Strony firmy nie działały przez kilka godzin, co przełożyło się na miliony euro strat. To efekt potężnego ataku DDoS, przeprowadzonego z domów niewinnych obywateli.
Informacja o ataku została zdementowana następnego dnia po publikacji. Doszło tu do błędu w tłumaczeniu – angielskojęzyczne źródła, z których korzystałam, zagubiły ważny szczegół przy przekazywaniu informacji: to nie jest opis prawdziwej sytuacji, ale hipotetyczny scenariusz. Czytelników przepraszam za wprowadzenie w błąd, a redakcji Sekuraka za wyjaśnienie.
Niemniej warto pochylić się nad tym scenariuszem i przemyśleć kolejne zakupy smart-gadżetów. Poniżej znajduje się dalsza część artykułu w niezmienionej formie.
Szczegóły ataku nie zostały podane do wiadomości publicznej, ale wiemy, jak cyberprzestępcom udało się dopiąć swego. Przed atakiem zbudowali globalną sieć urządzeń, które wysyłały śmieciowe pakiety do serwerów celu, w efekcie uniemożliwiając ich normalną pracę. Narzędzie ataku może być w Twoim domu, konkretnie w Twojej łazience.
Botnet, który przeprowadził atak, został zbudowany z około 3 milionów niepozornych urządzeń – inteligentnych szczoteczek do zębów. Sprzęty do higieny osobistej nie miały odpowiednich zabezpieczeń i zostały przejęte przez cyberprzestępców tuż pod nosem właścicieli, którzy pewnie myli nimi zęby jak zwykle. Możliwe, że szczoteczki zużywały energię szybciej niż zwykle, ale jeśli spędzają cały dzień na stojaku-ładowarce, właściciele mogli tego nie zauważyć.
Szczoteczki, o których mowa, mają dziś już 10 lat. Ich oprogramowanie działa na platformie Java, popularnej na systemach wbudowanych. Łatwo wyobrazić sobie, że urządzenia od lat nie dostały aktualizacji bezpieczeństwa. Dziś są punktami wejścia dla cyberprzestępców. Zagrożone są nasze sieci domowe i nasza prywatność, a także usługi świadczone w internecie, jak pokazuje przykład ze Szwajcarii. Infrastruktura narodowa i biznes również mogą ucierpieć przez niezabezpieczone sprzęty do higieny osobistej. Dość przypomnieć, że podobny atak zakłócił działanie systemu ePUAP, kluczowego dla polskiej e-administracji.
Zobacz: Atak na ePUAP. Wykorzystano metodę DDoS
Nie jest to niespodziewane. Eksperci od dawna przestrzegali przed podłączaniem do internetu wszystkiego, jak leci. Każdy sprzęt stanowi potencjalny cel, ale nie każdy można łatwo przejąć. Konsumenckie, niedrogie urządzenia IoT są niestety na tym gorszym końcu spektrum, są projektowane z minimalnymi wymaganiami bezpieczeństwa i wdrażane z myślą o szybkim zysku, a nie o przyszłości. Sprzęty szybko tracą wsparcie i nie mają interfejsu, który pozwoliłby zabezpieczyć je na własną rękę. Często jedyne wyjście to całkowite odcięcie ich od internetu i trzymanie w wydzielonej sieci w domu.
Można też nie kupować „inteligentnych” urządzeń, jeśli nie jest to uzasadnione praktyczne. Wiadomo – smart TV kupujemy po to, by korzystać na nim ze streamingów, kamerę do monitoringu po to, by widzieć dom z każdego miejsca na świecie. Może jednak można podarować sobie Wi-Fi w szczoteczce do zębów?
Źródło zdjęć: New Africa / Shutterstock
Źródło tekstu: Aargauer Zeitung
