Fortinet: „3 Millionen smarte Zahnbürsten für DDoS war kein realer Vorfall“ … zuerst berichtendes Medium widerspricht
(tomshardware.com)- Fortinet hat seine Aussage korrigiert, wonach 3 Millionen smarte Zahnbürsten für einen DDoS-Angriff genutzt worden seien, und erklärt, es habe sich nicht um einen realen Vorfall, sondern um ein Beispiel für eine Angriffsart gehandelt. Das zuerst berichtende Medium Aargauer Zeitung widerspricht jedoch und sagt, Fortinet habe es als tatsächlichen Fall dargestellt.
- Der erste Bericht meldete, dass smarte Zahnbürsten mit einem Java-basierten OS mit Malware infiziert und Teil eines Botnets geworden seien, das die Website eines Schweizer Unternehmens 4 Stunden lang lahmlegte und Schäden in Millionenhöhe verursachte.
- Fortinet erklärte, die Geschichte habe nicht auf Forschung von Fortinet oder FortiGuard Labs basiert; im Übersetzungsprozess sei die Grenze zwischen einem hypothetischen Szenario und einem realen Fall verwischt worden.
- Die Aargauer Zeitung entgegnet, dass Fortinet-Mitarbeiter in der Schweiz die Formulierung „tatsächlich geschehener Vorfall“ weder in Besprechungen noch bei der Prüfung des Manuskripts vor Veröffentlichung korrigiert hätten.
- Unabhängig von der Debatte über den Wahrheitsgehalt können vernetzte IoT-Geräte wie Zahnbürsten, Router und Überwachungskameras Angriffsziele oder Botnet-Ressourcen werden; deshalb sind Updates und Netzwerküberwachung notwendig.
Fortinets Korrektur und der Widerspruch der Aargauer Zeitung
- Fortinet hat die Berichterstattung korrigiert, wonach 3 Millionen smarte Zahnbürsten für einen DDoS-Angriff genutzt worden seien, und bezeichnet sie als ungenau.
- Der Zahnbürstenfall sei in einem Interview als Beispiel genannt worden, um eine bestimmte Angriffsart zu veranschaulichen.
- Die Aussage basiere nicht auf Forschung von Fortinet oder FortiGuard Labs.
- Nach Ansicht des Unternehmens entstand im Übersetzungsprozess eine Darstellung, in der hypothetisches Szenario und realer Fall vermischt wurden.
- Die Aargauer Zeitung akzeptiert Fortinets Erklärung eines „Übersetzungsproblems“ nicht.
- Sie erklärt, Fortinet-Verantwortliche in der Schweiz hätten den Zahnbürstenfall in einer Diskussion über aktuelle Bedrohungen als realen DDoS-Angriff beschrieben.
- Auch konkrete Informationen dazu, wie lange die Website des Schweizer Unternehmens ausgefallen sei und wie hoch der Schaden gewesen sei, seien von Fortinet geliefert worden.
- Den Namen des betroffenen Unternehmens habe Fortinet mit Rücksicht auf den Kunden nicht veröffentlicht.
- Das Manuskript sei Fortinet vor der Veröffentlichung zur Prüfung vorgelegt worden, und gegen die Formulierung, es handle sich um einen realen Vorfall, habe es keinen Einwand gegeben.
Im ersten Bericht dargestellter Angriff
- Der erste Bericht sagte, rund 3 Millionen smarte Zahnbürsten seien von Hackern infiziert und in ein Botnet aufgenommen worden.
- Dieses Botnet habe einen DDoS-Angriff auf die Website eines Schweizer Unternehmens ausgeführt, die der Last nicht standhielt und ausfiel.
- Der Angriff habe 4 Stunden angedauert, und der Schaden habe zu Geschäftseinbußen in Millionenhöhe geführt.
- Im Originaltext stand sinngemäß ein Satz, dass dieses Beispiel, obwohl es wie ein Hollywood-Szenario wirke, tatsächlich passiert sei; auch das deutschsprachige Medium Golem.de berichtete darüber als realen Vorfall.
- Mehrere deutschsprachige Sprecher bestätigten, dass die Übersetzung von „es ist tatsächlich passiert“ korrekt sei.
Technische Erklärung und verbleibende Unsicherheiten
- Der erste Bericht stellte die Möglichkeit in den Raum, dass das betreffende Zahnbürsten-Botnet wegen eines Java-basierten OS verwundbar gewesen sein könnte.
- Eine konkrete Marke smarter Zahnbürsten wurde nicht genannt.
- Die normalen Verbindungsfunktionen der smarten Zahnbürsten dienten dazu, die Mundhygienegewohnheiten der Nutzer zu verfolgen und zu verbessern.
- Nach der Malware-Infektion seien die Zahnbürsten zwangsweise in das Botnet eingegliedert worden.
- Name des betroffenen Schweizer Unternehmens und detaillierte Schadensangaben wurden nicht veröffentlicht.
IoT-Sicherheitswarnung
- Stefan Züger von Fortinet Schweiz sagte, dass jedes mit dem Internet verbundene Gerät ein potenzielles Ziel sei oder für Angriffe missbraucht werden könne.
- Neben Zahnbürsten gehören auch Router, Set-Top-Boxen, Überwachungskameras, Türklingeln, Babyphones und Waschmaschinen in dieselbe Kategorie.
- Vernetzte Geräte würden von Hackern fortlaufend auf Schwachstellen untersucht, und der Wettbewerb zwischen Herstellern von Geräte-Software und -Firmware sowie Cyberkriminellen gehe weiter.
- Fortinet erklärte, dass ein ungeschützter PC nach dem Anschluss ans Internet schon nach 20 Minuten mit Malware infiziert gewesen sei.
Was Nutzer vernetzter Geräte tun sollten
- Auch wenn über die genauen Fakten des Vorfalls noch gestritten wird, sollten Besitzer vernetzter Geräte Gerät, Firmware und Software auf dem neuesten Stand halten.
- Verdächtige Aktivitäten im Netzwerk sollten überwacht werden.
- Sicherheitssoftware sollte installiert und genutzt werden.
- Best Practices für Netzwerksicherheit sollten befolgt werden.
- Tom’s Hardware hat im Zuge der neuen Entwicklung den ursprünglichen Titel „Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages“ geändert.
1 Kommentare
Meinungen auf Hacker News
Dieser Artikel ist merkwürdig und lässt viele Details aus. Soweit ich weiß, verwenden die großen smarten Zahnbürsten alle BLE und verbinden sich nicht direkt mit Wi-Fi.
Ich habe versucht, das zu überprüfen, konnte aber nichts finden. Viele BLE-Chips können auch Wi-Fi, daher würde ich nicht völlig ausschließen, dass jemand die Firmware kompromittiert und die Wi-Fi-Funktion aktiviert hat. Aber ich frage mich schon, wie sie sich überhaupt mit Wi-Fi verbunden und ein Botnet betrieben haben sollen. Die Grundannahme über die Risiken von IoT-Geräten bleibt gültig, aber diesen Artikel selbst sehe ich ziemlich skeptisch.
Ich weiß, dass es Java ME gab und dass es Micro-JVMs gibt, die auf Mikrocontrollern laufen, aber trotzdem passt das nicht zusammen. DDoS-Angriffe gab es tatsächlich und sie passieren ständig, aber vermutlich haben Sicherheits-„Experten“ gesagt, solche Angriffe könnten von überall kommen, sogar von Zahnbürsten, und bei der Übersetzung sind dann Details verloren gegangen oder es wurde als Clickbait genutzt.
https://cyberplace.social/@GossiTheDog/111886558855943676
Ein wirklich schlampiger Artikel. Jemand behauptet, 3 Millionen smarte Zahnbürsten seien für DDoS genutzt worden, aber niemand sagt, was/wer/wie das gemacht haben soll.
Für so eine außergewöhnliche Behauptung bräuchte es zumindest irgendeinen Beleg. Sollte es nicht wenigstens technische Details geben, anhand derer man sie als Zahnbürsten identifizieren konnte?
Ich nutze eine alte Philips-Zahnbürste ohne Bluetooth, ohne Internet und ohne herstellergebundene Bürstenköpfe; sie lädt sogar kabellos im Glasbecher. Ich bin sehr zufrieden damit.
Als ich kürzlich eine zweite kaufen wollte, fand ich nur neue Modelle mit unerwünschten Müllfunktionen. Wer zum Teufel will eine Zahnbürste mit dem Internet verbinden? Am Ende habe ich bei eBay alte Lagerware gefunden. Das mag grausam klingen, aber ich hoffe, der Idiot, der beschlossen hat, solche Funktionen in das Produkt einzubauen, und die Handlanger, die sie umgesetzt haben, haben heute einen schlechten Tag und denken über die Weisheit ihres Tuns nach.
Seit ich eine smarte Zahnbürste mit Handy-App benutze, hat mein Zahnarzt festgestellt, dass der Zahnbelag hinter meinen Backenzähnen deutlich besser geworden ist.
Wenn die Warnung lautet: „Halten Sie Geräte, Firmware und Software aktuell, überwachen Sie verdächtige Aktivitäten, installieren und nutzen Sie Sicherheitssoftware und befolgen Sie Best Practices für Netzwerksicherheit“, dann sollte man den Kauf smarter Zahnbürsten vielleicht nur noch Verbrauchern mit Pflichtzertifizierung erlauben.
Ich hatte diese beiden fälschlich als einen einzigen Comic in Erinnerung, aber man kann wohl nicht alles haben.
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Philips-Elektrozahnbürsten als Warnung: Bluetooth lässt sich nicht abschalten, selbst wenn man die Smart-Funktionen nicht nutzt
Auch bei Philips-Luftreinigern mit Wi-Fi sollte man vorsichtig sein. Denn die Fernsteuerungsfunktion lässt sich nicht deaktivieren. Um die Einrichtung abzuschließen, muss man einen Wi-Fi-Hotspot erstellen, mit dem man sich per Smartphone verbindet; nutzt man diese Funktion nicht, erzeugt der Luftreiniger dauerhaft einen Wi-Fi-Hotspot und wartet darauf, missbraucht zu werden.
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
Die Handy-App und die Uhr suchten ständig nacheinander, weil sie immer synchronisieren wollten. Die Alternative wäre gewesen, sie zu entkoppeln, zu benutzen und dann zum Synchronisieren wieder zu koppeln, aber das war viel zu umständlich. Trotzdem wurde die Akkulaufzeit dadurch tatsächlich besser. Ich beschwerte mich online beim Kundensupport des Unternehmens, aber die wussten auch nicht, warum der Akku so schlecht war, und sagten nur, ich hätte wohl irgendeine Einstellung geändert und solle mein Handy auf Werkseinstellungen zurücksetzen. Nach dem Wechsel zu Polar hält meine aktuelle Uhr mit einer Ladung fünf Tage. Ein riesiger Unterschied gegenüber weniger als einem Tag.
Wirklich ein großartiges Unternehmen. Einen der besten CPAP-Hersteller übernehmen, dann beim Material sparen, bis der Punkt erreicht ist, an dem sich ein Krebs-Rückruf nicht mehr vermeiden lässt — und es ist ja nicht so, als hätte man die Option gehabt, das nicht möglichst lange zu verheimlichen.
Warum muss eine Zahnbürste überhaupt Web-Konnektivität haben? Ich verstehe, dass es um das Tracking von Putzgewohnheiten geht, aber ginge das nicht auch nur mit einer lokalen Verbindung, etwa im LAN?
Und man darf die Staubsauger, Kühlschränke, Waschmaschinen, Kaffeemaschinen und zahllosen anderen „smarten“ Haushaltsgeräte, die persönliche Daten übertragen, nicht vergessen. Ich würde am liebsten eine Umfrage machen, wie viele HN-Leute genau solche Technik bauen, wie viele davon diesen Artikel lesen und wie viele sich wirklich darum kümmern.
Ich denke, jede Technologie durchläuft eine Phase des Experimentierens, bevor klar wird, wie sie eingesetzt werden sollte.
Deshalb gab es für Bomben Project Plowshare, und heute bekommen sogar Geräte, die eigentlich nur einen Ein-/Ausschalter brauchen, eine Internetverbindung. Warum man eine vernetzte Zahnbürste braucht, verstehe ich zwar nicht ganz, aber selbst wenn ab und zu ein zahnbürstenbasiertes Botnet auftaucht, schätze ich den Geist des Experimentierens sehr.
Allein beim Internet hatte man etwa 40 Jahre Zeit zum „Experimentieren“. Jetzt wäre es an der Zeit für Ergebnisse, Schlussfolgerungen und einigermaßen ausgereifte Resultate.
[0] https://news.ycombinator.com/context?id=39253045
Wie verkauft man Produkt X teurer? Man fügt Wi-Fi und AI hinzu. Das geht mit fast allem.
und ich sagte nichts, denn ich war kein Onion-Autor.
Dann kamen sie, um Black Mirror zu holen,
und ich sagte nichts, denn ich war kein Mirror-Autor.
Dann kamen sie zu Horselover Fat …
Die Verrücktheit ist schon da. Sie ist nur nicht gleichmäßig verteilt.
Das „Warum“ ist klar. Für aggregierte Daten über menschliches Verhalten gibt es immer einen Markt.
Stanislav Lem schrieb „Washer Tragedy“, in dem Waschmaschinen intelligent werden und die Kontrolle übernehmen; bei solchen Zahnbürsten wäre er wohl stolz gewesen.
Ich fürchte den unvermeidlichen Internet-Dildo-Krieg im Jahr 2037: Millionen vernetzter Dildos und Kühlschränke richten im gesamten Internet Chaos an und verursachen Schäden in Milliardenhöhe, während es heißt: „Die Verdächtigen sind weiterhin auf der Flucht.“
Ich glaube, es ging darum, dass Sprachaufnahmen durchgesickert sind, die die Begleit-App erstellt hatte.