1 puntos por GN⁺ 2024-02-09 | 1 comentarios | Compartir por WhatsApp
  • Fortinet corrigió la información de que 3 millones de cepillos de dientes inteligentes fueron usados en un ataque DDoS y dijo que no fue un caso real, sino un ejemplo de un tipo de ataque; sin embargo, el medio que publicó la historia primero, Aargauer Zeitung, respondió que Fortinet lo presentó como un caso real
  • La publicación original señaló que cepillos de dientes inteligentes con un sistema operativo basado en Java fueron infectados con malware y convertidos en una botnet, que dejó fuera de servicio durante 4 horas el sitio web de una empresa suiza y causó pérdidas de varios millones de euros
  • Fortinet explicó que esta historia no se basó en investigación de Fortinet ni de FortiGuard Labs, y que durante el proceso de traducción se desdibujó la frontera entre un escenario hipotético y un caso real
  • Aargauer Zeitung respondió que representantes de Fortinet en Suiza no corrigieron la expresión “un hecho que realmente ocurrió” ni en reuniones ni durante la revisión del texto antes de su publicación
  • Más allá de la disputa sobre su veracidad, los dispositivos IoT conectados, como cepillos de dientes, routers y cámaras de vigilancia, pueden ser objetivos de ataque o recursos para botnets, por lo que necesitan actualizaciones y monitoreo de red

La rectificación de Fortinet y la respuesta de Aargauer Zeitung

  • Fortinet corrigió la información de que 3 millones de cepillos de dientes inteligentes fueron usados en un ataque DDoS por ser inexacta
    • Explicó que el caso del cepillo dental fue un ejemplo usado durante una entrevista para mostrar un tipo específico de ataque
    • Ese contenido no se basó en investigación de Fortinet ni de FortiGuard Labs
    • Considera que durante la traducción se creó una narrativa que mezcló un escenario hipotético con un caso real
  • Aargauer Zeitung no acepta la explicación de Fortinet sobre un “problema de traducción”
    • Señaló que representantes de Fortinet en Suiza describieron el caso del cepillo como un ataque DDoS real durante una conversación sobre amenazas actuales
    • También afirmó que Fortinet proporcionó información concreta sobre cuánto tiempo estuvo caído el sitio web de la empresa suiza y cuál fue la magnitud del daño
    • Explicó que Fortinet no reveló el nombre de la empresa afectada por consideración hacia su cliente
    • Respondió que el borrador fue enviado a Fortinet para revisión antes de su publicación y que no hubo objeciones a la expresión que lo presentaba como un caso real

El ataque descrito en la publicación original

  • La publicación original informó que unos 3 millones de cepillos de dientes inteligentes fueron infectados por hackers e incorporados a una botnet
  • Según esa versión, esta botnet ejecutó un ataque DDoS contra el sitio web de una empresa suiza, que no pudo soportar la carga y quedó fuera de servicio
  • Se informó que el ataque duró 4 horas y provocó pérdidas operativas de varios millones de euros
  • El texto original incluía una frase en el sentido de que “este ejemplo, que parece un guion de Hollywood, realmente ocurrió”, y el medio alemán Golem.de también lo reportó como un caso real
  • Varios hablantes de alemán confirmaron que la traducción de “realmente ocurrió” era correcta

Explicación técnica e incertidumbres pendientes

  • La publicación original sugirió que la botnet de cepillos comprometidos pudo haber sido vulnerable por un sistema operativo basado en Java
  • No se mencionó una marca específica de cepillos inteligentes
  • La función normal de conectividad de estos cepillos era rastrear y mejorar los hábitos de higiene oral de los usuarios
  • Según lo reportado, tras la infección con malware los cepillos fueron incorporados por la fuerza a una botnet
  • No se revelaron el nombre de la empresa suiza afectada ni los detalles específicos de los daños

Advertencia sobre seguridad IoT

  • Stefan Züger, de la filial suiza de Fortinet, dijo que cualquier dispositivo conectado a internet puede ser un objetivo potencial o ser explotado en un ataque
  • Además de los cepillos, en esta categoría entran routers, decodificadores, cámaras de vigilancia, timbres, monitores para bebé y lavadoras
  • Los dispositivos conectados están expuestos de forma constante a la búsqueda de vulnerabilidades por parte de hackers, y sigue la competencia entre los fabricantes de software y firmware de los dispositivos y los ciberdelincuentes
  • Fortinet señaló que una PC sin protección conectada a internet se infectó con malware en apenas 20 minutos

Qué deben hacer los usuarios de dispositivos conectados

  • Aunque los detalles del caso sigan en disputa, los propietarios de dispositivos conectados deben mantener actualizados el dispositivo, el firmware y el software
  • Deben vigilar si hay actividad sospechosa en la red
  • Deben instalar y usar software de seguridad
  • Deben seguir las mejores prácticas de seguridad de red
  • Tom’s Hardware cambió su título original para reflejar los nuevos acontecimientos: “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”

1 comentarios

 
GN⁺ 2024-02-09
Opiniones de Hacker News
  • Este artículo es extraño y le faltan muchos detalles. Según entiendo, los cepillos de dientes inteligentes grandes usan BLE y no se conectan directamente por Wi‑Fi
    Intenté verificarlo, pero no pude encontrar nada. Muchos chips BLE también pueden usar Wi‑Fi, así que no descarto por completo la posibilidad de que alguien haya comprometido el firmware y activado la función Wi‑Fi, pero de entrada queda la duda de cómo se conectaron al Wi‑Fi para operar la botnet. La premisa de que los dispositivos IoT implican riesgos sigue siendo válida, pero este artículo en sí me genera bastante escepticismo

    • Yo también traté de verificarlo, y hablaban de un posible sistema operativo basado en Java
      Sé que existió Java ME y que también hay micro JVM que corren en microcontroladores, pero aun así no cuadra. El ataque DDoS sí ocurrió, y pasa todo el tiempo, pero parece que en la traducción se perdieron detalles o se usó como clickbait eso de que expertos en seguridad dijeran que estos ataques pueden venir de cualquier parte, incluso de un cepillo de dientes
    • ESP32 ahora se usa como chip de propósito general incluso en casos donde bastaría un MCU de 8 bits. Si hubiera una vulnerabilidad explotable de forma remota en ESP32 o en su SDK, podría tener consecuencias a gran escala
    • En realidad no pasó; solo es una tontería viral
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • ¿Fue wardriving por la salud bucal o qué?
  • Es un artículo realmente flojo. Alguien afirma que 3 millones de cepillos de dientes inteligentes se usaron para un DDoS, pero nadie dice qué/quién/cómo lo hizo
    Una afirmación tan inusual debería venir con al menos alguna evidencia. ¿No tendría que haber, como mínimo, detalles técnicos que permitieran identificarlos como cepillos de dientes?

    • Incluso si esos cepillos inteligentes estuvieran conectados por Wi‑Fi, también suena raro que eso los expusiera al internet público. La mayoría usa algo tosco como el módem de cable que te da el ISP, y eso normalmente trae al menos un firewall de entrada básico, ¿no?
    • También me gustaría ver más detalles, pero en electrodomésticos Wi‑Fi baratos no me parece algo tan fuera de lo común
  • Yo uso un viejo cepillo Philips sin Bluetooth, sin internet y sin cabezales bloqueados por el fabricante, y además se carga de forma inalámbrica en un vaso de vidrio. Me encanta
    Hace poco quise comprar un segundo, pero solo encontré modelos nuevos con funciones basura que no quería. ¿Quién demonios quiere conectar su cepillo de dientes a internet? Al final encontré stock viejo en eBay. Puede sonar cruel, pero espero que el idiota que decidió meterle esas funciones al producto y el mediocre que las implementó estén teniendo hoy un mal día y reflexionen sobre la sabiduría de lo que hicieron

    • El Wi‑Fi es ridículo, pero la conexión por Bluetooth/app sí tiene ventajas reales. Sirve para ver qué partes te estás cepillando y cuáles estás dejando pasar
      Desde que empecé a usar un cepillo inteligente con app en el teléfono, mi dentista notó una mejora clara en la placa detrás de mis muelas
  • Si la advertencia es “mantén tus dispositivos, firmware y software actualizados; vigila actividades sospechosas; instala y usa software de seguridad; y sigue las mejores prácticas de seguridad de red”, entonces casi que habría que permitir la compra de cepillos inteligentes solo a consumidores con certificación obligatoria

    • Claro, la responsabilidad recae en el dueño del dispositivo, y no en el fabricante, que en realidad debería producir dispositivos seguros
    • Eso de “vigila actividades sospechosas en tu red”. Es pedirle a gente que apenas entiende el router como la caja de donde sale internet que corra una captura de paquetes e interprete los resultados
  • Yo recordaba mal estos dos como si fueran una sola historieta, pero supongo que no se puede tener todo
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Advertencia sobre los cepillos eléctricos Philips: no se puede apagar Bluetooth aunque no uses las funciones inteligentes
    También hay que tener cuidado con los purificadores de aire Philips con Wi‑Fi. Esto se debe a que no se puede desactivar la función de control remoto. Para terminar la configuración, tienes que crear un hotspot Wi‑Fi al que debes conectarte con el smartphone, y si no usas esa función, el purificador de aire crea un hotspot Wi‑Fi permanente y se queda esperando a que alguien lo explote

    • Esto me recordó algo que leí hace unos días. Era sobre cómo Home Assistant detectó el cepillo de dientes Bluetooth de un vecino y ahora podían ver cuándo se cepillaba los dientes
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • Al final me deshice de un reloj fitness cuya batería duraba terriblemente poco, y por un tiempo no entendía por qué. Solo meses después me di cuenta de lo mismo: no se podía apagar Bluetooth
      La app del teléfono y el reloj seguían buscándose mutuamente todo el tiempo para sincronizarse, y la alternativa era usarlo sin emparejar, luego volver a emparejarlo para sincronizar, lo cual era demasiado molesto. Aun así, la duración real de la batería mejoró. Me quejé en línea al soporte de la empresa, pero ellos tampoco sabían por qué la batería era tan mala y solo me dijeron que quizá había cambiado alguna configuración y que intentara restaurar el teléfono de fábrica. Después me cambié a Polar, y el reloj que uso ahora dura 5 días con una sola carga. Un cambio enorme frente a menos de un día
    • Si estamos con el mismo tema, también hay que tener cuidado con los dispositivos Philips CPAP. Mientras duermes, te van rociando lentamente los pulmones con una espuma cancerígena que se descompone
      Qué gran empresa. Compran a uno de los mejores fabricantes de CPAP, luego ahorran en materiales hasta llegar al punto de rendimiento decreciente del recall por cáncer, y no es como si no hubieran tenido la opción de ocultarlo todo el mayor tiempo posible
    • ¿Qué riesgo puede exponer un hotspot Wi‑Fi de un purificador de aire que no está conectado a ninguna red ni computadora?
    • Puede que no puedas apagar Bluetooth, pero sí puedes optar por no emparejarlo con nada. También puedes quitar el emparejamiento después de configurar el dispositivo
  • Para empezar, ¿por qué un cepillo de dientes tendría que poder tener conexión web? Entiendo lo de registrar los hábitos de cepillado, pero ¿no bastaría con una conexión local tipo LAN?

    • No todos los usuarios de cepillos tienen la capacidad de tener un servidor en casa y conectarlo ahí. De hecho, creo que la mayoría ni siquiera sabía qué estaba activando cuando puso en marcha el cepillo
      Y tampoco hay que olvidar las aspiradoras, refrigeradores, lavadoras, cafeteras y una cantidad incontable de electrodomésticos “inteligentes” que transmiten datos personales. Hasta me dan ganas de hacer una encuesta para ver cuánta gente en HN construye exactamente esta clase de tecnología, cuánta de la que lee esto, y cuánta realmente se preocupa por ello
    • ¿No será porque el verdadero modelo de negocio es la venta de datos agregados?
    • Lo vi hace poco en una tienda: todos los cepillos anunciaban “AI”, app, Wi‑Fi/Bluetooth y demás. Supongo que no debe ser fácil encontrar un factor razonable de venta premium para esta clase de producto
    • Yo pienso lo mismo, pero si el propio cepillo no guarda los datos, ¿qué dispositivo de una casa normal debería recibirlos?
  • Creo que toda tecnología pasa por un periodo de experimentación antes de que quede claro cómo debería usarse
    Por eso existió Project Plowshare para las bombas, y ahora hasta los dispositivos que solo necesitan un interruptor de encendido y apagado terminan con conexión a internet. No entiendo del todo por qué haría falta un cepillo conectado, pero incluso si a veces aparece una botnet basada en cepillos, valoro muchísimo el espíritu experimental en sí

    • Claro que hace falta experimentar antes de que quede claro cómo se usa una tecnología. Pero, como se dijo aquí ayer [0], la experimentación produce consecuencias amplias, por eso los científicos profesionales tienen un código de ética, y en la industria tecnológica eso parece bastante ausente
      Solo con internet, ya ha habido como 40 años para “experimentar”. Ya es hora de que haya resultados, conclusiones y algún grado de producto maduro
      [0] https://news.ycombinator.com/context?id=39253045
    • ¿Esto de verdad es un experimento, o solo una forma de ponerle una etiqueta de precio más alta a un dispositivo agregándole Wi‑Fi?
      ¿Cómo vendes más caro el producto X? Le pones Wi‑Fi y AI. Puedes hacer esto con casi cualquier cosa
    • Primero vinieron por The Onion
      y no hablé porque no era escritor de Onion
      luego vinieron por Black Mirror
      y no hablé porque no era escritor de Mirror
      luego vinieron por Horselover Fat…
      La locura ya está aquí. Solo que no está distribuida de manera uniforme
    • Esto no es un experimento. Ya es un modelo de negocio terminado que incluso tiene una sigla conocida: SaaS
      El “por qué” está clarísimo. Siempre habrá mercado para los datos agregados sobre el comportamiento humano
    • No hace falta enseñarles honestidad a los niños. Basta con vigilar sus cepillos de dientes
  • Stanislav Lem escribió “Washer Tragedy”, sobre lavadoras que se vuelven inteligentes y toman el control, y al ver estos cepillos seguramente se habría sentido orgulloso

  • Me da miedo la inevitable guerra de dildos por internet que llegará en 2037. Un escenario donde millones de dildos en red y refrigeradores causan un caos total en internet y provocan daños por miles de millones de dólares, mientras “los sospechosos siguen prófugos”

    • “Dildo conectado a internet con soporte de ChatGPT” es un insulto mortal contra quienes escriben comentarios en internet
    • ¿No hubo ya un incidente de dildo inteligente en 2022?
      Creo que era sobre una filtración de grabaciones de voz hechas por la app complementaria