[Frissítés] 3 millió, malware-rel fertőzött okosfogkefét NEM használtak fel egy DDoS támadásban

Titkosítás, biztonság, privát szféra

Egy svájci vállalat honlapját DDoS-olták le egyelőre még szokatlan módon: 3 millió, malware-rel fertőzött okosfogkefét szerveztek botnet-be és azzal terhelték túl a szolgáltatást, okozva ezzel több millió eurónyi kárt. Az operációs rendszerről annyit ír az egyik forrás, hogy "Java-alapú", a fogkefe márkáját nem említik. Azt pedig, hogy egy okosfogkefének miért nem elegendő egy Bluetooth kapcsolat (ha már mindenképpen szükséges), azt csak találgatni tudjuk. Részletek itt.

Frissítés:

A cikkben emlegetett biztonsági cég, a Fortinet egy közleményt adott ki, miszerint nem történt meg az eset, mindössze példaként említették egy interjú során, hogy akár meg is történhetne.

( blueghost | 2024. 02. 07., sze – 13:09 )

Nagyon okosak lehetnek ezek a fogkefék akkor. Doom vajon fut rajta?

Azt mondjuk nem értem, hogy egy fogkefének minek kell okosnak lenni. Az, hogy elektromos, oké, de hogy okos? Értem, hogy a sok debilnek legalább a szájában legyen valami okos, ha már ő hülye, de azért ez már fetisizmus szintje. Mi jön még ez után? Okosvécékefe? Okosgumikesztyű?

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Én most vettem £60-ért (30.000 Ft) automatikus, mozgás-(közelség-?)érzékelős szemetes kukát (nem, nincs hálózatra kötve, csak egy érzékelő van benne).

Itten van: https://youtube.com/shorts/-qSkSFVJpkc

Hülye-e vagyok?

Nem, nem vagyok az.

Napi szinten minimálisat nyújt, de hosszú távon baromi kényelmes, és nagyon sokat ad az ember komfortérzetéhez az, hogy nem kell kézzel emelgetni, billenteni a kuka fedelét, étel készítés közben szennyeződést, vagy folyamatos kézmosást vállalva, vagy lábbal, egyensúly vesztést kockáztatva rálépni a pedálra.

Ha sose próbáltad... próbáld ki.

A hagyományos konyhai szemeteskuka sose lesz ugyanolyan utána.

Nem tudom, hogy az "okosvécékefe" mit tud. Lehet, hogy baromság.

De nem minden baromság, ami drága, és unkonvencionális.

Kissé távoli asszociáció, de nekem meg az a bangkoki néni jutott eszembe, aki olyan isteni wokot csinál egy útszéli kifőzdében, hogy Michelin csillagot kapott. Mikor először olvastam a történetet, sírtam a röhögéstől, de mikor megláttam a róla készült képet, egyszerűen begurultam az asztal alá. Síszemüvegben, gumikötényben állt egy kondér mellet egy hatalmas kanállal.

A Michelin csillagot csak harmadjára sikerült neki átadni, mert az első két hívást azzal nyomta ki, hogy "nem veszek semmit". :-D

Ha jól sejtem, tőle balra az a nagy fehér lehet a félautomata szemetese.

Science for fun...

Erőssen kellene gondolkodnom, hogy megfejtsem mivel jobb, mint egy pedálos.

vs.

...vagy lábbal, egyensúly vesztést kockáztatva rálépni a pedálra

Nem mellesleg egy mozdulattal kevesebb. Ami étel készítés közben (vagy általánosságban home-office-ban) nagyon hamar összeadódik.

Mi ez, ha nem hatékony automatizáció?

( buki | 2024. 02. 07., sze – 13:12 )

2035. április 1.

Gyakorlatilag összeomlott az angol font árfolyama, miután a Bank of England épületeit vasárnap este a Richter-skála szerinti 6,8-es erősségű földrengés pusztította el.

Szeizmológusok egybehangzó véleménye szerint a jelenséget 3 millió botnetbe szervezett okosvibrátor váltotta ki.

Hétfőn reggel a BoE hivatalos közleményét Michelle Wild szóvivő feltűnően derűsen, kisimult arccal olvasta fel.

A vibrátorokat gyártó cég vezérigazgatója ezzel szemben tömören csak annyit mondott az esettel kapcsolatban: elkúrtuk.

Science for fun...

( Celtic v | 2024. 02. 07., sze – 14:43 )

Ilyen nem létezik :) Ilyen nincs :) 
Nem tudom abbahagyni a röhögést. Meg felfogni, mi értelme az "okos fogkefének" ?

http://www.micros~1
Rekurzió: lásd rekurzió.

mi értelme az okos fogkefének

Az nem tudom, hogy értelme-e, de pl. a miénk (Sonicare ProtectiveClean 4300 Szónikus elektromos fogkefe) meg tudja mutatni app-ban, hogy melyik régiókat nem mosod rendesen, mennyi üzemidő van a fejben, mikor kell cserélni stb.. Mint egy falat kenyér ...

Mondjuk ehhez max. Bluetooth kapcsolatot kér(ne), ha adnék neki.

trey @ gépház

Azért mert a fogkefe sajátmaga standalone-ban lófaszt se tud. Az csak egy buta szenzor, gyűjt annyi adatot amennyit bír. A nyers adatot küldi a szervernek, és a szerveren futó adatbányász mesterségesintelligencia találja ki ezeket az okosságokat. A robotporszívóban sincs annyi lokális cpu meg ram meg storage h. fel tudja térképezni a szobát/lakást. Küldi a nyers szenzor adatot a szerverre ahogy a csövön kifér. Ott elemezgetik, utána visszaküldik a feldolgozott leredukált végeredményt, amivel már a beépített processzor is elbír.

Ezért kell minden okosszarnak az internet, h. hazaküldje a töméntelen rögzített adatot, ott van meg a számítási kapacitás ezeket feldolgozni. Aztán h. miegyebet csinálnak azzal a csilliárd petabájtnyi adattal, amit begyűjtenek napi szinten attól a sokmillió embertől, na az már köldöknézős pingvinezős szenátusi meghallgatás (már ha a kínai tacsung csing csung CEO bedugja a képét az usa-ba valaha is h. elkapják a reptéren) témája lenne.

Az összes hangasszisztens is hazaküld minden beszédet meg zajt feldolgozásra, amit lehallgat a házadban. Alufóliasipkás, mondaná erre a sok naív ember. Közben meg: 

Amazon has even admitted that its voice assistant can sometimes record conversations without the user's knowledge or permission. Like all Alexa interactions, these accidental recordings are sent to Amazon's servers

Én is fülöp fogkefét vettem a családnak, ámbár nem okos bizbaszt csak simát. Nem kell app hogy tudjuk mennyit használtuk és hogyan, ezt megtartjuk az agyunknak.
Már kezdem bánni a szuper okoségőket is, bár tetszik hogy állítható hogy milyen színnel világítsanak, aggaszt hogy forgalmuk van kifelé és ezt kezelnem kell.

Igazság szerint semmi szükség arra hogy online menjen a fokhagymanyomóm is, nekem csak egy eszköz kell ami a végzi a hivatott dolgát és semmi többet. Úgy néz ki most ebbe az irányba halad az ipar hogy szanaszét próbálja  figyelni a népet.

Azért ezt az okoseszköz kezelést/védelmet se kell túlmisztifikálni.

Csinálsz egy guest wifi-t ami csak az internet felé mehet, beállitod rajta a guest isolation-t, hogy egymást se lássák, oszt jónapot.

Ha nagyon akarod még lekorlátozhatod a kimenő sávszélt is.

Ez kb 10 perc.

Botnet még lehet belőlük, de sem kémkedni nem tudnak utánad, sem feltörni nem tud belül semmit.

A trey által leírtakon túl pl.: nekem Home Assistantba be van kötve a fogkefe, és rá van kötve, hogy amikor végzek az esti fogmosással (ez az utolsó tevékenységem lefekvés előtt), utána 5 perc múlva kapcsolgasson le lámpákat. :) Persze, ez totál kényelmi dolog, de én szeretem, hogy így fogmosás után szépen világosban elslattyoghatok az ágyamig, és nem kell még külön kapcsolgatni is. Szóval konkrétan ilyen "vége az estének" triggerként használom, de ha jól tudom, az enyém csak sima BLE-szenzorként működik, aminek ugyan vannak biztonsági hiányosságai (pl. ha lenne nagyon közeli szomszéd, akkor tudná, mikor és hogy mosok fogat), de nem a cikkben leírtakhoz hasonlóak.

( rengat | 2024. 02. 07., sze – 14:48 )

Azért elsőre megnéztem a pontos dátumot, hogy nem-e április eleje van... :D

( joco01 v | 2024. 02. 07., sze – 15:08 )

Szavazzunk, ki a nagyobb hülye? Aki fogkefére hálózati stacket fejleszt, vagy aki ezt a fogkefét megveszi és felcsatlakoztatja a netre?

"aki ezt a fogkefét megveszi és felcsatlakoztatja a netre"

Ilyen az emberi természet. Az a meglepő, hogy ezen meglepődtél. Ők a többség, akik eldöntik a szavazásokat. Régebben is ez volt, de nem volt ennyire felismerhető. Az internet miatt még inkább látható, milyen is az "átlagos" ember.

Nem látok nagy különbséget, amikor kínai webkamerákkal, okosizzóval DDOS támadnak, vagy amikor fogkefével. Ez egyre durvább lesz és nem lehet tenni ellene semmit. Erre megy a világ.

( kubi | 2024. 02. 07., sze – 15:36 )

Most akkor ugyanez vizforralokkal vagy elektromos sutokkel.

Hogy viselne az elektromos halozat, ha a varos osszes sutoje masodpercre pontosan egyszerre kapcsolna ki-be-ki-be?

Meg a tuzoltosag...

( zh4ck | 2024. 02. 07., sze – 17:24 )

Mint IoT biztonsági szakértő, szerintem ez a cikk egy nagy bullshit. 

Annyi valóság tartalma van hogy "elméletileg lehetséges hogy okos fogkefe (WiFi-s, nem Bluetooth-os) DDOS-ban vegyen részt". Praktikusan ilyen nincs. Másik szakértő nyilatkozott hogy 3 millió gép vett részt a támadásban, az újságíró meg álmodott egy nagyot és megírta ezt a cikket. 

teljesen igazad van, nem csak hogy nyilvánvalóan bullshit, de azóta ki is derült, hogy fake news:

https://www.bleepingcomputer.com/news/security/no-3-million-electric-toothbrushes-were-not-used-in-a-ddos-attack/

sőt, végre a Forti (vagyis az eredeti "forrás") is megszólalt az ügyben:

https://cyberplace.social/@GossiTheDog/111892646485958733

Mint IoT biztonsági szakértő,

WiFi-s, nem Bluetooth-os)

Oszt' mondja kerem miert lehetne kizarni a Bluetooth-t?

Egy okos fogkefe nem periferia, nem egy headset vagy eger. Annak bizony a masik vegen egy mobilapplikacio figyel .

 

Most hazi feladatkent hozz egyetlen egy olyan bluetoothos fogkefe gyartot amelyiknek a mobilapplikacioja teljesen offline mukodik es semmilyen korulmenyek kozott se akarna kommunikalni az anyahajoval.

 

Bonuszfeladatkent egy olyan mobilapplikaciot amelyik nem akar semmilyen kulso konyvtarat behuzni maga ala....

 

Volt mar malware meg npm javascriptes libraryben is, sot bug egy 3(!) soros npm libraryben. (ahol az erdemi resz 3 sor volt az osszes tobbi dolog csak a package keszites miatt volt).

 

Ettol meg ez a konkret hír lehet kacsa, de az otlet teljesen jarhato. Annyi kokany mobilapplikacio van....

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Amúgy valszeg kacsa az egész: nyilatkozott valamit a Fortinet-es alkalmazott, amit a természetesintelligencia-mentes firkász nem értett v. nem úgy értett meg, és költotte belőle ezt a jelenlegi katyvaszt. A hasonlóan értelmes többi firkász meg kritika nèlkül átvette az egészet:

https://www.bleepingcomputer.com/news/security/no-3-million-electric-to…

Már a WiFi-s okos fogkefe DDOS történet is inkább science fiction mint valóság. 

De mi a bajom a Bluetooth-os sztorival?
Hogy elméletileg lehetséges-e hogy a fogkefe valahogy arra utasítja a mobilappot hogy csatlakozzon egy olyan szerverre amihez alapból nem lenne joga? Igen, lehetséges.
Tudna valaki demót csinálni erre ahol hálózati csomagok rossz helyre mennek? Talán. 
Ezzel lehetne bármilyen valós, érezhető DDOS-t elérni? Erősen kétlem. A DDOS programok nem így működnek. Néztem már DDOS program forráskódját, és labor környezetben is futtattam már Mirai-t. 

Mindkét fél kellett ehhez. Nem tudjuk hogy pontosan mit kérdezett az újságíró amire okos fogkefe volt a szakértői válasz. 

Én is jártam már úgy hogy nyilatkoztam egy újságírónak, és amikor a cikket olvastam, nyomokban sem találtam meg azt amiről mi beszéltünk. És ha megkérem az újságírót hogy szeretném látni a cikket megjelenés előtt, akkor általában vagy az a válasz hogy nem. Vagy az hogy megnézhetem de nem változtatnak rajta. Vagy megígérik hogy ha valami nem OK akkor lehet változtatni rajta, de előbb jelenik meg a hülyeség mint a korrekció. 

Számomra a tanulság hogy csak megbízható, hozzáértő újságírónak szabad nyilatkozni. 

Ezzel lehetne bármilyen valós, érezhető DDOS-t elérni? Erősen kétlem.

Ha - ahogy mondod - fogkefék nem léphetnek botnet hálózatba, hogy le DDoS-oljnak egy svájci weboldalt, ahol több millió eurós kárt okoznak, akkor nem hozom elő szakértőként. Megtörtént, ott van a nyilatkozatban.

Nagyon kicsi esélyét látom annak, hogy ilyen sztorit egy újságíró maga találjon ki.

trey @ gépház

Pedig a blikk-színvonalú firkászás ilyen szinten megy: kell a kiba szenzáció, minden nap, minimum 15 percenként

sosem gondolta volna, hogy

nem is számított rá, hogy

ezt kell tudnia, ha nem szeretne

és a többi figyelemvadász undorító trükk

Vesznek valami teljesen ártatlan, vagy irreleváns témát, és valahogy addig kell torzítani amíg a kiba szenzáció nem jön ki belőle, amit lehet is azonnal megjelentetni.

Az h. faszságot írtak bele, senkit nem érdekel ebben a játékban, csak az a lényeg h. főoldalon jelenjen meg, vegye át a faszom közösségi média, erről pofázzon mindenki. Aztán ha 1-2 hét múlva kiderül h. kolosszális faszságot írt le az ember, már a kutya nem fog vele foglalkozni, mert addigra már 6500 másik szintén szemenszedett hazugság szenzációt kifosott magából az adott újság.

Nem kell félteni a security cégek jó képességű PR-osait sem, azok is képesek balfaszságokat előadni. Van tapasztalatunk velük. Neveket nem mondanék.

Azt a Fortinet elismerte, hogy ők hozták példaként a botnet-be szerveződő fogkeféket. Minek hozták, ha nem valós?

trey @ gépház

Hogy elméletileg lehetséges-e hogy a fogkefe valahogy arra utasítja a mobilappot

Igazabol a mobilappban van a malware kezdettol fogva. Mar csak az a kerdes, hogy minek a triggereleshez a fogkefe.

 

Science fiction. Egy okosizzonak tobb haszna van. Az mar eleve wifis, 24/7 tapja van. De a huto is ilyen. Azzal is lehet kezdeni valamit.

A fogkefe az tenyleg hatareset.

 

Ha en terveznek ilyen tamadast, akkor valamelyik regen elfeledett, de millio szamra eladott biztonsagi kameraval kezdenek.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Épp akartam én is írni, hogy a hwsw is lehozta, kamu a hír. Kicsit furcsa is volt, hogy fogkefék hogy lehetnek annyira okosak, hogy botnetbe kapcsolva meg lehet rajtuk keresztül valósítani ilyen támadást. Az kicsit overkill számítási kapacitás lenne egy okosfogkefétől is.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Nem is értem miért számít ez, hogy hány nappal. Attól még a tényeg, érvek nem változnak, hogy hány napos hír, meg igaz-e vagy kamu. De ha ennyivel jobban benne vagy, linkeld kérlek a sztori végét, hogy a magam fajta tudatlanok is meg tudják fogni a lényeget.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

A hírek szerint (és kb. utánagondolva is kb. ez lehetett a helyzet) a Fortinet adott egy interjút, amiben beszélt erről a 3 millió fogkefés DDoS-ról. Később, amikor gondolom a sec. szakma szétszedte a sztorit, damage control jelleggel tagadta, hogy valós a sztori és azt állította, hogy csak mint lehetséges forgatókönyvet vázolta fel az interjúban. Sántít, mert ha tudja a Fortinet, hogy ilyen nem lehetséges, akkor miért említette volna meg?

A lap megírta, hogy kiáll a sztori mellett, mert azt release előtt átküldte a Fortinet-nek, ami elolvasta és jóváhagyta.

Szerintem itt a Fortinet a kamus.

trey @ gépház

Az a baj, hogy ezek nem cáfolják azt, amit írtam. Az érveim továbbra is helytállóak, a hír meg továbbra is kamu, mert nem történt DDoS. Itt van a sztori valódi vége. Persze, lehet ragozni, hogy Fortimiacsoda, meg újságíró jobbra-balra, csak a lényegen nem fog változtatni. Így nem is érdekes, hogy kinek a hibája, hogy valódiként lett felkapva ez a kamu hír. Megtörtént a helyreigazítás, mindenki továbbléphet. Annyi az extra csak ezen felül, hogy az esettel kapcsolatban leírtam az elvi véleményem, miszerint, 1) azokat az eszközöket kell okosítani, amik abból tényleg profitálnak, 2) ha okosítják is, akkor sem szabad annyira túlokosítani, hogy ilyen visszaélést meg lehessen lépéni vele, meg a túlokosítás a gyártási költségeket is feleslegesen dobja meg.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Kurván nem mindegy, hogy egy security vendor légből kapott állításokat tesz vagy sem. A termékei felelnek sok helyen a biztonságért. Nem értem miről beszélsz. Kb. azért jelent meg sok helyen, mert nem Babi néni nyilatkozta le, hanem egy ismert security vendor (ez adott hitelt az állításnak), ami most próbál kihátrálni a sztoriból.

trey @ gépház

( Friczy v | 2024. 02. 09., p – 10:34 )

Ha már okoseszköz, itt az okos golflabda is :)

Erről jutott eszembe az alábbi:

Golfpálya öltözőjében egy fickó gyönyörködik egy golflabdában.
- Új? - kérdezi a haverja.
- Ez a világ legjobb golflabdája!
- Miért?
- Nem lehet elveszíteni. Beütöd a sűrűbe, fütyül. Erdőbe ütöd, sípol. A vízen úszik, sötétben foszforeszkál...
- És hogy szerezted?
- Találtam.

( zh4ck | 2024. 02. 09., p – 14:55 )

Sokan kérdezték mire jó az okos fogkefe, és én is ma tudtam meg:
USA-ban a munkáltató köthet az alkalmazottra fogászati biztosítást. Ekkor a biztosító megkövetelheti, hogy az alacsonyabb díj érdekében használjon az alkalmazott okos fogkefét. 

Ha baj van, és a biztosítónak fizetnie kellene, akkor biztosító ránéz a használati szokásokra, és annak megfelelően fizet.

Saját véleményem van erről, de inkább megtartom magamnak :)