Milioni di spazzolini da denti invadono Internet! Un attacco DDoS dal tuo bagno sembra piuttosto spaventoso, se credi ai vari media. Ma la storia di una botnet di spazzolini da denti infettati da malware sembra basarsi principalmente su presupposti errati.
qual è la storia?
Diversi importanti media hanno riportato una storia sorprendente all’inizio di questa settimana: milioni di spazzolini da denti sarebbero stati violati e utilizzati in un attacco DDoS. La storia non è stata ripresa solo da siti di notizie generali grandi e raggiungibili come L'indipendente, ma anche attraverso mezzi tecnici affidabili. La storia è stata ripresa prima, tra le altre I dispositivi di Tom, Znet E Golem. È sorprendente che nessuno di questi media abbia fornito molti dettagli sull’attacco, ma esso è stato ampiamente diffuso.
La storia proviene originariamente da Giornale locale svizzero, Aargau Zeitung, quotidiano cantonale di Argovia. Questa storia, che è dietro un paywall, cita alcuni esempi di alto profilo del “rischio informatico” dei dispositivi IoT dietro un titolo sugli “attacchi con spazzolini da denti”. La storia tratta diversi esempi attribuiti a Stefan Zuger, responsabile della tecnologia presso la filiale svizzera della società di sicurezza Fortinet. Si dice che “tre milioni di spazzolini elettrici funzionanti su Java sono stati infettati da malware”. Essi sarebbero stati inclusi nella botnet che ha poi attaccato il sito web di un'azienda svizzera. Secondo quanto riferito, l'attacco DDoS ha bloccato il sito per quattro ore, causando “milioni di dollari di danni”.
Spazzolino da denti con Java
Già solo questa storia è sorprendente. Perché lo spazzolino “funziona con Java”? Ciò sembra inverosimile; Quali compiti complessi deve svolgere uno spazzolino da denti che richiedono un linguaggio di programmazione così pesante? Inoltre, questo spazzolino solitamente non è connesso direttamente a Internet, ma tramite Bluetooth. Non possono essere semplicemente dirottati con un attacco DDoS.
Il giornale descrive la vicenda, ma non fornisce ulteriori dettagli. Non è noto quale azienda fosse presa di mira dall’attacco, se Fortinet abbia effettivamente individuato l’attacco, a quale botnet si dice fosse affiliato e se, ad esempio, siano stati condivisi codici o campioni di prova.
Guardando il resto dell'articolo, questo non sembra probabile. Il giornale cita altre affermazioni discutibili che attribuisce a Fortinet. Nell'articolo si menziona, ad esempio, che un ristorante è stato violato tramite un'immagine contenuta in un'e-mail, ma si nota anche che Fortinet “ha collegato un computer a Internet senza alcuna protezione” che è stato “infettato” nel giro di venti minuti. Ha usato alcuni termini, come intelligenza artificiale, che rendono gli attacchi DDoS più pericolosi senza alcuna prova, ed è chiaro che l'Aargauer Zeitung ha sentito suonare il campanello, ma non sa esattamente dove sta suonando.
traduzione
Fortinet ora afferma nella sua risposta, inclusa quella a Tom's Hardware, che la storia in realtà non è del tutto vera. “L'esempio di uno spazzolino da denti utilizzato in un attacco DDoS è stato utilizzato durante l'intervista come illustrazione di un tipo specifico di attacco. Non si basa su una ricerca condotta da Fortinet o FortiGuard Labs. Sembra che traducendo scenari ipotetici e reali abbia sono stati confusi”, scrive la società. Da allora la maggior parte delle pubblicazioni più importanti ha aggiornato l'articolo e anche ZDNet ha l'articolo Completamente riscrittoSenza contare che l'articolo originale conteneva il testo “No, non stiamo scherzando”.
Nel complesso, la storia dello spazzolino intelligente sembra essere stata estrapolata dal contesto e alcuni media l'hanno resa più grande di quanto non fosse in realtà. Ma, come hanno scritto anche molti di questi media, l’idea che le botnet abusino dei dispositivi IoT non è nuova. Botnet come Mirai esistono dal 2016 e ancora oggi causano problemi prendendo il controllo di dispositivi IoT scarsamente protetti. Ma uno spazzolino da denti, figuriamoci tre milioni? Non è ancora troppo lontano.