1 पॉइंट द्वारा GN⁺ 2024-02-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Fortinet ने यह सुधार जारी किया कि 30 लाख smart toothbrushes का DDoS हमले में इस्तेमाल होने की रिपोर्ट कोई वास्तविक घटना नहीं, बल्कि एक हमले के प्रकार का उदाहरण थी; लेकिन पहली रिपोर्ट करने वाले मीडिया Aargauer Zeitung ने इसका खंडन करते हुए कहा कि Fortinet ने इसे वास्तविक मामला बताया था
  • पहली रिपोर्ट में कहा गया था कि Java-आधारित OS इस्तेमाल करने वाले smart toothbrushes malware से संक्रमित होकर botnet बन गए, और उन्होंने एक स्विस कंपनी की वेबसाइट को 4 घंटे तक ठप कर दिया, जिससे लाखों euro का नुकसान हुआ
  • Fortinet ने सफाई दी कि यह कहानी Fortinet या FortiGuard Labs के शोध पर आधारित नहीं थी, और अनुवाद प्रक्रिया में काल्पनिक scenario और वास्तविक मामले की सीमा धुंधली हो गई
  • Aargauer Zeitung ने पलटकर कहा कि Fortinet के स्विस प्रतिनिधियों ने बैठक और प्रकाशन से पहले manuscript review के दौरान “वास्तव में हुई घटना” वाली अभिव्यक्ति को ठीक नहीं किया
  • सत्यता पर बहस से अलग, connected toothbrushes, routers और surveillance cameras जैसे IoT devices हमले के लक्ष्य या botnet संसाधन बन सकते हैं, इसलिए updates और network monitoring जरूरी हैं

Fortinet का सुधार और Aargauer Zeitung का खंडन

  • Fortinet ने सुधार जारी किया कि 30 लाख smart toothbrushes का DDoS हमले में इस्तेमाल होने की रिपोर्ट गलत थी
    • उसने समझाया कि toothbrush वाला मामला interview के दौरान किसी खास हमले के प्रकार को दिखाने वाला उदाहरण था
    • यह सामग्री Fortinet या FortiGuard Labs के शोध पर आधारित नहीं है
    • उसका मानना है कि अनुवाद प्रक्रिया में काल्पनिक scenario और वास्तविक मामले को मिलाकर एक narrative बन गया
  • Aargauer Zeitung ने Fortinet की “translation issue” वाली सफाई स्वीकार नहीं की
    • उसने कहा कि Fortinet Switzerland के प्रतिनिधियों ने मौजूदा threats पर चर्चा वाली बैठक में toothbrush मामले को वास्तविक DDoS हमला बताया था
    • उसके अनुसार, स्विस कंपनी की वेबसाइट हमले से कितनी देर down रही और नुकसान का पैमाना कितना था, इस पर ठोस जानकारी भी Fortinet ने दी थी
    • उसने बताया कि प्रभावित कंपनी का नाम Fortinet ने ग्राहकों को ध्यान में रखते हुए सार्वजनिक नहीं किया
    • उसने खंडन करते हुए कहा कि प्रकाशन से पहले manuscript review के लिए Fortinet को भेजी गई थी, और इसे वास्तविक घटना कहने पर भी कोई आपत्ति नहीं की गई थी

पहली रिपोर्ट में बताए गए हमले का विवरण

  • पहली रिपोर्ट में कहा गया कि लगभग 30 लाख smart toothbrushes hackers द्वारा संक्रमित होकर botnet में शामिल हो गए थे
  • इस botnet ने एक स्विस कंपनी की वेबसाइट पर DDoS attack किया, और वेबसाइट हमले के load को झेल नहीं पाई तथा बंद हो गई
  • बताया गया कि हमला 4 घंटे तक चला और नुकसान लाखों euro के business loss में बदला
  • मूल लेख में इस आशय का वाक्य शामिल था कि “Hollywood scenario जैसा दिखने वाला यह उदाहरण वास्तव में हुआ था”, और जर्मन मीडिया Golem.de ने भी इसे वास्तविक घटना के रूप में रिपोर्ट किया
  • कई German speakers ने पुष्टि की कि “वास्तव में हुआ था” वाला अनुवाद सही है

तकनीकी व्याख्या और बाकी अनिश्चितताएं

  • पहली रिपोर्ट ने संभावना जताई कि संबंधित toothbrush botnet Java-based OS की वजह से vulnerable रहा होगा
  • किसी खास smart toothbrush brand का उल्लेख नहीं किया गया
  • smart toothbrush की सामान्य connected functionality उपयोगकर्ता की oral hygiene habits को track करने और सुधारने के लिए थी
  • बताया गया कि malware infection के बाद वे toothbrushes जबरन botnet में शामिल कर दिए गए
  • प्रभावित स्विस कंपनी का नाम और नुकसान का विस्तृत विवरण सार्वजनिक नहीं किया गया

IoT security warning

  • Fortinet Switzerland के Stefan Züger ने कहा कि internet से जुड़ा हर device संभावित target हो सकता है या हमले में दुरुपयोग किया जा सकता है
  • toothbrushes के अलावा routers, set-top boxes, surveillance cameras, doorbells, baby monitors और washing machines भी इसी श्रेणी में आते हैं
  • connected devices में hackers लगातार vulnerabilities खोजते रहते हैं, और device software/firmware बनाने वालों तथा cyber criminals के बीच प्रतिस्पर्धा जारी रहती है
  • Fortinet ने कहा कि एक unprotected PC को internet से connect करने पर वह सिर्फ 20 मिनट में malware से संक्रमित हो गया

Connected device users को क्या करना चाहिए

  • घटना की विस्तृत सत्यता पर बहस जारी हो, फिर भी connected device owners को अपने devices और firmware, software को latest रखना चाहिए
  • network में suspicious activity की निगरानी करनी चाहिए
  • security software install कर उसका इस्तेमाल करना चाहिए
  • network security best practices का पालन करना चाहिए
  • Tom’s Hardware ने नए developments को दर्शाने के लिए अपना मूल शीर्षक “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages” बदल दिया

1 टिप्पणियां

 
GN⁺ 2024-02-09
Hacker News की राय
  • यह लेख अजीब है और इसमें कई details missing हैं। मेरी जानकारी में बड़े smart toothbrush सभी BLE इस्तेमाल करते हैं और सीधे Wi-Fi से connect नहीं होते
    मैंने fact-check करने की कोशिश की, लेकिन कुछ नहीं मिला। कई BLE chips Wi-Fi भी कर सकते हैं, इसलिए यह संभावना पूरी तरह खारिज नहीं की जा सकती कि किसी ने firmware compromise करके Wi-Fi capability on कर दी हो, लेकिन मूल सवाल यही है कि उन्होंने शुरुआत में Wi-Fi से connect होकर botnet कैसे चलाया। IoT devices के जोखिम वाला premise अभी भी valid है, लेकिन इस article को लेकर मैं काफी skeptical हूँ

    • मैंने भी fact-check किया, और वे एक Java-based operating system की बात कर रहे थे जो वजह हो सकता था
      Java ME था, और microcontrollers पर चलने वाले micro JVM भी होते हैं, यह पता है, फिर भी बात logically fit नहीं होती। DDoS attack सच में हुआ था और ऐसे हमले हमेशा होते रहते हैं, लेकिन शायद security “experts” ने कहा होगा कि ऐसे attacks कहीं से भी आ सकते हैं, यहाँ तक कि toothbrush से भी, और translation में details गायब हो गईं या इसे clickbait की तरह इस्तेमाल किया गया
    • ESP32 अब उन use cases में भी general-purpose chip की तरह इस्तेमाल हो रहा है जहाँ 8-bit MCU काफी होता। अगर ESP32 या SDK में remotely exploitable vulnerability हो, तो उसके बड़े पैमाने पर नतीजे हो सकते हैं
    • यह असल में हुई घटना नहीं है, बस viral हुई बकवास है
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • क्या यह oral health के लिए wardriving जैसा कुछ था?
  • सच में बहुत लचर article है। कोई दावा कर रहा है कि 30 लाख smart toothbrushes DDoS में इस्तेमाल हुए, लेकिन क्या/किसने/कैसे किया, यह कोई नहीं बताता
    ऐसे असाधारण दावे के लिए कम-से-कम कुछ evidence तो चाहिए। कम-से-कम ऐसी technical details होनी चाहिए थीं जिनसे उन्हें toothbrush के रूप में identify किया गया हो, है न?

    • मान भी लें कि smart toothbrush Wi-Fi से connect था, तब भी उसका public internet पर exposed होना अजीब है। ज़्यादातर लोग ISP द्वारा दिया गया भारी-भरकम cable modem जैसा कुछ इस्तेमाल करते हैं, और उसमें basic inbound firewall होता है, नहीं?
    • मैं भी और details देखना चाहूँगा, लेकिन सस्ते Wi-Fi appliances में यह इतना भी असामान्य नहीं लगता
  • मैं पुराना Philips toothbrush इस्तेमाल कर रहा हूँ जिसमें न Bluetooth है, न internet, न vendor-locked brush heads, और वह glass cup के अंदर wireless charging भी कर लेता है। मुझे बहुत पसंद है
    हाल में दूसरा खरीदने की कोशिश की तो सिर्फ नए models मिले जिनमें बेकार के features जोड़े गए थे जिन्हें मैं नहीं चाहता। आखिर कौन चाहता है कि toothbrush internet से connect हो? अंत में मुझे eBay पर पुराना stock मिला। यह क्रूर लग सकता है, लेकिन जिसने ऐसे features product में डालने का फैसला किया और जिस नौकर ने इसे implement किया, उम्मीद है आज उनका दिन खराब बीते और वे अपने किए की समझदारी पर फिर से विचार करें

    • Wi-Fi तो हास्यास्पद है, लेकिन Bluetooth/app connectivity के real फायदे हैं। यह देखने के काम आता है कि आप कहाँ brush कर रहे हैं और कौन-से हिस्से miss हो रहे हैं
      phone app वाला smart toothbrush इस्तेमाल करना शुरू करने के बाद dentist ने कहा कि मेरे molars के पीछे plaque में साफ सुधार हुआ है
  • अगर warning यह है कि “devices, firmware, software को latest रखें, suspicious activity monitor करें, security software install/use करें, और network security best practices follow करें,” तो लगता है smart toothbrush खरीदने की अनुमति सिर्फ mandatory certification वाले consumers को ही देनी चाहिए

    • बिल्कुल, जिम्मेदारी device owner की है, उन manufacturers की नहीं जिन्हें वास्तव में secure devices बनाने चाहिए
    • “अपने network पर suspicious activity monitor करें”। यह उन लोगों से packet capture चलाने और results interpret करने की मांग है जिनके लिए router बस internet देने वाला डिब्बा है
  • मैं इन दोनों को एक ही comic के रूप में गलत याद कर रहा था; लगता है सब कुछ एक साथ नहीं मिल सकता
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

    • यह भी अच्छा है
      https://i.imgur.com/YnBnsKA.jpeg
    • तो authentication can brushing से पहले पीना चाहिए या बाद में?
  • Philips इलेक्ट्रिक टूथब्रश को लेकर चेतावनी: स्मार्ट फीचर्स इस्तेमाल न करें तब भी Bluetooth बंद नहीं किया जा सकता
    Wi-Fi सपोर्ट करने वाले Philips एयर प्यूरीफायर से भी सावधान रहना चाहिए। क्योंकि रिमोट कंट्रोल फीचर को disable नहीं किया जा सकता। सेटअप पूरा करने के लिए स्मार्टफोन से कनेक्ट होने वाला Wi-Fi hotspot बनाना पड़ता है, और अगर यह फीचर इस्तेमाल न करें तो एयर प्यूरीफायर स्थायी Wi-Fi hotspot बनाकर दुरुपयोग का इंतज़ार करता रहता है

    • कुछ दिन पहले पढ़ी एक बात याद आई। Home Assistant ने पड़ोसी का Bluetooth टूथब्रश पकड़ लिया था, और अब वे देख सकते थे कि वे कब ब्रश करते हैं
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • आखिरकार मैंने बेहद खराब बैटरी लाइफ वाली fitness watch छोड़ दी, और काफी समय तक वजह समझ नहीं आई। कुछ महीनों बाद जाकर यही बात समझी, और Bluetooth बंद नहीं किया जा सकता था
      फोन ऐप और घड़ी हमेशा sync करने के लिए लगातार एक-दूसरे को ढूंढते रहते थे, और विकल्प यह था कि unpair करके इस्तेमाल करो और फिर sync करने के लिए दोबारा pair करो—जो बहुत झंझट था। फिर भी बैटरी लाइफ सच में बेहतर हो गई। कंपनी के customer support से ऑनलाइन शिकायत की, लेकिन उन्हें भी नहीं पता था कि बैटरी इतनी खराब क्यों है; बस बोले कि आपने शायद कोई setting बदल दी होगी, इसलिए फोन factory reset करके देखें। Polar पर switch करने के बाद मेरी मौजूदा घड़ी एक charge में 5 दिन चलती है। एक दिन से कम से यह बहुत बड़ा फर्क है
    • इसी विषय पर Philips CPAP डिवाइस से भी सावधान रहना चाहिए। यह सोते समय टूटते हुए carcinogenic foam को धीरे-धीरे आपके फेफड़ों में छिड़कता है
      वाकई कमाल की कंपनी है। सबसे अच्छे CPAP निर्माताओं में से एक को खरीदने के बाद material में कंजूसी की, cancer recall के diminishing returns वाले point तक पहुंची, और ऐसा भी नहीं था कि इसे जितना हो सके उतना देर तक छिपाए रखने के अलावा कोई विकल्प नहीं था
    • किसी network या computer से कनेक्ट न किए गए एयर प्यूरीफायर का Wi-Fi hotspot कौन-सा खतरा expose कर सकता है?
    • Bluetooth बंद न कर पाएं, तब भी आप चुन सकते हैं कि उसे किसी चीज़ से pair न करें। डिवाइस setup करने के बाद pairing हटा भी सकते हैं
  • शुरू में ही, टूथब्रश को web connection की ज़रूरत क्यों होनी चाहिए? समझता हूं कि brushing habits track करने के लिए होगा, लेकिन क्या यह LAN जैसी local connection से नहीं हो सकता?

    • हर टूथब्रश user के घर में server नहीं होता, न ही उससे connect करने की क्षमता होती है। बल्कि मुझे लगता है कि ज्यादातर लोगों को toothbrush activate करते समय पता भी नहीं रहा होगा कि उन्होंने क्या on किया है
      और vacuum cleaner, refrigerator, washing machine, coffee maker और अनगिनत “smart” निजी डेटा भेजने वाले appliances को भी मत भूलिए। मन करता है HN वालों में survey करूं कि कितने लोग बिल्कुल ऐसी technology बनाते हैं, कितने लोग यह पढ़ रहे हैं, और कितने सच में इसकी परवाह करते हैं
    • कहीं ऐसा तो नहीं कि असली business model aggregated data बेचना है?
    • हाल ही में store में देखा कि सभी toothbrush “AI”, app, Wi-Fi/Bluetooth वगैरह का प्रचार कर रहे थे। लगता है ऐसे product में कोई reasonable top selling feature जोड़ना मुश्किल है
    • मैं भी यही सोचता हूं, लेकिन अगर toothbrush खुद data store नहीं करता, तो आम घर में कौन-सा device वह data receive करे?
  • मुझे लगता है कि हर technology इस बात के साफ होने से पहले कि उसका इस्तेमाल कैसे होना चाहिए, experimentation के दौर से गुजरती है
    इसलिए bombs के लिए Project Plowshare था, और अब उन devices में भी internet connection लग रहा है जिन्हें बस on-off switch चाहिए। connected toothbrush की ज़रूरत क्यों है, यह मुझे ज्यादा समझ नहीं आता, लेकिन कभी-कभी toothbrush-based botnet आ भी जाए तो भी मैं experimentation spirit को बहुत ऊंचा मानता हूं

    • बेशक, technology कैसे इस्तेमाल होगी यह साफ होने से पहले experimentation जरूरी है। लेकिन जैसा मैंने कल यहां कहा था [0], experimentation के व्यापक परिणाम होते हैं, इसलिए professional scientists के लिए code of ethics होता है, जबकि tech industry में ऐसा काफी हद तक नहीं दिखता
      सिर्फ internet को देखें तो “experiment” करने के लिए करीब 40 साल थे। अब results, conclusions और कुछ हद तक mature output आने का समय है
      [0] https://news.ycombinator.com/context?id=39253045
    • क्या यह सच में experiment है, या सिर्फ device पर Wi-Fi connection लगाकर ज्यादा महंगा price tag लगाने के लिए है
      Product X को ज्यादा महंगा कैसे बेचें? Wi-Fi और AI लगा दीजिए। लगभग किसी भी चीज़ के साथ यह किया जा सकता है
    • पहले वे The Onion को पकड़ने आए
      मैं Onion writer नहीं था, इसलिए मैंने कुछ नहीं कहा
      फिर वे Black Mirror को पकड़ने आए
      मैं Mirror writer नहीं था, इसलिए मैंने कुछ नहीं कहा
      फिर वे Horselover Fat के पास आए…
      sanity पहले से ही यहां है। बस समान रूप से distributed नहीं है
    • यह experiment नहीं है। यह तो एक पूरा business model है, जिसके लिए पहले से जाना-पहचाना acronym SaaS भी है
      “क्यों” साफ है। human behavior पर aggregated data का market हमेशा होता है
    • बच्चों को ईमानदारी सिखाने की जरूरत नहीं। बस बच्चों के toothbrush को monitor कर लीजिए
  • Stanislav Lem ने “Washer Tragedy” लिखा था, जिसमें washing machines स्मार्ट होकर कब्ज़ा करने लगती हैं; ऐसे toothbrush देखकर वे शायद गर्व महसूस करते

  • 2037 में अनिवार्य रूप से आने वाले internet dildo war से डर लगता है। लाखों network dildos और refrigerators पूरे internet में भारी अफरा-तफरी मचाकर अरबों डॉलर का नुकसान करेंगे, और “suspects are still at large” वाला scenario बनेगा

    • “ChatGPT-supported internet-connected dildo” internet commenters के लिए घातक insult है
    • क्या 2022 में पहले ही smart dildo incident नहीं हुआ था?
      शायद बात यह थी कि companion app द्वारा बनाई गई voice recordings leak हो गई थीं