Miljoonat sähköhammasharjat valjastettiin verkkohyökkäyksen boteiksi (päivitetty: ei tapahtunut oikeasti, oli esimerkki)
Petteri Pyyny
6. helmikuuta, 2024 21:39
Jos olet koskaan joutunut pohtimaan jonkin modernin tuotteen kohdalla kysymystä "tarviikohan tähän oikeasti nettiyhteyttä?", vastaus on mitä todennäköisimmin ei. Tai kuten asiantuntijat asian ilmaisevat: "jos se älykäs, se on haavoittuva".
Erityisen ongelmallisiksi ovat muodostuneet ns. IoT-laitteet eli tavalliset arkiset laitteet, joihin on lisätty (usein täysin turhaan) "älykkäitä" toimintoja - ja ne on kytketty (tietysti) nettiin.
Suurin riskin siinä, että jääkaappisi, pesukoneesi, hiustenkuivaajasi tai aikuisten lelu on liitetty nettiin, tulee kyseisten tuotteiden tietoturvasta. Tietokoneisiin me päivitämme kiltisti uusimmat tietoturvapäivitykset ja puhelimiinkin ne ehdottomasti kannattaa päivittää välittömästi. Mutta montako kertaa olet päivittänyt jääkaappisi laiteohjelmiston? Tai edes pyykkikoneesi käyttöjärjestelmän?
Vaara verkkoon kytketyissä, haavoittuvuuksia sisältävissä laitteissa on usein varsin epäselvä ja hähmäinen - ja moni ajatteleekin, että "mitä se haittaa jos joku saa kaapattua pyykkikoneeni?" Nyt yhden tällaisen älykkääksi luodun laiteryhmän ansiosta on tapahtunut yksi niistä riskiskenaarioista, minkä vuoksi tieoturva-ammattilaiset varoittelevat älykkäistä kodinkoneista.
Päivitys 8.2.2023: Tietoturvayhtiö Fortinet on täsmentänyt laajalti levinnyttä uutista lausunnossaan, jonka se on lähettänyt mm. Tom's Hardwarelle sekä ZDNetille, jotka olivat nekin uutisoineet aiemmin aiheesta.
Fortinetin lausunto:
Selventääksemme asiaa, hammasharjojen käyttö palvelunestohyökkäyksessä oli haastattelussa annettu esimerkki. Esimerkin kautta pyrittiin kuvaamaan tietynlaista hyökkäystä - ja kuvattu skenaario ei pohjaudu Fortunetin tai FortiGuard Labsin tutkimuksiin. Vaikuttaa siltä, että käännösvirheiden vuoksi tämä hypoteettinen skenaario muuttui jossain vaiheessa todelliseksi, tapahtuneeksi tapahtumaksi.
Alkuperäinen artikkelimme on aiheesta sellaisenaan alla:
Nyt on paljastunut tapaus, jossa yli kolme miljoonaa verkkoon kytkettyä,
älykästä sähköhammasharjaa oli kaapattu rikollisten toimesta bottiverkoksi. Hammasharjoista löytyi niiden Java-pohjaisesta käyttöjärjestelmästä tietoturva-aukko, jonka avulla rikolliset saivat niiden toimintoihin täydet pääsyoikeudet. Hammasharjat saattoivat käyttäjänsä mielestä toimia edelleen aivan oikein, mutta rikolliset käyttivät niitä samalla pieninä, suojaamattomina, verkkoon kytkettyinä tietokoneina.
Tapaus paljastui siksi, että sveitsiläisen yrityksen verkkosivut kaatuivat palvelunestohyökkäyksen
(DDoS) alla. Kun asiaa lähdettiin selvittelemään, paljastui, että sivuston kaatanut valtaisa palvelunestohyökkäys tuli ihmisten kodeissa olevista sähköhammasharjoista. Rikolliset olivat siis valjastaneet kaappaamansa hammasharjat omaan käyttöönsä ja pistivät hammasharjat lähettämään huikeita määriä nettiliikennettä kaadetulle sivustolle.
Tapauksesta aiheutui kohteena olleelle sivustolle miljoonien eurojen suuruiset liikevaihdon menetykset.
Tapauksesta kertonut tietoturvayhtiö
Fortinetin edustaja
kertoo haastattelussa (saksaksi) että heidän mielestään kaikki verkkoon kytketyt laitteet ovat lähtökohtaisesti riski. Ja rikolliset ovat samaa mieltä, sillä Fortinetin mukaan rikolliset etsivät aina vain uusia aukkoja, uusista laitteista ja tekevät sitä säännöllisesti.
Kaapattuja laitteita käytetään usein myös roskapostin lähetykseen, jne. Laitteen omistaja voi olla täysin tietämätön asiasta jopa vuosien ajan - ja korkeintaan kiroilee sitä, miten nettiyhteys ei ole läheskään niin nopea kuin sen pitäisi olla. Fortinet ja kohteeksi joutunut sivusto eivät ole kertoneet minkä valmistajan sähköhammasharjoilla hyökkäys tehtiin.
Olemme aiemminkin uutisoineet hämmentävistä IoT-laitteiden tietoturvaongelmista: mm.
äly-dildo, joka paljasti käyttäjänsä tietoja nettiin ja
web-palvelimen sisältävä, suojaamaton astianpesukone ovat hyviä esimerkkejä aiheesta.