1 điểm bởi GN⁺ 2024-02-09 | 1 bình luận | Chia sẻ qua WhatsApp
  • Fortinet đã đính chính rằng thông tin 3 triệu bàn chải đánh răng thông minh bị dùng trong một cuộc tấn công DDoS không phải là sự cố có thật mà chỉ là ví dụ về một kiểu tấn công, nhưng cơ quan báo chí đưa tin đầu tiên là Aargauer Zeitung đã bác lại, cho rằng Fortinet đã mô tả đó là một trường hợp có thật
  • Bài báo đầu tiên cho biết các bàn chải đánh răng thông minh dùng hệ điều hành nền tảng Java đã nhiễm mã độc và trở thành botnet, làm tê liệt website của một công ty Thụy Sĩ trong 4 giờ, gây thiệt hại hàng triệu euro
  • Fortinet giải thích rằng câu chuyện này không dựa trên nghiên cứu của Fortinet hoặc FortiGuard Labs, và trong quá trình dịch thuật, ranh giới giữa kịch bản giả định và trường hợp có thật đã bị làm mờ
  • Aargauer Zeitung phản bác rằng các phụ trách của Fortinet tại Thụy Sĩ đã không sửa cách diễn đạt “một sự cố đã thực sự xảy ra” trong quá trình họp và rà soát bản thảo trước khi đăng
  • Bất kể tranh cãi về tính xác thực, các thiết bị IoT được kết nối như bàn chải, router hay camera giám sát đều có thể trở thành mục tiêu tấn công hoặc tài nguyên botnet, nên cần cập nhật và giám sát mạng

Đính chính của Fortinet và phản bác của Aargauer Zeitung

  • Fortinet đã đính chính rằng bài báo nói 3 triệu bàn chải đánh răng thông minh bị dùng cho một cuộc tấn công DDoS là không chính xác
    • Họ giải thích rằng trường hợp bàn chải là một ví dụ được nêu trong buổi phỏng vấn để minh họa một kiểu tấn công cụ thể
    • Nội dung đó không dựa trên nghiên cứu của Fortinet hoặc FortiGuard Labs
    • Họ cho rằng trong quá trình dịch thuật đã hình thành một câu chuyện trộn lẫn giữa kịch bản giả định và trường hợp có thật
  • Aargauer Zeitung không chấp nhận lời giải thích “vấn đề dịch thuật” của Fortinet
    • Báo này cho biết các phụ trách của Fortinet tại Thụy Sĩ đã mô tả trường hợp bàn chải như một cuộc tấn công DDoS có thật trong một buổi thảo luận về các mối đe dọa hiện tại
    • Họ cũng nói Fortinet đã cung cấp thông tin cụ thể về việc website công ty Thụy Sĩ bị sập trong bao lâu và mức độ thiệt hại ra sao
    • Họ giải thích rằng Fortinet không công bố tên công ty bị thiệt hại vì cân nhắc khách hàng
    • Họ phản bác rằng bản thảo đã được gửi cho Fortinet để rà soát trước khi đăng, và Fortinet không phản đối cách diễn đạt đây là một sự cố có thật

Nội dung cuộc tấn công được nêu trong bài báo đầu tiên

  • Bài báo đầu tiên cho biết khoảng 3 triệu bàn chải đánh răng thông minh đã bị tin tặc lây nhiễm và bị đưa vào một botnet
  • Botnet này đã thực hiện một cuộc tấn công DDoS vào website của một công ty Thụy Sĩ, và website đã ngừng hoạt động vì không chịu nổi tải từ cuộc tấn công
  • Cuộc tấn công kéo dài 4 giờ, và được cho là gây thiệt hại kinh doanh lên tới hàng triệu euro
  • Bản gốc có câu mang ý rằng “ví dụ trông như một kịch bản Hollywood này đã thực sự xảy ra”, và tờ báo tiếng Đức Golem.de cũng đưa tin đây là một sự cố có thật
  • Nhiều người nói tiếng Đức xác nhận rằng bản dịch “đã thực sự xảy ra” là chính xác

Giải thích kỹ thuật và những điểm còn chưa chắc chắn

  • Bài báo đầu tiên nêu khả năng botnet bàn chải nói trên dễ bị tấn công vì hệ điều hành nền tảng Java
  • Không có thương hiệu bàn chải đánh răng thông minh cụ thể nào được nhắc đến
  • Chức năng kết nối thông thường của bàn chải thông minh vốn dùng để theo dõi và cải thiện thói quen vệ sinh răng miệng của người dùng
  • Sau khi bị nhiễm mã độc, các bàn chải này được cho là đã bị ép đưa vào botnet
  • Tên của công ty Thụy Sĩ bị ảnh hưởng và chi tiết thiệt hại cụ thể không được công bố

Cảnh báo bảo mật IoT

  • Stefan Züger của chi nhánh Fortinet tại Thụy Sĩ nói rằng mọi thiết bị kết nối Internet đều có thể là mục tiêu tiềm tàng hoặc bị lợi dụng cho tấn công
  • Ngoài bàn chải, router, set-top box, camera giám sát, chuông cửa, máy theo dõi em bé và máy giặt cũng thuộc cùng nhóm này
  • Các thiết bị kết nối liên tục bị tin tặc dò tìm lỗ hổng, và cuộc chạy đua giữa các nhà sản xuất phần mềm/firmware thiết bị với tội phạm mạng vẫn tiếp diễn
  • Fortinet cho biết một PC không được bảo vệ đã bị nhiễm mã độc chỉ sau 20 phút khi kết nối Internet

Người dùng thiết bị kết nối cần làm gì

  • Dù chi tiết xác thực của vụ việc còn gây tranh cãi, chủ sở hữu thiết bị kết nối vẫn cần giữ thiết bị, firmware và phần mềm luôn ở trạng thái mới nhất
  • Cần giám sát các hoạt động đáng ngờ trên mạng
  • Cần cài đặt và sử dụng phần mềm bảo mật
  • Cần tuân theo các thông lệ tốt nhất về bảo mật mạng
  • Tom’s Hardware đã đổi tiêu đề gốc “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages” để phản ánh diễn biến mới

1 bình luận

 
GN⁺ 2024-02-09
Ý kiến trên Hacker News
  • Bài này rất kỳ lạ và thiếu nhiều chi tiết. Theo tôi biết thì các bàn chải đánh răng thông minh cỡ lớn đều dùng BLE và không kết nối trực tiếp với Wi‑Fi
    Tôi đã thử kiểm chứng nhưng không tìm thấy gì cả. Nhiều chip BLE cũng có thể dùng Wi‑Fi, nên tôi không hoàn toàn loại trừ khả năng ai đó đã làm hỏng firmware để bật chức năng Wi‑Fi, nhưng ngay từ đầu tôi đã thắc mắc họ đã kết nối Wi‑Fi và vận hành botnet bằng cách nào. Tiền đề về rủi ro của thiết bị IoT vẫn đúng, nhưng riêng bài này thì tôi khá hoài nghi

    • Tôi cũng thử kiểm chứng và họ có nhắc đến một hệ điều hành dựa trên Java có thể là nguyên nhân
      Tôi biết từng có Java ME và cũng có micro JVM chạy trên vi điều khiển, nhưng vẫn thấy không hợp lý. Tấn công DDoS thì có thật và lúc nào cũng xảy ra, nhưng có vẻ như trong quá trình dịch thuật các chi tiết đã bị rơi mất hoặc bị dùng làm clickbait, trong khi các “chuyên gia” bảo mật chỉ nói rằng kiểu tấn công này có thể đến từ bất cứ đâu, thậm chí cả từ bàn chải đánh răng
    • ESP32 giờ được dùng như một con chip đa dụng ngay cả cho những mục đích mà MCU 8-bit cũng đã đủ. Nếu ESP32 hoặc SDK có lỗ hổng có thể bị khai thác từ xa, hậu quả có thể rất lớn
    • Đây không phải chuyện thực sự xảy ra, chỉ là tin nhảm lan truyền thôi
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • Hay là họ đang wardriving vì sức khỏe răng miệng?
  • Đúng là một bài viết cực kỳ cẩu thả. Có người khẳng định 3 triệu bàn chải đánh răng thông minh đã bị dùng cho DDoS, nhưng chẳng ai nói là cái gì/ai/làm thế nào
    Một tuyên bố bất thường như vậy ít nhất cũng cần có bằng chứng. Chẳng lẽ không cần tối thiểu vài chi tiết kỹ thuật để có thể nhận diện đó là bàn chải đánh răng sao?

    • Ngay cả nếu có kết nối bàn chải thông minh với Wi‑Fi đi nữa, thì việc nó bị lộ ra Internet công cộng cũng rất kỳ lạ. Chẳng phải đa số đều dùng mấy kiểu modem cáp thô sơ do ISP cung cấp, có tường lửa inbound cơ bản mặc định sao?
    • Tôi cũng muốn xem thêm chi tiết hơn, nhưng với các thiết bị gia dụng Wi‑Fi giá rẻ thì tôi không nghĩ chuyện đó lại bất thường đến thế
  • Tôi đang dùng một bàn chải Philips đời cũ không Bluetooth, không Internet, cũng không có đầu bàn chải bị khóa theo nhà cung cấp, và còn sạc không dây trong cốc thủy tinh nữa. Tôi rất thích nó
    Gần đây tôi định mua chiếc thứ hai thì chỉ tìm thấy các mẫu mới kèm những tính năng rác mà tôi không muốn. Rốt cuộc ai lại muốn kết nối bàn chải đánh răng với Internet chứ? Cuối cùng tôi phải lên eBay tìm hàng tồn đời cũ. Nghe có thể hơi tàn nhẫn, nhưng tôi mong cái kẻ ngốc quyết định nhét những tính năng đó vào sản phẩm và tay sai tầm thường đã hiện thực hóa nó hôm nay sẽ có một ngày tồi tệ, để tự nhìn lại sự “khôn ngoan” trong việc mình đã làm

    • Wi‑Fi thì lố bịch thật, nhưng kết nối Bluetooth/app lại có lợi ích thực tế. Nó dùng để xem bạn đang chải ở đâu và đang bỏ sót vùng nào
      Từ khi bắt đầu dùng bàn chải thông minh có ứng dụng trên điện thoại, nha sĩ của tôi nói mảng bám phía sau răng hàm của tôi đã cải thiện rõ rệt
  • Nếu lời cảnh báo là “hãy luôn cập nhật thiết bị, firmware và phần mềm; giám sát hoạt động đáng ngờ; cài đặt và sử dụng phần mềm bảo mật; và tuân theo các thực hành tốt nhất về bảo mật mạng”, thì có lẽ nên chỉ cho người tiêu dùng có chứng chỉ bắt buộc được phép mua bàn chải thông minh thôi

    • Tất nhiên là trách nhiệm thuộc về chủ sở hữu thiết bị, còn nhà sản xuất đáng lẽ phải làm ra thiết bị an toàn thì lại không có trách nhiệm gì nhỉ
    • “Hãy giám sát hoạt động đáng ngờ trên mạng” cơ đấy. Tức là yêu cầu những người chỉ biết router là cái hộp phát Internet phải chạy packet capture rồi tự diễn giải kết quả
  • Tôi đã nhớ nhầm hai cái này là một truyện tranh duy nhất, nhưng có vẻ không thể có hết mọi thứ
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Cảnh báo về bàn chải điện Philips: ngay cả khi không dùng tính năng thông minh thì cũng không thể tắt Bluetooth
    Cũng nên cẩn thận với máy lọc không khí Philips hỗ trợ Wi‑Fi. Vì không thể vô hiệu hóa tính năng điều khiển từ xa. Để hoàn tất thiết lập thì phải tạo một điểm phát Wi‑Fi kết nối bằng điện thoại thông minh, và nếu không dùng tính năng này thì máy lọc không khí sẽ tạo một điểm phát Wi‑Fi vĩnh viễn để chờ bị lợi dụng

    • Làm tôi nhớ đến thứ đã đọc vài ngày trước. Nội dung là Home Assistant đã bắt được bàn chải Bluetooth của hàng xóm, nên giờ có thể biết họ đánh răng lúc nào
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • Tôi cuối cùng đã vứt bỏ chiếc đồng hồ thể dục có thời lượng pin tệ khủng khiếp, nhưng một thời gian dài không biết lý do. Mãi vài tháng sau mới nhận ra cùng một vấn đề, và không thể tắt Bluetooth
      Ứng dụng trên điện thoại và đồng hồ cứ liên tục tìm nhau để luôn đồng bộ, còn cách khác là hủy ghép đôi rồi dùng xong lại ghép đôi để đồng bộ, quá phiền phức. Dù vậy thời lượng pin thực sự đã cải thiện. Tôi đã gửi khiếu nại trực tuyến cho bộ phận hỗ trợ khách hàng của công ty, nhưng họ cũng không biết vì sao pin lại tệ đến vậy và chỉ bảo rằng chắc tôi đã đổi gì đó trong cài đặt nên hãy thử khôi phục cài đặt gốc điện thoại. Sau khi chuyển sang Polar, chiếc đồng hồ tôi dùng bây giờ chạy được 5 ngày cho mỗi lần sạc. Khác biệt rất lớn so với chưa đến một ngày
    • Nếu cùng chủ đề thì cũng nên cẩn thận với thiết bị CPAP của Philips. Nó từ từ phun vào phổi bạn lớp bọt gây ung thư bị phân rã trong lúc bạn ngủ
      Đúng là một công ty tuyệt vời. Sau khi mua lại một trong những nhà sản xuất CPAP tốt nhất, họ tiết kiệm vật liệu cho đến khi chạm điểm lợi nhuận cận biên của một đợt thu hồi vì ung thư, chứ đâu phải họ không có lựa chọn nào ngoài việc giấu chuyện đó càng lâu càng tốt
    • Một điểm phát Wi‑Fi của máy lọc không khí không kết nối vào mạng hay máy tính thì có thể phơi bày loại rủi ro nào?
    • Có thể không tắt được Bluetooth, nhưng bạn vẫn có thể chọn không ghép đôi với bất cứ thứ gì. Sau khi thiết lập thiết bị xong thì cũng có thể xóa ghép đôi
  • Rốt cuộc vì sao bàn chải lại cần có kết nối web ngay từ đầu? Tôi hiểu là để theo dõi thói quen đánh răng, nhưng chẳng phải chỉ cần kết nối cục bộ kiểu LAN cũng làm được sao?

    • Không phải mọi người dùng bàn chải đều có khả năng đặt máy chủ trong nhà rồi kết nối vào đó. Ngược lại, tôi nghĩ đa số thậm chí còn không biết mình đã bật cái gì khi kích hoạt bàn chải
      Và cũng đừng quên máy hút bụi, tủ lạnh, máy giặt, máy pha cà phê và vô số thiết bị gia dụng “thông minh” chuyển dữ liệu cá nhân khác. Tôi thậm chí muốn làm khảo sát xem trong số người trên HN thì có bao nhiêu người đang tạo ra đúng loại công nghệ này, bao nhiêu người đọc bài này, và bao nhiêu người thực sự quan tâm
    • Chẳng phải vì mô hình kinh doanh thực sự là bán dữ liệu tổng hợp sao?
    • Gần đây tôi thấy ngoài cửa hàng rằng mọi bàn chải đều quảng cáo “AI”, ứng dụng, Wi‑Fi/Bluetooth, v.v. Có vẻ đúng là khó gắn những điểm bán hàng cao cấp hợp lý cho loại sản phẩm này
    • Tôi cũng nghĩ vậy, nhưng nếu bản thân bàn chải không lưu dữ liệu thì trong một gia đình bình thường, thiết bị nào sẽ nhận dữ liệu đó?
  • Tôi nghĩ mọi công nghệ đều trải qua giai đoạn thử nghiệm trước khi người ta biết rõ nên dùng nó như thế nào
    Vì thế bom từng có Project Plowshare, còn bây giờ thì ngay cả những thiết bị lẽ ra chỉ cần công tắc bật/tắt cũng bị gắn kết nối internet. Tôi không thật sự hiểu vì sao cần bàn chải kết nối, nhưng ngay cả nếu thỉnh thoảng xuất hiện botnet dựa trên bàn chải thì tôi vẫn đánh giá rất cao tinh thần thử nghiệm đó

    • Tất nhiên, trước khi cách dùng công nghệ trở nên rõ ràng thì cần thử nghiệm. Nhưng như đã nói ở đây hôm qua [0], thử nghiệm tạo ra kết quả trên diện rộng, nên các nhà khoa học chuyên nghiệp có bộ quy tắc đạo đức, còn ngành công nghệ thì dường như khá thiếu thứ đó
      Chỉ riêng với internet thôi thì đã có khoảng 40 năm để “thử nghiệm”. Giờ là lúc phải có kết quả, kết luận và một số sản phẩm đầu ra trưởng thành ở mức nào đó
      [0] https://news.ycombinator.com/context?id=39253045
    • Đây thật sự là thử nghiệm, hay chỉ là gắn kết nối Wi‑Fi để dán mức giá cao hơn cho thiết bị?
      Làm sao để bán sản phẩm X đắt hơn? Gắn Wi‑Fi và AI vào. Gần như cái gì cũng làm vậy được
    • Đầu tiên họ đến bắt The Onion
      Tôi không lên tiếng vì tôi không phải tác giả của Onion
      Tiếp theo họ đến bắt Black Mirror
      Tôi không lên tiếng vì tôi không phải tác giả của Mirror
      Tiếp theo họ đến chỗ Horselover Fat…
      Sự điên rồ đã ở đây rồi. Chỉ là nó chưa được phân bố đồng đều thôi
    • Đây không phải thử nghiệm. Nó là một mô hình kinh doanh hoàn chỉnh đến mức đã có cả một chữ viết tắt quen thuộc là SaaS
      Lý do “tại sao” thì quá rõ. Dữ liệu tổng hợp về hành vi con người lúc nào cũng có thị trường
    • Không cần dạy trẻ con về sự trung thực. Chỉ cần giám sát bàn chải của bọn trẻ là được
  • Stanislav Lem từng viết “Washer Tragedy” về việc máy giặt trở nên thông minh và dần chiếm quyền kiểm soát, và có lẽ ông ấy sẽ thấy tự hào khi nhìn mấy chiếc bàn chải này

  • Tôi sợ cuộc chiến tranh dildo internet chắc chắn sẽ đến vào năm 2037. Hàng triệu dildo nối mạng và tủ lạnh sẽ gây ra hỗn loạn trên toàn bộ internet, gây thiệt hại hàng tỷ đô la, còn “các nghi phạm vẫn đang bỏ trốn”

    • “Dildo kết nối internet có hỗ trợ ChatGPT” là một lời sỉ nhục chí mạng nhắm vào những người viết bình luận trên internet
    • Chẳng phải năm 2022 đã có vụ dildo thông minh rồi sao?
      Hình như là các bản ghi âm giọng nói do ứng dụng đồng hành tạo ra đã bị rò rỉ