Fortinet “3 triệu bàn chải đánh răng thông minh dùng cho DDoS không phải sự cố có thật”… cơ quan báo chí đưa tin đầu tiên bác bỏ
(tomshardware.com)- Fortinet đã đính chính rằng thông tin 3 triệu bàn chải đánh răng thông minh bị dùng trong một cuộc tấn công DDoS không phải là sự cố có thật mà chỉ là ví dụ về một kiểu tấn công, nhưng cơ quan báo chí đưa tin đầu tiên là Aargauer Zeitung đã bác lại, cho rằng Fortinet đã mô tả đó là một trường hợp có thật
- Bài báo đầu tiên cho biết các bàn chải đánh răng thông minh dùng hệ điều hành nền tảng Java đã nhiễm mã độc và trở thành botnet, làm tê liệt website của một công ty Thụy Sĩ trong 4 giờ, gây thiệt hại hàng triệu euro
- Fortinet giải thích rằng câu chuyện này không dựa trên nghiên cứu của Fortinet hoặc FortiGuard Labs, và trong quá trình dịch thuật, ranh giới giữa kịch bản giả định và trường hợp có thật đã bị làm mờ
- Aargauer Zeitung phản bác rằng các phụ trách của Fortinet tại Thụy Sĩ đã không sửa cách diễn đạt “một sự cố đã thực sự xảy ra” trong quá trình họp và rà soát bản thảo trước khi đăng
- Bất kể tranh cãi về tính xác thực, các thiết bị IoT được kết nối như bàn chải, router hay camera giám sát đều có thể trở thành mục tiêu tấn công hoặc tài nguyên botnet, nên cần cập nhật và giám sát mạng
Đính chính của Fortinet và phản bác của Aargauer Zeitung
- Fortinet đã đính chính rằng bài báo nói 3 triệu bàn chải đánh răng thông minh bị dùng cho một cuộc tấn công DDoS là không chính xác
- Họ giải thích rằng trường hợp bàn chải là một ví dụ được nêu trong buổi phỏng vấn để minh họa một kiểu tấn công cụ thể
- Nội dung đó không dựa trên nghiên cứu của Fortinet hoặc FortiGuard Labs
- Họ cho rằng trong quá trình dịch thuật đã hình thành một câu chuyện trộn lẫn giữa kịch bản giả định và trường hợp có thật
- Aargauer Zeitung không chấp nhận lời giải thích “vấn đề dịch thuật” của Fortinet
- Báo này cho biết các phụ trách của Fortinet tại Thụy Sĩ đã mô tả trường hợp bàn chải như một cuộc tấn công DDoS có thật trong một buổi thảo luận về các mối đe dọa hiện tại
- Họ cũng nói Fortinet đã cung cấp thông tin cụ thể về việc website công ty Thụy Sĩ bị sập trong bao lâu và mức độ thiệt hại ra sao
- Họ giải thích rằng Fortinet không công bố tên công ty bị thiệt hại vì cân nhắc khách hàng
- Họ phản bác rằng bản thảo đã được gửi cho Fortinet để rà soát trước khi đăng, và Fortinet không phản đối cách diễn đạt đây là một sự cố có thật
Nội dung cuộc tấn công được nêu trong bài báo đầu tiên
- Bài báo đầu tiên cho biết khoảng 3 triệu bàn chải đánh răng thông minh đã bị tin tặc lây nhiễm và bị đưa vào một botnet
- Botnet này đã thực hiện một cuộc tấn công DDoS vào website của một công ty Thụy Sĩ, và website đã ngừng hoạt động vì không chịu nổi tải từ cuộc tấn công
- Cuộc tấn công kéo dài 4 giờ, và được cho là gây thiệt hại kinh doanh lên tới hàng triệu euro
- Bản gốc có câu mang ý rằng “ví dụ trông như một kịch bản Hollywood này đã thực sự xảy ra”, và tờ báo tiếng Đức Golem.de cũng đưa tin đây là một sự cố có thật
- Nhiều người nói tiếng Đức xác nhận rằng bản dịch “đã thực sự xảy ra” là chính xác
Giải thích kỹ thuật và những điểm còn chưa chắc chắn
- Bài báo đầu tiên nêu khả năng botnet bàn chải nói trên dễ bị tấn công vì hệ điều hành nền tảng Java
- Không có thương hiệu bàn chải đánh răng thông minh cụ thể nào được nhắc đến
- Chức năng kết nối thông thường của bàn chải thông minh vốn dùng để theo dõi và cải thiện thói quen vệ sinh răng miệng của người dùng
- Sau khi bị nhiễm mã độc, các bàn chải này được cho là đã bị ép đưa vào botnet
- Tên của công ty Thụy Sĩ bị ảnh hưởng và chi tiết thiệt hại cụ thể không được công bố
Cảnh báo bảo mật IoT
- Stefan Züger của chi nhánh Fortinet tại Thụy Sĩ nói rằng mọi thiết bị kết nối Internet đều có thể là mục tiêu tiềm tàng hoặc bị lợi dụng cho tấn công
- Ngoài bàn chải, router, set-top box, camera giám sát, chuông cửa, máy theo dõi em bé và máy giặt cũng thuộc cùng nhóm này
- Các thiết bị kết nối liên tục bị tin tặc dò tìm lỗ hổng, và cuộc chạy đua giữa các nhà sản xuất phần mềm/firmware thiết bị với tội phạm mạng vẫn tiếp diễn
- Fortinet cho biết một PC không được bảo vệ đã bị nhiễm mã độc chỉ sau 20 phút khi kết nối Internet
Người dùng thiết bị kết nối cần làm gì
- Dù chi tiết xác thực của vụ việc còn gây tranh cãi, chủ sở hữu thiết bị kết nối vẫn cần giữ thiết bị, firmware và phần mềm luôn ở trạng thái mới nhất
- Cần giám sát các hoạt động đáng ngờ trên mạng
- Cần cài đặt và sử dụng phần mềm bảo mật
- Cần tuân theo các thông lệ tốt nhất về bảo mật mạng
- Tom’s Hardware đã đổi tiêu đề gốc “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages” để phản ánh diễn biến mới
1 bình luận
Ý kiến trên Hacker News
Bài này rất kỳ lạ và thiếu nhiều chi tiết. Theo tôi biết thì các bàn chải đánh răng thông minh cỡ lớn đều dùng BLE và không kết nối trực tiếp với Wi‑Fi
Tôi đã thử kiểm chứng nhưng không tìm thấy gì cả. Nhiều chip BLE cũng có thể dùng Wi‑Fi, nên tôi không hoàn toàn loại trừ khả năng ai đó đã làm hỏng firmware để bật chức năng Wi‑Fi, nhưng ngay từ đầu tôi đã thắc mắc họ đã kết nối Wi‑Fi và vận hành botnet bằng cách nào. Tiền đề về rủi ro của thiết bị IoT vẫn đúng, nhưng riêng bài này thì tôi khá hoài nghi
Tôi biết từng có Java ME và cũng có micro JVM chạy trên vi điều khiển, nhưng vẫn thấy không hợp lý. Tấn công DDoS thì có thật và lúc nào cũng xảy ra, nhưng có vẻ như trong quá trình dịch thuật các chi tiết đã bị rơi mất hoặc bị dùng làm clickbait, trong khi các “chuyên gia” bảo mật chỉ nói rằng kiểu tấn công này có thể đến từ bất cứ đâu, thậm chí cả từ bàn chải đánh răng
https://cyberplace.social/@GossiTheDog/111886558855943676
Đúng là một bài viết cực kỳ cẩu thả. Có người khẳng định 3 triệu bàn chải đánh răng thông minh đã bị dùng cho DDoS, nhưng chẳng ai nói là cái gì/ai/làm thế nào
Một tuyên bố bất thường như vậy ít nhất cũng cần có bằng chứng. Chẳng lẽ không cần tối thiểu vài chi tiết kỹ thuật để có thể nhận diện đó là bàn chải đánh răng sao?
Tôi đang dùng một bàn chải Philips đời cũ không Bluetooth, không Internet, cũng không có đầu bàn chải bị khóa theo nhà cung cấp, và còn sạc không dây trong cốc thủy tinh nữa. Tôi rất thích nó
Gần đây tôi định mua chiếc thứ hai thì chỉ tìm thấy các mẫu mới kèm những tính năng rác mà tôi không muốn. Rốt cuộc ai lại muốn kết nối bàn chải đánh răng với Internet chứ? Cuối cùng tôi phải lên eBay tìm hàng tồn đời cũ. Nghe có thể hơi tàn nhẫn, nhưng tôi mong cái kẻ ngốc quyết định nhét những tính năng đó vào sản phẩm và tay sai tầm thường đã hiện thực hóa nó hôm nay sẽ có một ngày tồi tệ, để tự nhìn lại sự “khôn ngoan” trong việc mình đã làm
Từ khi bắt đầu dùng bàn chải thông minh có ứng dụng trên điện thoại, nha sĩ của tôi nói mảng bám phía sau răng hàm của tôi đã cải thiện rõ rệt
Nếu lời cảnh báo là “hãy luôn cập nhật thiết bị, firmware và phần mềm; giám sát hoạt động đáng ngờ; cài đặt và sử dụng phần mềm bảo mật; và tuân theo các thực hành tốt nhất về bảo mật mạng”, thì có lẽ nên chỉ cho người tiêu dùng có chứng chỉ bắt buộc được phép mua bàn chải thông minh thôi
Tôi đã nhớ nhầm hai cái này là một truyện tranh duy nhất, nhưng có vẻ không thể có hết mọi thứ
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Cảnh báo về bàn chải điện Philips: ngay cả khi không dùng tính năng thông minh thì cũng không thể tắt Bluetooth
Cũng nên cẩn thận với máy lọc không khí Philips hỗ trợ Wi‑Fi. Vì không thể vô hiệu hóa tính năng điều khiển từ xa. Để hoàn tất thiết lập thì phải tạo một điểm phát Wi‑Fi kết nối bằng điện thoại thông minh, và nếu không dùng tính năng này thì máy lọc không khí sẽ tạo một điểm phát Wi‑Fi vĩnh viễn để chờ bị lợi dụng
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
Ứng dụng trên điện thoại và đồng hồ cứ liên tục tìm nhau để luôn đồng bộ, còn cách khác là hủy ghép đôi rồi dùng xong lại ghép đôi để đồng bộ, quá phiền phức. Dù vậy thời lượng pin thực sự đã cải thiện. Tôi đã gửi khiếu nại trực tuyến cho bộ phận hỗ trợ khách hàng của công ty, nhưng họ cũng không biết vì sao pin lại tệ đến vậy và chỉ bảo rằng chắc tôi đã đổi gì đó trong cài đặt nên hãy thử khôi phục cài đặt gốc điện thoại. Sau khi chuyển sang Polar, chiếc đồng hồ tôi dùng bây giờ chạy được 5 ngày cho mỗi lần sạc. Khác biệt rất lớn so với chưa đến một ngày
Đúng là một công ty tuyệt vời. Sau khi mua lại một trong những nhà sản xuất CPAP tốt nhất, họ tiết kiệm vật liệu cho đến khi chạm điểm lợi nhuận cận biên của một đợt thu hồi vì ung thư, chứ đâu phải họ không có lựa chọn nào ngoài việc giấu chuyện đó càng lâu càng tốt
Rốt cuộc vì sao bàn chải lại cần có kết nối web ngay từ đầu? Tôi hiểu là để theo dõi thói quen đánh răng, nhưng chẳng phải chỉ cần kết nối cục bộ kiểu LAN cũng làm được sao?
Và cũng đừng quên máy hút bụi, tủ lạnh, máy giặt, máy pha cà phê và vô số thiết bị gia dụng “thông minh” chuyển dữ liệu cá nhân khác. Tôi thậm chí muốn làm khảo sát xem trong số người trên HN thì có bao nhiêu người đang tạo ra đúng loại công nghệ này, bao nhiêu người đọc bài này, và bao nhiêu người thực sự quan tâm
Tôi nghĩ mọi công nghệ đều trải qua giai đoạn thử nghiệm trước khi người ta biết rõ nên dùng nó như thế nào
Vì thế bom từng có Project Plowshare, còn bây giờ thì ngay cả những thiết bị lẽ ra chỉ cần công tắc bật/tắt cũng bị gắn kết nối internet. Tôi không thật sự hiểu vì sao cần bàn chải kết nối, nhưng ngay cả nếu thỉnh thoảng xuất hiện botnet dựa trên bàn chải thì tôi vẫn đánh giá rất cao tinh thần thử nghiệm đó
Chỉ riêng với internet thôi thì đã có khoảng 40 năm để “thử nghiệm”. Giờ là lúc phải có kết quả, kết luận và một số sản phẩm đầu ra trưởng thành ở mức nào đó
[0] https://news.ycombinator.com/context?id=39253045
Làm sao để bán sản phẩm X đắt hơn? Gắn Wi‑Fi và AI vào. Gần như cái gì cũng làm vậy được
Tôi không lên tiếng vì tôi không phải tác giả của Onion
Tiếp theo họ đến bắt Black Mirror
Tôi không lên tiếng vì tôi không phải tác giả của Mirror
Tiếp theo họ đến chỗ Horselover Fat…
Sự điên rồ đã ở đây rồi. Chỉ là nó chưa được phân bố đồng đều thôi
Lý do “tại sao” thì quá rõ. Dữ liệu tổng hợp về hành vi con người lúc nào cũng có thị trường
Stanislav Lem từng viết “Washer Tragedy” về việc máy giặt trở nên thông minh và dần chiếm quyền kiểm soát, và có lẽ ông ấy sẽ thấy tự hào khi nhìn mấy chiếc bàn chải này
Tôi sợ cuộc chiến tranh dildo internet chắc chắn sẽ đến vào năm 2037. Hàng triệu dildo nối mạng và tủ lạnh sẽ gây ra hỗn loạn trên toàn bộ internet, gây thiệt hại hàng tỷ đô la, còn “các nghi phạm vẫn đang bỏ trốn”
Hình như là các bản ghi âm giọng nói do ứng dụng đồng hành tạo ra đã bị rò rỉ