In questi giorni i redattori di un numero incalcolabile di testate online si sono consumati i polpastrelli per raccontare la storia di un incredibile attacco che avrebbe coinvolto ben 3 milioni di spazzolini elettrici, dispositivi “arruolati” da un gruppo di criminali informatici per sferrare attacchi DDoS (Distributed Denial of Service). Un’armata di spazzolini smart diventati improvvisamente cattivi, al soldo di attaccanti senza scrupoli. Ma le cose stanno veramente così? Risposta breve: assolutamente no.
Già la storia di per sé sembrava piuttosto fantasiosa: dispositivi elettronici che, un po’ alla “It takes two“, si ribellano ai legittimi proprietari e diventano strumenti di un disegno a tinte fosche.
L’attacco DDoS che vede protagonisti gli spazzolini elettrici non è mai avvenuto
La scorsa settimana, un sito di notizie svizzero ha pubblicato quella che a monti è parsa una novità agghiacciante. Senza troppi giri di parole, la testata scrive che un gruppo di malintenzionati ha forzato il firmware di circa 3 milioni di spazzolini elettrici per installarvi codice dannoso. Collegati al router locale, gli spazzolini di norma raccolgono e rendono accessibili tramite app, informazioni sul loro utilizzo, sui tempi dell’igiene dentale, sullo stato delle setole e così via.
Questa volta, invece, la modifica applicata lato software avrebbe inserito tutti gli spazzolini smart vulnerabili all’interno di una botnet. Una botnet è una composta da un insieme di dispositivi infettati da malware e controllati attraverso un singolo punto di comando. Questi device, noti come “bot” o “zombie“, agiscono in modo coordinato sotto il controllo del gestore della botnet. Le botnet vengono spesso utilizzate per condurre attacchi informatici, come inviare spam, distribuire malware, eseguire attacchi DDoS o svolgere altre attività dannose sulla rete.
Nel caso di specie, l’invio di un apposito comando, avrebbe provocato un attacco coordinato verso il sito Web di un’azienda svizzera facendolo crollare sotto il peso delle continue richieste di connessione provenienti dagli spazzolini remoti. La testata elvetica che ha diffuso la notizia parla di danni per milioni di dollari, subìti dalla società bersaglio dell’aggressione.
Perché c’era odore di fake news
Iniziamo col precisare che gli spazzolini elettrici non si connettono direttamente a Internet: non offrono una connessione WiFi né supportano altri protocolli per connettersi direttamente con il router in modalità wireless. I modelli compatibili, invece, utilizzano Bluetooth per connettersi con i dispositivi mobili e dialogare con le app dedicate installate sullo smartphone. I dati sono poi eventualmente condivisi sulle piattaforme Web di riferimento.
Un attacco informatico massiccio come quello descritto, avrebbe potuto essere posto in campo soltanto aggredendo la supply chain ovvero la catena di fornitori utilizzata per veicolare il firmware sui dispositivi e trasferire, verso l’intera base di utenti, una speciale versione del software contenente codice dannoso.
Se questo fosse davvero avvenuto, si tratterebbe di un problema molto più esteso rispetto all’attacco DDoS in sé. Ma niente di tutto quello che è stato descritto in questi giorni è mai accaduto.
Questo post a firma di Robert Graham, CEO di Errata Security riassume la questione. Seppur in maniera piuttosto colorita.
Fortinet, azienda ripetutamente citata come fonte della notizia dell’attacco DDoS perpetrato usando 3 milioni di spazzolini da denti, ha chiarito che lo scenario descritto era meramente ipotetico e non descriveva non avvenimento accaduto. Inoltre, non è frutto di alcuna ricerca svolta né da Fortinet né da FortiGuard Labs.
La protezione dei dispositivi IoT è una cosa seria
Entro fine 2024, si prevede che siano connessi alla rete Internet qualcosa come 17 miliardi di dispositivi IoT (Internet delle Cose). La “non-notizia” degli spazzolini smart trasformati in soldatini al servizio dei criminali informatici dovrebbe comunque riportarci con i piedi per terra e richiamare l’attenzione sull’importanza di proteggere adeguatamente i dispositivi per l’Internet delle Cose.
Vulnerabilità presenti nel firmware di questi prodotti, difetti in fase di configurazione imputabili agli utenti, l’assenza di controlli dei permessi, l’utilizzo di credenziali deboli e così via, potrebbe facilitare il lavoro dei malintenzionati determinati ad aggiungere questi device a botnet o comunque interessati a usarli per compiere azioni dannose. Tali dispositivi, infatti, potrebbero essere utilizzati come “grimaldello” per accedere a una rete locale e muoversi lateralmente accedendo a risorse condivise, sottraendo informazioni personali, installando software malevolo e così via.
Le difese utilizzate a protezione dei server raggiungibili tramite indirizzo IP pubblico dovrebbero essere le stesse che si applicano ai device IoT, ponendo in questi casi massima attenzione all’aggiornamento del firmware su base periodica.
Credit immagine in apertura: Microsoft Bing Image Creator.