Του Davey Winder
Η είδηση σχετικά με μια παραβίαση τριών εκατομμυρίων έξυπνων οδοντόβουρτσων για την οργάνωση μιας κυβερνοεπίθεσης κατά μιας ελβετικής εταιρείας έχει γίνει viral κάνοντας το γύρο του διαδικτύου.
Ωστόσο, πολλοί στον κλάδο της κυβερνοασφάλειας δυσκολεύονται να βρουν στοιχεία που να υποστηρίζουν την ιστορία.
Τι κρύβεται πίσω από την ιστορία των 3 εκατομμυρίων χακαρισμένων έξυπνων οδοντόβουρτσων;
Με μια αναζήτηση στο Google, θα βρει κανείς δεκάδες εφημερίδες έντυπες και διαδικτυακές να αναμεταδίδουν την ιστορία ότι τρία εκατομμύρια χακαρισμένες έξυπνες οδοντόβουρτσες χρησιμοποιήθηκαν για μια κυβερνοεπίθεση σε μια ελβετική ανώνυμη εταιρεία μέσω ενός botnet DDoS.
Ωστόσο, η είδηση αυτή προκάλεσε κάποιες αμφιβολίες στους γνώστες, ειδικά στα θέματα ασφάλειας, καθώς υπάρχουν πολύ λίγες λεπτομέρειες και μια σαφής έλλειψη τεχνικών εξηγήσεων για το πως δημιουργήθηκε το μεγαλύτερο δίκτυο υπολογιστών για την πραγματοποίηση επίθεσης σε άλλους υπολογιστές (botnet) που φτιάχτηκε ποτέ.
H ιστορία προέκυψε από την ελβετική εφημερίδα Aargauer Zeitung επικαλούμενη τον διευθυντή μηχανικό συστημάτων του ελβετικού παραρτήματος της Fortinet. Επικοινώνησα με τη Fortinet για διευκρινίσεις σχετικά με την πηγή αυτής της ιστορίας και θα ενημερώσω εάν μάθω νέα.
Ένας σεβαστός βετεράνος του κλάδου, ο Kevin Beaumont, πιο γνωστός ως GossitheDog στο διαδίκτυο, έσπευσε να ισχυριστεί ότι η ιστορία δεν ήταν αληθινή. Άλλοι, όπως ο Robert Graham, ErrataRob στο Twitter/X, διατηρούν επίσης τις επιφυλάξεις τους.
Εν τω μεταξύ, κατόπιν αιτήματός μου, ο Ντιρκ Σρέιντερ, αντιπρόεδρος της έρευνας για την ασφάλεια στο Netwrix, έριξε μια ματιά στο αρχικό άρθρο που δημοσιεύτηκε στην ελβετική εφημερίδα Aargauer Zeitung. Ο Σρέιντερ μου είπε ότι το αρχικό άρθρο δεν αναφέρει κανένα τύπο ή μοντέλο οδοντόβουρτσας, το όνομα του θύματος ή του ύποπτου δράστη ή το κίνητρο πίσω από αυτή την επίθεση.
"Φαίνεται να είναι μια μάλλον γενική προειδοποίηση για την ανάγκη προστασίας οποιασδήποτε συσκευής, μεγάλης ή μικρής, που είναι συνδεδεμένη στο διαδίκτυο", λέει ο Σρέιντερ, προσθέτοντας ότι "η αίσθησή μου είναι ότι αυτό είναι ένα θεωρητικό και κακώς εξηγημένο παράδειγμα".
Η αλήθεια πίσω από την ιστορία
Οι περισσότερες έξυπνες οδοντόβουρτσες έχουν δυνατότητα Bluetooth χαμηλής ενέργειας αντί για σύνδεση μέσω WiFi, αν και ορισμένες έχουν αυτή τη δυνατότητα. Ωστόσο, το αν είναι εφικτό ότι τρία εκατομμύρια θα μπορούσαν να είχαν χακαριστεί είναι πολύ συζητήσιμο. Χωρίς βάσιμα αποδεικτικά στοιχεία, τα οποία ζήτησα από τη Fortinet να παράσχει, οι περισσότεροι ειδήμονες θα συμφωνούσαν με τον Σρέιντερ ότι πρόκειται για κάτι "χαμένο στη μετάφραση".
Όχι ότι η υποκείμενη απειλή από τις λεγόμενες συσκευές Internet of Things δεν είναι κάτι που πρέπει να ληφθεί σοβαρά υπόψη. Είναι σίγουρα.
"Αν και η θεωρία είναι έγκυρη και επιθέσεις DDoS που καταχρώνται συσκευές λειτουργικής τεχνολογίας έχουν συμβεί στο παρελθόν", καταλήγει ο Σρέιντερ, "αυτό το είδος της αναφοράς δεν βοηθά στην ασφάλεια των έξυπνων συσκευών. Δεν παρέχει καμία συμβουλή για το πώς να συνδέσετε με ασφάλεια έξυπνες συσκευές χρησιμοποιώντας λειτουργίες ελέγχου ταυτότητας πολλαπλών παραγόντων ή κάτι παρόμοιο."