1 poin oleh GN⁺ 2024-02-09 | 1 komentar | Bagikan ke WhatsApp
  • Fortinet mengoreksi bahwa laporan tentang 3 juta sikat gigi pintar yang digunakan dalam serangan DDoS bukanlah kejadian nyata, melainkan contoh jenis serangan, tetapi media yang pertama memberitakannya, Aargauer Zeitung, membantah dan menyatakan Fortinet menjelaskannya sebagai kasus nyata
  • Laporan awal menyebut sikat gigi pintar yang menggunakan OS berbasis Java terinfeksi malware lalu menjadi botnet, melumpuhkan situs web sebuah perusahaan Swiss selama 4 jam dan menyebabkan kerugian jutaan euro
  • Fortinet menjelaskan bahwa kisah ini tidak didasarkan pada riset Fortinet atau FortiGuard Labs, dan dalam proses penerjemahan batas antara skenario hipotetis dan kasus nyata menjadi kabur
  • Aargauer Zeitung membantah dengan menyatakan bahwa perwakilan Fortinet Swiss tidak mengoreksi ungkapan “kejadian yang benar-benar terjadi” baik dalam rapat maupun saat meninjau naskah sebelum publikasi
  • Terlepas dari perdebatan soal kebenarannya, perangkat IoT yang terhubung seperti sikat gigi, router, dan kamera pengawas dapat menjadi target serangan atau sumber daya botnet, sehingga pembaruan dan pemantauan jaringan tetap diperlukan

Koreksi Fortinet dan bantahan Aargauer Zeitung

  • Fortinet mengoreksi bahwa laporan tentang 3 juta sikat gigi pintar yang digunakan dalam serangan DDoS tidak akurat
    • Kasus sikat gigi disebut sebagai contoh untuk menunjukkan jenis serangan tertentu dalam sebuah wawancara
    • Isi tersebut tidak didasarkan pada riset Fortinet atau FortiGuard Labs
    • Fortinet menilai bahwa dalam proses penerjemahan terbentuk narasi yang mencampur skenario hipotetis dengan kasus nyata
  • Aargauer Zeitung tidak menerima penjelasan Fortinet soal “masalah terjemahan”
    • Media itu menyatakan bahwa perwakilan Fortinet Swiss menjelaskan kasus sikat gigi sebagai serangan DDoS nyata dalam diskusi mengenai ancaman saat ini
    • Disebutkan juga bahwa informasi rinci seperti berapa lama situs perusahaan Swiss itu tumbang dan seberapa besar skala kerugiannya juga diberikan oleh Fortinet
    • Nama perusahaan yang terdampak dijelaskan tidak diungkap oleh Fortinet dengan mempertimbangkan pelanggannya
    • Aargauer Zeitung membantah dengan menyatakan naskah telah dikirim ke Fortinet untuk ditinjau sebelum publikasi, dan tidak ada keberatan terhadap ungkapan bahwa itu adalah kejadian nyata

Isi serangan yang dipaparkan dalam laporan awal

  • Laporan awal menyebut sekitar 3 juta sikat gigi pintar telah terinfeksi oleh peretas dan dimasukkan ke dalam botnet
  • Botnet ini disebut melakukan serangan DDoS terhadap situs web sebuah perusahaan Swiss, dan situs tersebut berhenti beroperasi karena tidak mampu menahan beban serangan
  • Serangan disebut berlangsung selama 4 jam, dengan dampak berupa kerugian bisnis senilai jutaan euro
  • Teks aslinya memuat kalimat yang bermakna “contoh yang tampak seperti skenario Hollywood ini benar-benar terjadi”, dan media berbahasa Jerman Golem.de juga memberitakannya sebagai kejadian nyata
  • Sejumlah penutur bahasa Jerman mengonfirmasi bahwa terjemahan “benar-benar terjadi” itu akurat

Penjelasan teknis dan ketidakpastian yang masih tersisa

  • Laporan awal mengemukakan kemungkinan bahwa botnet sikat gigi tersebut rentan karena OS berbasis Java
  • Tidak ada merek sikat gigi pintar tertentu yang disebut
  • Fungsi konektivitas normal pada sikat gigi pintar digunakan untuk melacak dan meningkatkan kebiasaan kebersihan mulut pengguna
  • Disebutkan bahwa setelah terinfeksi malware, sikat gigi tersebut dipaksa masuk ke dalam botnet
  • Nama perusahaan Swiss yang terdampak dan rincian kerugian lebih lanjut tidak diungkap

Peringatan keamanan IoT

  • Stefan Züger dari kantor cabang Fortinet Swiss mengatakan bahwa semua perangkat yang terhubung ke internet dapat menjadi target potensial atau disalahgunakan untuk serangan
  • Selain sikat gigi, router, set-top box, kamera pengawas, bel pintu, monitor bayi, dan mesin cuci juga termasuk dalam kategori yang sama
  • Perangkat yang terhubung terus-menerus menjadi sasaran pencarian celah oleh peretas, dan persaingan antara pembuat perangkat lunak/perangkat tegar perangkat dan penjahat siber terus berlangsung
  • Fortinet menyatakan bahwa PC tanpa perlindungan terinfeksi malware hanya dalam 20 menit setelah terhubung ke internet

Apa yang perlu dilakukan pengguna perangkat terhubung

  • Meski detail kebenaran kasus ini masih diperdebatkan, pemilik perangkat terhubung harus menjaga perangkat, firmware, dan perangkat lunaknya tetap mutakhir
  • Aktivitas mencurigakan di jaringan harus dipantau
  • Perangkat lunak keamanan harus dipasang dan digunakan
  • Praktik terbaik keamanan jaringan harus diikuti
  • Tom’s Hardware mengubah judul aslinya, “Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages”, untuk mencerminkan perkembangan baru

1 komentar

 
GN⁺ 2024-02-09
Pendapat Hacker News
  • Artikel ini aneh dan banyak detail yang hilang. Setahu saya, semua sikat gigi pintar besar memakai BLE dan tidak terhubung langsung ke Wi-Fi
    Saya mencoba memeriksa faktanya, tetapi tidak menemukan apa pun. Banyak chip BLE juga mendukung Wi-Fi, jadi saya tidak sepenuhnya menutup kemungkinan seseorang merusak firmware lalu mengaktifkan fungsi Wi-Fi, tetapi sejak awal saya mempertanyakan bagaimana perangkat itu terhubung ke Wi-Fi dan menjalankan botnet. Premis tentang risiko perangkat IoT tetap valid, tetapi saya cukup skeptis terhadap artikel ini sendiri

    • Saya juga mencoba memeriksa fakta, dan mereka menyebut sistem operasi berbasis Java sebagai kemungkinan penyebabnya
      Saya tahu dulu ada Java ME dan ada juga micro JVM yang berjalan di mikrokontroler, tetapi tetap saja ini tidak nyambung. Serangan DDoS memang nyata dan selalu terjadi, tetapi sepertinya para “pakar” keamanan mengatakan bahwa serangan seperti ini bisa datang dari mana saja, bahkan dari sikat gigi, lalu detailnya hilang dalam proses penerjemahan atau dipakai sebagai clickbait
    • ESP32 sekarang dipakai seperti chip serbaguna bahkan untuk penggunaan yang sebenarnya cukup dengan MCU 8-bit. Jika ada kerentanan pada ESP32 atau SDK yang bisa dieksploitasi dari jarak jauh, dampaknya bisa berskala besar
    • Ini bukan sesuatu yang benar-benar terjadi, hanya omong kosong yang viral
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • Apakah mereka melakukan wardriving demi kesehatan mulut?
  • Artikel yang benar-benar ceroboh. Seseorang mengklaim 3 juta sikat gigi pintar dipakai untuk DDoS, tetapi tidak ada yang mengatakan apa/siapa/bagaimana melakukannya
    Klaim yang tidak biasa seperti ini setidaknya membutuhkan semacam bukti. Bukankah setidaknya harus ada detail teknis yang memungkinkan perangkat itu diidentifikasi sebagai sikat gigi?

    • Kalaupun sikat gigi pintar terhubung ke Wi-Fi, aneh juga kalau itu terekspos ke internet publik. Bukankah kebanyakan orang memakai semacam modem kabel seadanya dari ISP, yang memiliki firewall inbound dasar?
    • Saya juga ingin melihat detail lebih lanjut, tetapi menurut saya untuk peralatan rumah tangga Wi-Fi murah, hal seperti itu tidak terlalu luar biasa
  • Saya memakai sikat gigi Philips model lama tanpa Bluetooth, tanpa internet, dan tanpa kepala sikat yang dikunci vendor, tetapi tetap bisa diisi daya nirkabel di dalam gelas kaca. Saya sangat menyukainya
    Baru-baru ini saya ingin membeli yang kedua, tetapi yang bisa saya temukan hanya model baru dengan fitur sampah yang tidak saya inginkan. Siapa sebenarnya yang ingin menghubungkan sikat gigi ke internet? Akhirnya saya menemukan stok lama di eBay. Mungkin terdengar kejam, tetapi saya berharap orang bodoh yang memutuskan memasukkan fitur ini ke produk dan antek yang mengimplementasikannya mengalami hari yang buruk hari ini dan merenungkan kebijaksanaan dari apa yang telah mereka lakukan

    • Wi-Fi memang konyol, tetapi Bluetooth/koneksi aplikasi punya manfaat nyata. Itu dipakai untuk melihat bagian mana yang sedang disikat dan bagian mana yang terlewat
      Setelah mulai memakai sikat gigi pintar dengan aplikasi ponsel, dokter gigi saya melihat plak di bagian belakang geraham saya jelas membaik
  • Kalau peringatannya adalah “jaga perangkat, firmware, dan software tetap terbaru, pantau aktivitas mencurigakan, pasang dan gunakan software keamanan, serta ikuti praktik terbaik keamanan jaringan”, rasanya sebaiknya hanya konsumen dengan sertifikasi wajib yang diizinkan membeli sikat gigi pintar

    • Tentu saja tanggung jawabnya ada pada pemilik perangkat, bukan pada produsen yang seharusnya benar-benar membuat perangkat yang aman
    • “Pantau aktivitas mencurigakan di jaringan” katanya. Itu berarti meminta orang-orang yang hanya mengenal router sebagai kotak yang mengeluarkan internet untuk menjalankan packet capture dan menafsirkan hasilnya
  • Saya keliru mengingat kedua ini sebagai satu komik, tetapi tampaknya kita tidak bisa mendapatkan semuanya sekaligus
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Peringatan tentang sikat gigi elektrik Philips: Bluetooth tidak bisa dimatikan meski fitur pintarnya tidak dipakai
    Pembersih udara Philips yang mendukung Wi-Fi juga perlu diwaspadai. Sebab fitur kendali jaraknya tidak bisa dinonaktifkan. Untuk menyelesaikan pengaturan, perangkat membuat hotspot Wi-Fi yang harus dihubungkan dengan smartphone; jika fitur ini tidak dipakai, pembersih udara akan terus membuat hotspot Wi-Fi permanen yang menunggu untuk disalahgunakan

    • Saya teringat sesuatu yang saya baca beberapa hari lalu. Isinya Home Assistant menangkap sikat gigi Bluetooth milik tetangga, sehingga kini mereka bisa melihat kapan tetangga itu menyikat gigi
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • Saya akhirnya menyingkirkan jam tangan fitness yang daya tahan baterainya sangat buruk, dan cukup lama tidak tahu alasannya. Baru beberapa bulan kemudian saya menyadari hal yang sama: Bluetooth tidak bisa dimatikan
      Aplikasi ponsel dan jam tangan itu terus saling mencari karena selalu berusaha sinkron, dan alternatifnya adalah melepas pairing, memakainya, lalu memasangkan lagi untuk sinkronisasi—terlalu merepotkan. Meski begitu, daya tahan baterainya memang membaik. Saya mengajukan keluhan online ke dukungan pelanggan perusahaan, tetapi mereka juga tidak tahu kenapa baterainya seburuk itu dan hanya menyuruh saya melakukan factory reset pada ponsel karena mungkin ada pengaturan yang berubah. Setelah beralih ke Polar, jam tangan yang saya pakai sekarang bertahan 5 hari dengan sekali pengisian. Perbedaannya besar dari yang sebelumnya kurang dari sehari
    • Kalau bicara topik yang sama, perangkat CPAP Philips juga perlu diwaspadai. Ia perlahan menyemprotkan busa karsinogenik yang terurai ke paru-paru saat Anda tidur
      Perusahaan yang sungguh hebat. Setelah mengakuisisi salah satu produsen CPAP terbaik, mereka menghemat bahan sampai mencapai titik diminishing returns dari recall kanker, dan bukannya mereka tidak punya pilihan selain menyembunyikannya selama mungkin
    • Risiko apa yang bisa ditimbulkan oleh hotspot Wi-Fi dari pembersih udara yang tidak terhubung ke jaringan atau komputer?
    • Bluetooth mungkin tidak bisa dimatikan, tetapi Anda bisa memilih untuk tidak memasangkannya dengan apa pun. Setelah perangkat disetel, pairing-nya juga bisa dihapus
  • Kenapa sejak awal sikat gigi harus bisa terhubung ke web? Saya tahu alasannya untuk melacak kebiasaan menyikat gigi, tetapi bukankah itu bisa dilakukan hanya dengan koneksi lokal seperti LAN?

    • Tidak semua pengguna sikat gigi punya server di rumah dan kemampuan untuk menghubungkannya ke sana. Justru saya rasa kebanyakan orang bahkan tidak tahu apa yang mereka aktifkan saat mengaktifkan sikat gigi itu
      Dan jangan lupa penyedot debu, kulkas, mesin cuci, pembuat kopi, serta tak terhitung banyaknya perangkat rumah tangga “pintar” lain yang mengirim data pribadi. Saya sampai ingin membuat survei: berapa banyak orang HN yang membuat teknologi seperti ini, berapa banyak yang membaca tulisan ini, dan berapa banyak yang benar-benar peduli
    • Bukankah karena model bisnis sebenarnya adalah menjual data agregat?
    • Saya baru-baru ini melihatnya di toko, dan semua sikat gigi mengiklankan “AI”, aplikasi, Wi-Fi/Bluetooth, dan semacamnya. Sepertinya memang sulit menempelkan nilai jual unggulan yang rasional pada produk seperti ini
    • Saya juga berpikir begitu, tetapi kalau datanya tidak disimpan di sikat gigi itu sendiri, perangkat apa di rumah biasa yang seharusnya menerima data tersebut?
  • Saya rasa semua teknologi melewati masa eksperimen sebelum jelas bagaimana seharusnya digunakan
    Karena itu, untuk bom ada Project Plowshare, dan sekarang koneksi internet ditempelkan bahkan ke perangkat yang sebenarnya hanya butuh sakelar on/off. Saya agak tidak mengerti kenapa kita butuh sikat gigi terhubung, tetapi meski sesekali muncul botnet berbasis sikat gigi, saya sangat menghargai semangat eksperimennya

    • Tentu saja eksperimen diperlukan sebelum cara penggunaan teknologi menjadi jelas. Namun seperti yang saya katakan di sini kemarin [0], karena eksperimen menghasilkan konsekuensi yang luas, ilmuwan profesional punya kode etik, sementara industri teknologi tampaknya cukup tidak punya hal semacam itu
      Kalau hanya melihat internet, kita sudah punya sekitar 40 tahun untuk “bereksperimen”. Sekarang seharusnya sudah waktunya ada hasil, kesimpulan, dan keluaran yang cukup matang
      [0] https://news.ycombinator.com/context?id=39253045
    • Apakah ini benar-benar eksperimen, atau hanya cara menempelkan koneksi Wi-Fi agar perangkat bisa diberi label harga lebih tinggi?
      Bagaimana cara menjual produk X lebih mahal? Tempelkan Wi-Fi dan AI. Hampir apa pun bisa diperlakukan seperti ini
    • Mula-mula mereka datang menjemput The Onion
      Saya tidak bersuara karena saya bukan penulis Onion
      Lalu mereka datang menjemput Black Mirror
      Saya tidak bersuara karena saya bukan penulis Mirror
      Lalu mereka datang untuk Horselover Fat…
      Kegilaan sudah ada di sini. Hanya saja belum tersebar merata
    • Ini bukan eksperimen. Ini model bisnis matang yang bahkan sudah punya singkatan akrab: SaaS
      “Mengapa”-nya jelas. Selalu ada pasar untuk data agregat tentang perilaku manusia
    • Tidak perlu mengajari anak-anak untuk jujur. Cukup awasi sikat gigi mereka
  • Stanislav Lem pernah menulis “Washer Tragedy”, tentang mesin cuci yang menjadi pintar lalu mengambil alih; melihat sikat gigi seperti ini mungkin akan membuatnya bangga

  • Saya takut akan perang dildo internet yang tak terelakkan pada 2037. Skenarionya: jutaan dildo dan kulkas berjaringan menimbulkan kekacauan besar di seluruh internet, menyebabkan kerugian miliaran dolar, lalu “para tersangka masih buron”

    • “Dildo terhubung internet dengan dukungan ChatGPT” adalah hinaan mematikan bagi para penulis komentar internet
    • Bukankah pada 2022 sudah ada kasus dildo pintar?
      Seingat saya, rekaman suara yang dibuat aplikasi pendampingnya bocor