
GN⁺ 2024-02-09
Opiniões do Hacker News
  • Esta matéria é estranha e faltam muitos detalhes. Pelo que eu sei, as grandes escovas de dente inteligentes usam BLE e não se conectam diretamente ao Wi‑Fi
    Tentei verificar os fatos, mas não encontrei nada. Muitos chips BLE também suportam Wi‑Fi, então não dá para descartar totalmente a possibilidade de alguém ter comprometido o firmware e ativado a função de Wi‑Fi, mas ainda assim fica a dúvida de como isso teria sido conectado ao Wi‑Fi para operar uma botnet. A premissa de que dispositivos IoT trazem riscos continua válida, mas sou bem cético em relação a esta matéria em si

    • Eu também fui checar os fatos, e falaram de um sistema operacional baseado em Java como possível causa
      Eu sei que existiu o Java ME e que há micro JVMs que rodam em microcontroladores, mas mesmo assim a história não fecha. O ataque DDoS realmente aconteceu, e isso acontece o tempo todo, mas parece que, no processo de tradução, perderam-se detalhes ou isso foi transformado em clickbait a partir de especialistas em segurança dizendo que esses ataques podem vir de qualquer lugar, até mesmo de escovas de dente
    • O ESP32 agora está sendo usado como chip de uso geral até em aplicações nas quais um MCU de 8 bits já bastaria. Se houver uma vulnerabilidade explorável remotamente no ESP32 ou no SDK, isso pode gerar consequências em larga escala
    • Isso não aconteceu de verdade, é só bobagem viralizada
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • Foi wardriving pela saúde bucal, por acaso?
  • Matéria realmente muito fraca. Alguém afirma que 3 milhões de escovas de dente inteligentes foram usadas num DDoS, mas ninguém diz o quê/quem/como fez isso
    Uma alegação tão incomum assim parece exigir pelo menos algum tipo de evidência. Não deveria haver ao menos alguns detalhes técnicos que permitissem identificá-las como escovas de dente?

    • Mesmo que as escovas inteligentes estivessem conectadas ao Wi‑Fi, também é estranho imaginar que estariam expostas à internet pública. A maioria não usa algo como um modem a cabo tosco fornecido pelo provedor, com um firewall de entrada básico?
    • Eu também gostaria de ver mais detalhes, mas não acho que isso seja tão incomum assim em eletrodomésticos Wi‑Fi baratos
  • Eu uso uma escova Philips antiga, sem Bluetooth, sem internet e sem cabeças de escova com bloqueio de fornecedor, e ela ainda carrega por indução dentro de um copo de vidro. Gosto muito dela
    Recentemente tentei comprar uma segunda, mas só consegui encontrar modelos novos cheios de funcionalidades inúteis que eu não queria. Quem, afinal, quer conectar uma escova de dente à internet? Acabei procurando estoque antigo no eBay. Pode soar cruel, mas espero que o idiota que decidiu colocar esse tipo de recurso no produto e o subordinado inepto que o implementou tenham um dia ruim hoje e reflitam sobre a sabedoria do que fizeram

    • Wi‑Fi é ridículo, mas a conexão por Bluetooth/app tem vantagens reais. Ela serve para ver quais áreas você está escovando e quais está deixando passar
      Desde que comecei a usar uma escova inteligente com aplicativo no celular, meu dentista percebeu uma melhora clara na placa atrás dos meus molares
  • Se o alerta é para “manter dispositivos, firmware e software atualizados, monitorar atividades suspeitas, instalar e usar software de segurança e seguir as melhores práticas de segurança de rede”, então talvez o ideal fosse permitir a compra de escovas de dente inteligentes apenas para consumidores com certificação obrigatória

    • Claro, então a responsabilidade fica com o dono do dispositivo, e não com o fabricante, que deveria de fato produzir dispositivos seguros
    • “Monitorar atividades suspeitas na rede”, é? Isso equivale a exigir que pessoas que entendem o roteador apenas como a caixa que entrega internet rodem uma captura de pacotes e interpretem o resultado
  • Eu estava lembrando errado desses dois como se fossem um único quadrinho, mas acho que não dá para ter tudo
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Aviso sobre a escova de dentes elétrica da Philips: não dá para desligar o Bluetooth mesmo sem usar os recursos inteligentes
    Também é preciso tomar cuidado com os purificadores de ar Philips com Wi‑Fi. Isso porque não dá para desativar a função de controle remoto. Para concluir a configuração, é preciso criar um hotspot Wi‑Fi ao qual você se conecta pelo smartphone e, se não usar esse recurso, o purificador fica criando um hotspot Wi‑Fi permanente, à espera de ser explorado

    • Isso me lembrou algo que li alguns dias atrás. Era sobre o Home Assistant detectar a escova Bluetooth do vizinho e agora ser possível ver quando eles escovam os dentes
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • Acabei me desfazendo de um relógio fitness cuja bateria era terrivelmente ruim, mas por um tempo eu não sabia por quê. Só meses depois percebi o mesmo fato, e não dava para desligar o Bluetooth
      O app do celular e o relógio ficavam o tempo todo se procurando para sincronizar, e a alternativa era desemparelhar para usar e depois parear de novo para sincronizar, o que era inconveniente demais. Ainda assim, a duração da bateria realmente melhorou. Reclamei online com o suporte ao cliente da empresa, mas eles também não sabiam por que a bateria era tão ruim e só disseram para eu tentar restaurar o celular para as configurações de fábrica, como se eu tivesse mudado alguma opção. Depois que mudei para a Polar, o relógio que uso agora dura 5 dias com uma carga. Uma diferença enorme em relação a menos de um dia
    • No mesmo tema, também é bom tomar cuidado com os dispositivos CPAP da Philips. Eles pulverizam lentamente nos seus pulmões uma espuma cancerígena que se decompõe enquanto você dorme
      Que empresa maravilhosa. Compram um dos melhores fabricantes de CPAP, depois economizam no material até chegar ao ponto em que um recall por câncer faz sentido financeiramente, e certamente não tinham a opção de esconder isso pelo máximo de tempo possível
    • Que risco um hotspot Wi‑Fi de um purificador de ar que não está conectado a nenhuma rede ou computador pode expor?
    • Talvez não dê para desligar o Bluetooth, mas dá para escolher não emparelhar com nada. Você também pode remover o pareamento depois de configurar o dispositivo
  • Por que uma escova de dentes precisaria ter conexão com a web em primeiro lugar? Entendo a questão de acompanhar hábitos de escovação, mas isso não poderia ser feito só com uma conexão local, como numa LAN?

    • Nem todo usuário de escova de dentes tem capacidade de manter um servidor em casa e conectar o aparelho a ele. Na verdade, acho até que a maioria nem sabia o que estava ativando ao inicializar a escova
      E não podemos esquecer dos aspiradores, geladeiras, máquinas de lavar, cafeteiras e incontáveis eletrodomésticos “inteligentes” que enviam dados pessoais. Dá vontade até de fazer uma pesquisa sobre quantas pessoas no HN constroem exatamente esse tipo de tecnologia, quantas estão lendo este post e quantas realmente se importam com isso
    • Será que não é porque o modelo de negócio real é vender dados agregados?
    • Vi recentemente numa loja que todas as escovas estavam anunciando “IA”, app, Wi‑Fi/Bluetooth e afins. Pelo visto é difícil colocar um diferencial de venda premium racional nesses produtos
    • Penso a mesma coisa, mas se a própria escova não armazena os dados, qual dispositivo numa casa comum deveria recebê-los?
  • Acho que toda tecnologia passa por um período de experimentação antes de ficar claro como ela deve ser usada
    Foi assim que bombas tiveram o Project Plowshare, e agora até dispositivos que só precisariam de um botão liga/desliga estão ganhando conexão com a internet. Não entendo muito bem por que precisamos de escovas conectadas, mas, mesmo que de vez em quando surja uma botnet baseada em escovas, valorizo muito esse espírito experimental

    • Claro que é preciso experimentar antes de ficar claro como uma tecnologia será usada. Mas, como foi dito aqui ontem [0], experimentos geram consequências amplas, por isso cientistas profissionais têm códigos de ética, e o setor de tecnologia parece ter bem pouco disso
      Só falando da internet, já tivemos uns 40 anos para “experimentar”. Agora já é hora de haver resultados, conclusões e algum tipo de produto relativamente maduro
      [0] https://news.ycombinator.com/context?id=39253045
    • Isso é mesmo um experimento ou é só uma forma de colocar um preço mais alto no aparelho ao adicionar Wi‑Fi?
      Como vender o produto X mais caro? Basta colocar Wi‑Fi e IA. Dá para fazer isso com quase qualquer coisa
    • Primeiro vieram buscar o The Onion
      e eu não falei nada, porque não era escritor do Onion
      Depois vieram buscar o Black Mirror
      e eu não falei nada, porque não era escritor do Mirror
      Depois vieram atrás de Horselover Fat…
      A insanidade já está aqui. Só não está distribuída de forma uniforme
    • Isto não é um experimento. Já é um modelo de negócio completo, com até uma sigla conhecida: SaaS
      O “porquê” é claro. Sempre há mercado para dados agregados sobre comportamento humano
    • Não é preciso ensinar honestidade às crianças. Basta vigiar as escovas de dentes delas
  • Stanislav Lem escreveu “Washer Tragedy”, sobre máquinas de lavar ficando inteligentes e assumindo o controle; ao ver esse tipo de escova, ele provavelmente ficaria orgulhoso

  • Tenho medo da inevitável guerra dos dildos da internet que virá em 2037. Um cenário em que milhões de dildos conectados e geladeiras em rede causam caos em toda a internet, provocam bilhões de dólares em danos, e “os suspeitos continuam foragidos”

    • “Dildo conectado à internet com suporte ao ChatGPT” é um insulto mortal contra comentaristas da internet
    • Já não teve um incidente com dildo inteligente em 2022?
      Acho que era sobre gravações de voz feitas pelo app companheiro que vazaram