1 puan yazan GN⁺ 2024-02-09 | 1 yorum | WhatsApp'ta paylaş
  • Fortinet, 3 milyon akıllı diş fırçasının bir DDoS saldırısında kullanıldığına dair haberin gerçek bir olay değil, bir saldırı türü örneği olduğunu düzeltti; ancak ilk haberi yapan Aargauer Zeitung, Fortinet’in bunu gerçek bir vaka olarak anlattığını söyleyerek itiraz etti
  • İlk haberde, Java tabanlı işletim sistemi kullanan akıllı diş fırçalarının kötü amaçlı yazılımla enfekte olup botnet’e dönüştüğü, İsviçreli bir şirketin web sitesini 4 saat boyunca felç ederek milyonlarca euro zarara yol açtığı aktarılmıştı
  • Fortinet, bu hikâyenin Fortinet veya FortiGuard Labs araştırmasına dayanmadığını; çeviri sürecinde varsayımsal senaryo ile gerçek vaka arasındaki sınırın bulanıklaştığını açıkladı
  • Aargauer Zeitung ise Fortinet’in İsviçre temsilcilerinin toplantılarda ve yayın öncesi metin incelemesi sırasında “gerçekten yaşanmış olay” ifadesini düzeltmediğini söyleyerek karşı çıktı
  • Gerçeklik tartışmasından bağımsız olarak, bağlı diş fırçaları, router’lar ve güvenlik kameraları gibi IoT cihazları saldırı hedefi ya da botnet kaynağı olabileceğinden güncelleme ve ağ izleme gerekiyor

Fortinet’in düzeltmesi ve Aargauer Zeitung’un itirazı

  • Fortinet, 3 milyon akıllı diş fırçasının DDoS saldırısında kullanıldığına dair haberin hatalı olduğunu düzeltti
    • Diş fırçası örneğinin, röportaj sırasında belirli bir saldırı türünü göstermek için verilen bir örnek olduğunu açıkladı
    • İçeriğin Fortinet veya FortiGuard Labs araştırmasına dayanmadığını belirtti
    • Çeviri sürecinde varsayımsal senaryo ile gerçek vakanın birbirine karıştığı bir anlatı oluştuğunu düşünüyor
  • Aargauer Zeitung, Fortinet’in “çeviri sorunu” açıklamasını kabul etmiyor
    • Fortinet İsviçre temsilcilerinin güncel tehditlerin tartışıldığı bir toplantıda diş fırçası vakasını gerçek bir DDoS saldırısı olarak anlattığını belirtti
    • Fortinet’in, saldırı nedeniyle İsviçreli şirketin web sitesinin ne kadar süre kapalı kaldığı ve zararın ne boyutta olduğu hakkında somut bilgiler de verdiğini söyledi
    • Zarar gören şirketin adının, Fortinet’in müşterisini gözeterek açıklanmadığı ifade edildi
    • Yayın öncesinde metnin inceleme için Fortinet’e iletildiğini ve bunun gerçek bir olay olduğu yönündeki ifadeye de itiraz edilmediğini belirterek karşı çıktı

İlk haberde sunulan saldırı içeriği

  • İlk haberde yaklaşık 3 milyon akıllı diş fırçasının hacker’lar tarafından enfekte edilerek bir botnet’e katıldığı aktarılmıştı
  • Bu botnet’in İsviçreli bir şirketin web sitesine DDoS saldırısı düzenlediği ve web sitesinin saldırı yüküne dayanamayarak devre dışı kaldığı söylendi
  • Saldırının 4 saat sürdüğü ve zararın milyonlarca euro tutarında iş kaybına yol açtığı aktarıldı
  • Orijinal metinde “Hollywood senaryosu gibi görünen bu örnek gerçekten yaşandı” anlamına gelen bir cümle yer aldı; Almanca yayın Golem.de de bunu gerçek bir olay olarak haberleştirdi
  • Birden fazla Almanca konuşan kişi, “gerçekten yaşandı” çevirisinin doğru olduğunu doğruladı

Teknik açıklama ve kalan belirsizlikler

  • İlk haber, söz konusu diş fırçası botnet’inin Java tabanlı işletim sistemi nedeniyle savunmasız kalmış olabileceğini öne sürdü
  • Belirli bir akıllı diş fırçası markasından söz edilmedi
  • Akıllı diş fırçasının normal bağlantı özelliği, kullanıcının ağız hijyeni alışkanlıklarını takip etmek ve iyileştirmek amacıyla kullanılıyordu
  • Kötü amaçlı yazılım bulaşmasının ardından bu diş fırçalarının zorla botnet’e dahil edildiği aktarıldı
  • Zarar gören İsviçreli şirketin adı ve zararın ayrıntıları açıklanmadı

IoT güvenlik uyarısı

  • Fortinet İsviçre şubesinden Stefan Züger, internete bağlı her cihazın potansiyel bir hedef olabileceğini veya saldırılarda kötüye kullanılabileceğini söyledi
  • Diş fırçalarının yanı sıra router’lar, set üstü kutular, güvenlik kameraları, kapı zilleri, bebek monitörleri ve çamaşır makineleri de aynı kategoriye giriyor
  • Bağlı cihazlar hacker’lar tarafından sürekli açık aramasına maruz kalıyor; cihaz yazılımı/firmware üreticileri ile siber suçlular arasındaki yarış sürüyor
  • Fortinet, korunmasız bir PC internete bağlandığında 20 dakika içinde kötü amaçlı yazılımla enfekte olduğunu belirtti

Bağlı cihaz kullanıcıları ne yapmalı?

  • Olayın ayrıntılarının gerçekliği tartışmalı olsa da, bağlı cihaz sahipleri cihazlarını, firmware’lerini ve yazılımlarını güncel tutmalı
  • Ağda şüpheli etkinlikler izlenmeli
  • Güvenlik yazılımı kurulmalı ve kullanılmalı
  • Ağ güvenliği en iyi uygulamaları izlenmeli
  • Tom’s Hardware, yeni gelişmeleri yansıtmak için orijinal başlığı olan “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages” başlığını değiştirdi

1 yorum

 
GN⁺ 2024-02-09
Hacker News yorumları
  • Bu makale tuhaf ve birçok ayrıntı eksik. Büyük akıllı diş fırçalarının hepsinin BLE kullandığını ve doğrudan Wi‑Fi’ye bağlanmadığını biliyorum.
    Doğrulamaya çalıştım ama hiçbir şey bulamadım. BLE çiplerinin birçoğu Wi‑Fi de desteklediğinden, birinin firmware’i bozup Wi‑Fi işlevini açmış olma ihtimalini tamamen dışlamıyorum; ama en başta Wi‑Fi’ye nasıl bağlanıp botnet’i çalıştırdıkları soru işareti. IoT cihazlarının riski önermesi hâlâ geçerli, ancak bu makalenin kendisine oldukça şüpheyle bakıyorum.

    • Ben de doğrulamaya çalıştım; olası neden olarak Java tabanlı bir işletim sisteminden söz ediyorlardı.
      Java ME vardı ve mikrodenetleyicilerde çalışan mikro JVM’lerin de olduğunu biliyorum, ama yine de anlatılanlar tutarlı değil. DDoS saldırıları gerçekten var ve sürekli oluyor; fakat güvenlik “uzmanlarının” bu tür saldırıların her yerden, hatta diş fırçalarından bile gelebileceğini söylemesi, çeviri sürecinde ayrıntıların kaybolmasına ya da clickbait olarak kullanılmasına dönüşmüş gibi.
    • ESP32 artık 8 bit MCU’nun yeterli olacağı kullanım alanlarında bile genel amaçlı bir çip gibi kullanılıyor. ESP32’de veya SDK’sında uzaktan istismar edilebilir bir açık varsa, bunun büyük ölçekli sonuçları olabilir.
    • Gerçekte yaşanmış bir olay değil, sadece viral olmuş saçmalık.
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • Ağız sağlığı için wardriving falan mı yapmışlar?
  • Gerçekten özensiz bir haber. Birileri 3 milyon akıllı diş fırçasının DDoS’ta kullanıldığını iddia ediyor ama neyin/kimin/nasıl yaptığına dair kimse bir şey söylemiyor.
    Böyle sıra dışı bir iddia için en azından bir tür kanıt gerekir gibi görünüyor. Bunların diş fırçası olarak tanımlanmasını sağlayan en azından bazı teknik ayrıntılar olmalı değil mi?

    • Akıllı diş fırçasını Wi‑Fi’ye bağlamış olsan bile, bunun herkese açık internete maruz kalması da tuhaf. Çoğu kişi ISS’nin verdiği kaba saba kablo modem gibi şeyleri kullanıyor ve temel bir gelen bağlantı güvenlik duvarı olmuyor mu?
    • Ben de daha fazla ayrıntı görmek isterim ama düşük maliyetli Wi‑Fi ev aletlerinde bunun o kadar da sıra dışı olmadığını düşünüyorum.
  • Bluetooth’u da interneti de satıcı kilitli fırça başlıkları da olmayan eski tip bir Philips diş fırçası kullanıyorum; cam bardak içinde kablosuz şarj da oluyor. Çok memnunum.
    Geçenlerde ikincisini almak istedim ama yalnızca istemediğim çöp özelliklerle gelen yeni modeller bulabildim. Diş fırçasını internete bağlamayı kim ister ki? Sonunda eBay’de eski stok buldum. Kulağa acımasız gelebilir ama bu özelliği ürüne koymaya karar veren aptalın ve onu uygulayan yardakçısının bugün kötü bir gün geçirip yaptıkları işin ne kadar akıllıca olduğunu düşünmelerini umuyorum.

    • Wi‑Fi gülünç ama Bluetooth/uygulama bağlantısının gerçek faydaları var. Nereleri fırçaladığını ve hangi bölgeleri kaçırdığını görmek için kullanılıyor.
      Telefon uygulaması kullanan akıllı bir diş fırçası kullanmaya başladıktan sonra diş hekimim, azı dişlerimin arkasındaki plağın belirgin biçimde düzeldiğini fark etti.
  • Uyarı “cihazları, firmware’i ve yazılımı güncel tutun; şüpheli etkinlikleri izleyin; güvenlik yazılımı kurup kullanın; ağ güvenliği en iyi uygulamalarını izleyin” ise, akıllı diş fırçası satın almayı yalnızca zorunlu sertifikaya sahip tüketicilere izin vermek daha iyi olacak gibi.

    • Elbette sorumluluk cihaz sahibinde; gerçekten güvenli cihazlar üretmesi gereken üreticide değil yani.
    • “Ağdaki şüpheli etkinlikleri izleyin” demek ha. Router’ı yalnızca internet gelen kutu olarak bilen insanlardan paket yakalama çalıştırıp sonuçları yorumlamalarını istemek bu.
  • Bu ikisini tek bir karikatür olarak yanlış hatırlıyordum; demek ki insan her şeye sahip olamıyor.
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Philips elektrikli diş fırçası için uyarı: Akıllı özellikleri kullanmasanız bile Bluetooth kapatılamıyor
    Wi-Fi destekli Philips hava temizleyicilere de dikkat etmek gerekiyor. Çünkü uzaktan kontrol özelliği devre dışı bırakılamıyor. Kurulumu tamamlamak için akıllı telefonla bağlanmanız gereken bir Wi-Fi hotspot’u oluşturuyor; bu özelliği kullanmazsanız hava temizleyici kalıcı bir Wi-Fi hotspot’u oluşturup kötüye kullanılmayı bekler hâle geliyor

    • Birkaç gün önce okuduğum bir şey aklıma geldi. Home Assistant komşusunun Bluetooth diş fırçasını yakalamış ve artık ne zaman diş fırçaladıklarını görebilir hâle gelmişti
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • Pil ömrü berbat olan bir fitness saatini sonunda elden çıkardım; nedenini uzun süre anlayamamıştım. Aylar sonra aynı şeyi fark ettim: Bluetooth kapatılamıyordu
      Telefon uygulamasıyla saat sürekli senkronize olmaya çalışıp durmadan birbirini arıyordu; alternatif ise eşleştirmeyi kaldırıp kullanmak, sonra tekrar eşleştirip senkronize etmekti, ama bu çok zahmetliydi. Yine de pil ömrü gerçekten düzeldi. Şirketin müşteri desteğine çevrim içi şikâyette bulundum ama onlar da pilin neden bu kadar kötü olduğunu bilmiyordu; muhtemelen bir ayarı değiştirmişsinizdir deyip telefonu fabrika ayarlarına sıfırlamamı söylediler. Polar’a geçtikten sonra şu an kullandığım saat tek şarjla 5 gün gidiyor. Bir günden az süreden büyük fark
    • Aynı konuysa Philips CPAP cihazlarına da dikkat etmek gerekiyor. Uyurken parçalanan kanserojen köpüğü yavaş yavaş ciğerlerinize püskürtüyor
      Gerçekten harika bir şirket. En iyi CPAP üreticilerinden birini satın aldıktan sonra malzemeden kısmışlar, kanser geri çağırmasının kâr açısından azalan getiri noktasına ulaşmışlar ve bunu mümkün olduğunca uzun süre saklamamayı seçememiş değillerdi sanki
    • Ağa ya da bilgisayara bağlı olmayan bir hava temizleyicinin Wi-Fi hotspot’u nasıl bir risk açığa çıkarabilir?
    • Bluetooth’u kapatamıyor olabilirsiniz ama hiçbir şeyle eşleştirmemeyi seçebilirsiniz. Cihazı kurduktan sonra eşleştirmeyi kaldırabilirsiniz de
  • Zaten bir diş fırçasının neden web bağlantısı kurabilmesi gerekiyor? Diş fırçalama alışkanlıklarını takip etmek için olduğunu biliyorum ama bunu LAN gibi yerel bir bağlantıyla da yapmak mümkün değil mi?

    • Her diş fırçası kullanıcısının evinde bir sunucu bulundurup ona bağlanabilecek yetkinlikte olması gerekmiyor. Hatta çoğu kişinin diş fırçasını etkinleştirirken neyi açtığını bilmediğini düşünüyorum
      Elektrikli süpürgeleri, buzdolaplarını, çamaşır makinelerini, kahve makinelerini ve sayısız “akıllı” kişisel veri gönderen ev aletini de unutmamak gerek. HN’de tam olarak bu teknolojileri geliştiren kaç kişi var, bu yazıyı okuyan kaç kişi var ve gerçekten umursayan kaç kişi var diye anket yapmak isterdim
    • Asıl iş modeli toplu veri satışı olduğu için değil mi?
    • Geçenlerde mağazada gördüm; tüm diş fırçaları “AI”, uygulama, Wi-Fi/Bluetooth vb. özelliklerin reklamını yapıyordu. Bu tür ürünlere makul üst düzey satış unsurları eklemek zor olsa gerek
    • Ben de aynı fikirdeyim ama veriler diş fırçasının kendisinde saklanmıyorsa sıradan bir evde hangi cihaz bu verileri almalı?
  • Bence tüm teknolojiler, nasıl kullanılmaları gerektiği netleşmeden önce bir deney döneminden geçer
    Bu yüzden bombalar için Project Plowshare vardı; şimdi de yalnızca açma-kapama düğmesi yeterli olacak cihazlara bile internet bağlantısı ekleniyor. Bağlantılı bir diş fırçasına neden ihtiyaç duyulduğunu pek anlamıyorum ama arada diş fırçası tabanlı botnet’ler çıksa bile deney ruhunu çok takdir ediyorum

    • Elbette bir teknolojinin kullanım biçimi netleşmeden önce deney yapmak gerekir. Ama dün burada söylediğim gibi [0], deneyler geniş kapsamlı sonuçlar doğurduğu için profesyonel bilim insanlarının etik kuralları var; teknoloji sektöründe ise böyle bir şey pek yok gibi görünüyor
      Sadece internet açısından bakarsak “deney” yapmak için yaklaşık 40 yılımız oldu. Artık sonuçların, çıkarımların ve bir ölçüde olgunlaşmış ürünlerin ortaya çıkma zamanı
      [0] https://news.ycombinator.com/context?id=39253045
    • Bu gerçekten deney mi, yoksa cihaza Wi-Fi bağlantısı ekleyip ona daha yüksek bir fiyat etiketi takmaktan mı ibaret?
      X ürününü daha pahalıya nasıl satarsın? Wi-Fi ve AI eklersin. Neredeyse her şeye bunu yapabilirsin
    • Önce The Onion’ı almaya geldiler
      Ben Onion yazarı olmadığım için sesimi çıkarmadım
      Sonra Black Mirror’ı almaya geldiler
      Ben Mirror yazarı olmadığım için sesimi çıkarmadım
      Sonra Horselover Fat’e geldiler…
      Akıl sağlığı zaten burada. Sadece eşit dağılmamış durumda
    • Bu bir deney değil. Zaten SaaS gibi tanıdık bir kısaltması bile olan oturmuş bir iş modeli
      “Neden” olduğu açık. İnsan davranışına dair toplu veriler için her zaman bir pazar vardır
    • Çocuklara dürüstlüğü öğretmeye gerek yok. Çünkü sadece çocukların diş fırçalarını izlemek yeterli
  • Stanislav Lem, çamaşır makinelerinin akıllanıp kontrolü ele geçirdiği “Washer Tragedy”yi yazmıştı; böyle diş fırçalarını görse gurur duyardı

  • 2037’de kaçınılmaz olarak gelecek internet dildo savaşından korkuyorum. Milyonlarca ağa bağlı dildo ve buzdolabının tüm internette büyük kargaşa çıkarıp milyarlarca dolar zarara yol açtığı ve “şüphelilerin hâlâ firarda” olduğu bir senaryo

    • “ChatGPT destekli internete bağlı dildo”, internet yorumcularına yönelik ölümcül bir hakaret
    • 2022’de zaten bir akıllı dildo olayı olmamış mıydı?
      Eşlik eden uygulamanın oluşturduğu ses kayıtlarının sızdığına dair bir şeydi sanırım