Atakavo Šveicarijos kompaniją?
Įrašai apie dantų šepetėlius socialiniuose tinkluose ir tinklaraščiuose, tekstai įvairiuose tinklalapiuose ir net žinomose žiniasklaidos priemonėse pasipylė trečiadienį.
„3 mln. žmonių įsigijo dantų šepetėlius, kurie prisijungia prie jų belaidžio interneto? Kodėl? Prašau. Žmonės. Nustokite pirkti tą kvailą mėšlą“, – ragino vienas „Facebook“ vartotojas.
„Milijonas dantų šepetėlių suformavo botų tinklą ir padarė milijoninių nuostolių“, „Taip, jūsų dantų šepetėlis galėjo būti nulaužtas“, – aiškinama kitose šio socialinio tinklo paskyroje.
Dar viena „Facebook“ vartotoja buvo tikslesnė: „Milijonai „išmaniųjų dantų šepetėlių“ panaudoti DDoS atakai prieš Šveicarijos kompaniją, kuri prarado milijonus.“
DDoS (Distributed Denial-of-Service, atsisakymas aptarnauti) yra atakos, dėl kurių sistemos tampa neprieinamos arba neveikia. Per tokią ataką serveris sulaukia tiek daug užklausų, kad sistema nebegali veikti pagal paskirtį, blogiausiais atvejais ji gali visiškai sugesti.
Norint ją įvykdyti, į maršrutizatorius, serverius ar vadinamojo daiktų interneto įrenginius įsilaužiama panaudojus numatytuosius slaptažodžius, pasinaudojus jų pažeidžiamumu ar tiesios brutaliai įsilaužus.
Tuomet kenkėjiška programa įtraukia įrenginį į DDoS botų tinklą ir jis gali būti panaudojamas atakoms.
Kitur paaiškinta dar išsamiau: ne tik kad šepetėliai buvo paversti botų tinklais ir per juos atakuota Šveicarijos įmonė, bet ir kad nusikaltimui pasitelkta „Java“ paremta operacinė sistema. Dantų šepetėlio gamintojas esą neskelbiamas.
„Įprastu atveju dantų šepetėliai būtų panaudoję ryšį vartotojų burnos higienos įpročiams stebėti ir pagerinti, bet po užkrėtimo kenkėjiška programa jie buvo sujungti į botų tinklą“, – rašoma šiame „Facebook“ puslapyje.
Socialinių tinklų vartotojai dalijosi nuorodomis į tinklalapius, kuriuose ne tik papasakota apie tariamai užvaldytus šepetėlius, bet ir atkreiptas dėmesys į tokių prietaisų saugumą.
Tiesa, kai kur (ypač jei pakalbinti IT saugumo ekspertai) suabejota, ar tokia situacija tikrai galėjo nutikti. Nepaisant to, tekstais buvo dalijamasi kaip perpasakojančiais realią istoriją, net jei jie buvo papildyti komentarais, kad nieko tokio neįvyko.
Tokią situaciją tikrai aprašė
Daugelyje straipsnių ir įrašų socialiniuose tinkluose buvo paminėta, kad kibernetinę ataką pirmiausiai aprašė Šveicarijos dienraštis „Aargauer Zeitung“.
Pagal jo pavadinimą ir vokišką žodį „dantų šepetėliai“ galima rasti straipsnį, paskelbtą laikraščio portale.
„Dantų šepetėliai puola: štai kokios dabartinės kibernetinės grėsmės ir kaip galite apsisaugoti“, – skelbia sausio 30 d. publikuoto teksto antraštė.
Toliau pristatytas jo turinys: „Kaip rodo nauji kibernetinio saugumo bendrovės „Fortinet" duomenys, atakų skaičius siekia neįsivaizduojamas aukštumas. Kokie pokyčiai kelia nerimą ir kodėl vis dar yra pagrindo optimizmui.“
Likusi straipsnio dalis prieinama tik prenumeratoriams, bet ji cituojama kai kuriuose straipsniuose ir įrašuose.
„Jis yra namuose, vonios kambaryje, tačiau jis yra didelio masto kibernetinės atakos dalis, – taip pradedamas tekstas. – Elektrinis dantų šepetėlis naudoja „Java“, o nusikaltėliai nepastebimai įdiegė į jį kenkėjišką programinę įrangą – kaip ir į 3 mln. kitų dantų šepetėlių.
Užtenka vienos komandos, ir nuotoliniu būdu valdomi dantų šepetėliai vienu metu prisijungia prie vienos Šveicarijos bendrovės interneto svetainės. Ji paralyžiuojama keturioms valandoms. Padaryta milijonų dolerių žala.
Šis pavyzdys, skambantis kaip Holivudo scenarijus, iš tikrųjų įvyko. Tai rodo, kokios universalios tapo skaitmeninės atakos.“
Stefanas Zugeris iš pasaulinės kibernetinio saugumo įmonės „Fortinet“ Šveicarijos padalinio straipsnyje pateikė patarimų, kaip apsaugoti savo išmaniuosius dantų šepetėlius ar panašią įrangą (maršrutizatorius, priedėlius, stebėjimo kameras, durų skambučius, kūdikių monitorius, skalbimo mašinas).
„Kiekvienas prie interneto prijungtas įrenginys yra potencialus taikinys arba gali būti panaudotas netinkamai – atakai“, – sakė jis.
Įsilaužėliai esą nuolat tikrina kiekvieno prijungto įrenginio pažeidžiamumą, todėl tarp programinės įrangos gamintojų ir kibernetinių nusikaltėlių vyksta tikros ginklavimosi varžybos.
Neseniai „Fortinet“ prijungė „neapsaugotą“ kompiuterį prie interneto ir užtruko tik 20 minučių, kol jį paveikė kenkėjiška programa.
Grėsmė reali
Šį antradienį savaitės senumo tekstas buvo pacituotas tinklalapyje „Tom’s Hardware“, bet situacija su šepetėliais pateikta kaip įvykusi: „3 mln. kenkėjiška programa užkrėstų išmaniųjų dantų šepetėlių panaudoti DDoS atakai Šveicarijoje – botų tinklas padarė milijonus eurų žalos“.
Dramatišką istoriją iškart pasigavo įvairūs tinklaraščiai ir tinklalapiai, socialinių tinklų vartotojai, net kai kurios žiniasklaidos priemonės, įskaitant žinomo Austrijos dienraščio „Der Standard“ portalą Vokietijoje.
Bet netrukus ją ėmė neigti ne tik IT temomis rašantys tinklaraštininkai, bet ir socialinių tinklų vartotojai.
Kai kurie ėmė svarstyti, jog vargiai tikėtina, kad kuri nors kompanija jau būtų prigaminusi tiek išmaniųjų dantų šepetėlių, kurie jau turėtų sąsajų su internetu. Be to, jie patys interneto net nenaudoja, o bluetooth technologijos pagalba gali būti susieti su išmaniuoju telefonu. Internetą naudoja šis.
Jei būtų įsilaužta į elektrinio šepetėlio valdymo programėlę, ne šepetėlis, o mobilusis telefonas virstų botu.
Pačiame straipsnyje, kuriuo remiantis gimė istorija apie 3 mln. „užvaldytų“ šepetėlių, daugiau konkrečios informacijos apie DDoS ataką nepateikiama, nerašoma, kad ji tikrai įvyko. Didžiumoje teksto cituojami kibernetinio saugumo bendrovės „Fortinet“ tyrimai, per kuriuos buvo aptikta kenkėjiškų, užgrobtų daiktų interneto įrenginių.
Jau kilus triukšmui kompanija tinklalapiui „404 Media“ paaiškino: „Tema apie dantų šepetėlius, naudojamus DDoS atakoms, buvo pateikta interviu metu kaip tam tikro tipo atakos iliustracija ir nėra pagrįsta bendrovės „Fortinet“ ar „FortiGuard Labs“ tyrimais.
Atrodo, kad dėl vertimų pasakojimas šia tema buvo „ištemptas“ tiek, kad hipotetiniai ir tikri scenarijai susiliejo.“
Nepaisant to, kibernetinio saugumo ekspertai ne tik originalųjį straipsnį, bet ir gimusią melagieną įvertino kaip priminimą, kad piktavaliai gali taikytis į bet kurį internetu valdomą įrenginį.
Į tai dėmesį atkreipė ir Lietuvos tinklaraštininkas Ričardas Savukynas.
Statistikos tinklalapio „Statista“ duomenimis, iki 2024 m. pabaigos prie interneto bus prijungta maždaug 17 mlrd. vadinamųjų daiktų interneto įrenginių – namų elektronikos prietaisų, elektromobilių, saugumo sistemų, sveikatos stebėjimo įrenginių ir pan.). Kitaip tariant, daugybė įrenginių potencialiai galės būti įtraukti į DDoS robotų tinklus.
15min verdiktas: melas. 3 mln. išmaniųjų elektrinių dantų šepetėlių panaudojimas DDoS atakai prieš vieną Šveicarijos bendrovę yra ne reali, o hipotetinė istorija, kurią aprašė vieno šios šalies dienraščio žurnalistai.
Publikacija parengta 15min bendradarbiaujant su „Meta“, ja siekiama stabdyti klaidinančių naujienų plitimą socialiniame tinkle. Daugiau apie programą ir jos taisykles – čia.