Eigenwerbung geht in die Hose
Sicherheitsanbieter erfindet Internet-Angriff mit Zahnbürsten
Zu Wochenbeginn machten Schlagzeilen wie „Hacker missbrauchen Zahnbürsten für DDoS-Angriffe“ die Runde und wir waren in der Tat schon ein klein wenig beunruhigt, schließlich ist hier eben erst eine Zahnbürste mit WLAN-Anbindung für einen Test aufgeschlagen. Aber irgendwie klang das alles dann doch zu sehr nach einer Science-Fiction-Story. In dem Bericht war von drei Millionen manipulierten Zahnbürsten die Rede, die durch einen gezielten und von extern gesteuerten DDoS-Angriff eine Schweizer Firma lahmgelegt haben sollen. Wie sich jetzt herausgestellt hat, hat sich dieses Ereignis nie zugetragen, sondern wurde schlichtweg von dem Sicherheitsanbieter Fortinet erfunden.
DDoS steht für „Distributed Denial of Service“ und beschreibt eine Internet-Attacke, bei der eine große Anzahl von Computern Anfragen an einen bestimmten Server oder ein bestimmtes Netzwerk schickt, um dieses zu überlasten. Bei einer großflächigen Verteilung der angreifenden Rechner ist deren Ziel relativ machtlos, da die Anfragen aus unterschiedlichsten Adressbereichen kommen und sich somit nicht pauschal blockieren lassen.
Symbolbilder: depositphotos.com / George Becker
Im oben genannten Fall müssen wir uns hier WLAN-Zahnbürsten anstelle der Computer vorstellen. Zwar wäre ein solches Szenario in der Theorie sicher möglich, die Zahnbürsten dürften allein schon aufgrund ihrer minimalen Prozessorleistung massiv Probleme damit haben, auch nur ansatzweise mit größeren Rechnern vergleichbare Auswirkungen zu erzielen.
Quelle für die Falschberichte war ein von der Aargauer Zeitung veröffentlichtes Interview mit einem Mitarbeiter von Fortinet, dessen Worten zufolge sich das Zahnbürsten-Ereignis tatsächlich so zugetragen hatte. Mittlerweile will Fortinet von dieser Aussage allerdings nichts mehr wissen und spricht von einem Übersetzungsfehler. Die Aargauer Zeitung hat eine Gegendarstellung veröffentlicht und teilt mit, dass Fortinet den Artikel vor der Veröffentlichung sogar noch zur Korrektur erhalten habe und da noch nichts gegen das Zitat einzuwenden hatte. Der Versuch von Fortinet, auf diese Weise Kunden zu gewinnen, ging jedenfalls kräftig in die Hose.
Das Szenario das IoT dafür missbraucht werden können ist nichts neues. Wer macht schon Updates von all seinen kleinen Dingen die im Netz hängen bzw wie oft werden die Dinger eh nicht mit Updates versorgt.
Zweites ist wohl eher das Problem
Solche Geräte kommen in ein VLAN und bekommen keinen Zugang nach außen
„Kein Zugang nach aussen“ ist leider teilweise nicht so einfach. Manche Geräte stellen dann irgendwann ihren Dienst auch intern ein (bei mir z.B. Netatmo Welcome) oder funken jede Sekunde ununterbrochen ihren chinesischen Server an (meine Schreibtischlampe von Xiaomi).
Wieso blockst du diese Adressen nicht?
Da sehr viele IoT Geräte auf chinesische Hardware setzen, werden chinesische IPs tatsächlich andauern kontaktiert, auch bei uns zu Hause. Bekommen die pi-holes was zu zu.
Die Geräte sollten in ein anderes WLAN Netz integriert werden und zusätzlich mit einen VPN Zugang pro Gerät. Oder wenn nicht nötig, kein Internet geben.
Bin mir ziemlich sicher das 80 Prozent nicht wissen was ein VPN ist, geschweige denn könne sie ein abgeschottetes Netzwerk konfigurieren.
Genau das ist das Problem. Wer sich auskennt, kann sich schützen beziehungsweise gegenlenken. Aber diese Produkte sind ja in erster Linie an eine Zielgruppe gerichtet, die sich nicht auskennt.
Ich checke täglich ob es Updates für meine Klobürste gibt, die selbstverständlich im Internet hängt. Genau wie mein Nasenhaarschneider
Das ist sehr vorbildlich von Ihnen :)
Gibt Ihre Klobürsten-App auch ein Feedback ob Sie die Schüssel richtig gereinigt haben, bzw. zu fest geschrubbt haben?
Die frage ist eher schickt die klobürste insgeheim daten an deine krankenkasse
Die Daten werden direkt zum Hausarzt geschickt, so spart man sich die jährliche lästige Stuhlprobe
Das funktioniert doch nur, wenn man die Kombüse nicht regelmäßig mit in die Spülmaschine legt. Die ist bei uns immer blitzeblank, damit kann kein Arzt etwas auswerten („ihre Tenside-Werte sind aber etwas arg hoch“)
Ich kenne keine Spülmaschine, in der eine Kombüse Platz hätte.
Zusätzlich wäre wichtig, News zubekommen, ob Sicherheitslücken vorliegen. Gibt es genug Portale die so was melden.
Perlen des Internets. Geil.
Ich kapiere es immer noch nicht, wozu eine Zahnbürste wlan braucht…
Für DDoS Angriffe ^^
Ist eigentlich nicht so schwer zu verstehen. Sie gibt einer App Informationen darüber, wie lange geputzt wurde, welcher Modus, wann usw
Wird doch üblicherweise via BT übertragen (?).
Das geht aber auch über Bluetooth, ne wlan Verbindung ist echt Overkill
Naja. WLAN hat halt ne höhere Reichweite.
Wenn man zum Beispiel HomeAssistant nutzt und nicht das Smartphone kann das Sinn machen.
Spontan fällt mir folgende Automation ein:
Wenn ich morgens Zähne putze mache einen Kaffee, schalte 4 Minuten nach Beginn des Putzens das Licht in der Küche an, starte die Standheizung des Autos etc.
Um dir für den höheren Kaufpreis in der zugehörigen App interessensbezogene Werbung anzuzeigen und dir nach einer gewissen Putzdauer Zahnbürstenköpfe zum überteuerten Preis anzubieten oder automatisch zu bestellen. Manche benötigen sogar Zugriff auf den exakten Standort um dir ein besseres Putzerlebnis zu bieten ;-)
Nicht zu vergessen: Daten für die Zahnzusatzversicherung… (nur halb ernst gemeint).
Solche Aktionen schaden der gesamten Branche von seriösen Anbietern von Sicherheitslösungen.
Dass man nicht unbedingt nur CPU-Leistung (miss)brauchen kann, ist in entsprechend informierten Kreisen auch allgemein bekannt. Der normale Verbraucher dürfte mit entsprechenden Sicherungsmaßnahmen überfordert sein und kann sich einen Systemintegrator zur Betreuung seiner Hardware kaum leisten. Wer will dem
Konsumenten das auch vermitteln, vielleicht ein- oder zweimal im Jahr einen Tausender für einen Tag Sicherheitsüberprüfungen für solche Gegenstände zu bezahlen, wenn immer noch Windows 7 oder gar Windows XP Rechner im Netz erreichbar sind?!
Eine Firma, die einfach nur ein paar Buchstaben von Fortnite durcheinander wirbelt und nutzt, macht auf mich schon deshalb keinen seriösen Eindruck.
Ich kann mich irren, aber FORTINET als Anbieter von Firewalls etc gibt es schon deutlich länger als das Spiel Fortnite…
Fortinet: gegründet 2000. Fortnite: Erschienen 2017. vielleicht nächstes Mal erst denken, dann posten.
Fortinet macht so aggressiv Kaltaquise, da wundert mich garnichts.
Unsympathischer Laden.