Большая чистка: как зубные щетки атакуют интернет
На прошлой неделе СМИ облетела странная история о том, как хакеры установили вредоносный программный код на 3 млн «умных» электрических зубных щеток, после чего успешно использовали их для кибератаки на сайт швейцарской компании. Многие эксперты усомнились в правдивости этой информации, хотя и согласны с тем, что она — удачный повод в очередной раз серьёзно поговорить о безопасности так называемого интернета вещей (Internet of Things, IoT).
Забытый провидец
Проблема «бунта машин» начала волновать человечество примерно в конце XIX- начале XX веков, когда в ходе научно-технической революции различные механизмы начали играть все более заметную роль в жизни людей. У самых пытливых умов с неизбежностью возник вопрос: «Мы все больше полагаемся на машины и это прекрасно. Но что будет, если они перестанут работать или, того хуже, со всей своей машинной мощью и эффективностью обратятся против нас?»
Обычно такие размышления были связаны с роботами, как, например, написанная в 1920 г. пьеса Карела Чапека R.U.R. о восстании человекоподобных роботов, захвативших мир.
Ещё сильнее пугает мысль, что против человека выступят не какие-то фантастические роботы, а самые обычные бытовые предметы, которыми мы привычно и не задумываясь пользуемся каждый день.
Особенно интересен в этом плане относительно малоизвестный и, к сожалению, недописанный рассказ Валерия Брюсова с весьма оригинальным (для 1908 года) названием «Восстание машин».
Рассказ ведётся от имени рядового обывателя из будущего: «Подобно всем, кто живёт в нашу эпоху, я пользовался всеми благами современных машин, но никогда не задумывался над вопросом, как и где они приводятся в движение или каково их устройство. Мне было достаточно, что машины обслуживают нужды мои и моих близких, а чем это достигается, мне было все равно».
Идиллическая картина жизни в городе будущего Октополе в одно мгновение оборачивается настоящим кошмаром, когда объединенные в глобальную сеть бытовые приборы начинают убивать своих хозяев. Причём автор устами главного героя говорит, что причина ему доподлинно неизвестна («Неужели хакерский взлом?» — непременно подумал бы современный человек).
«Я попросил бабушку (так все в семье называли мою мать) сказать Стефану по телефону, что буду у него. Старушка взяла трубку городского телефона, поднесла её к уху, нажала соответствующие цифры на таблице и, наконец, соединительную кнопку… И вдруг произошло нечто, чего мы сразу не могли понять. Бабушка трагически вздрогнула, вся вытянулась, подпрыгнула в кресле и рухнула наземь, выронив телефонную трубку. Мы бросились к упавшей. Она была мертва; это было несомненно по её искаженному лицу и по отсутствию дыхания, а ухо, которое она держала у телефона, было прожжено, словно ударом молнии невероятной силы… Оказалось, что почти в каждой квартире случилось какое-нибудь несчастие: некоторые были убиты, как бабушка, при попытке говорить по телефону, другие получили страшный удар при прикосновении к рычагу телекинемы, третьих обварило вырвавшимся паром, одному заморозило руку из холодильника и т. д.», — так герой рассказа описывает начало катастрофы.
Кстати, обратите внимание, что упомянутый выше телефон явно был кнопочным. Рассказ Брюсов начал писать в 1908 г., а в реальном мире кнопочные телефоны появились в США только 55 лет спустя — в 1963 г. Первые электронные телевизоры (то, что Брюсов называет «телекинемой») начали производиться в Германии в 1934 г. А описанная им глобальная электрическая сеть для управления различными машинами появилась ещё позже — “днем рождения интернета» считается 29 октября 1969 г. или, согласно другой точке зрения, 1 января 1983 г.
Так или иначе, при всем богатстве своей фантазии представить взбунтовавшуюся зубную щетку даже провидец Валерий Брюсов не смог.
Слово против слова
Современная история восстания зубных щеток началась с публикации в швейцарской газете Aargauer Zeitung, которая и сообщила об инциденте, со ссылкой на компанию по кибербезопасности Fortinet. Якобы три миллиона «умных» зубных щеток, способных установить связь со смартфоном, были заражены вредоносным кодом и таким образом включены в зомби-сеть устройств, тайно использующихся хакерами (так называемый ботнет). А потом злоумышленники отдали им команду начать DDoS-атаку (вал обращений, приводящий к отказу системы) на сайт швейцарской компании. Атака положила сайт на 4 часа и нанесла ущерб в «миллионы долларов», писала газета.
Эксперты по кибербезопасности сразу отметили, что в этой статье не хватает многих деталей — не названа, например, пострадавшая компания, да и модель зомби-щеток тоже — а ведь большинство умных зубных щеток все же подключаются к смартфону по Bluetooth, а не через Wi-Fi.
Колумнист Forbes Дэйви Уайндер обратился за разъяснениями в саму Fortinet и получил ответ. «Тема использования зубных щеток для DDoS-атак была упомянута во время интервью в качестве иллюстрации данного типа атак, и она не основана на исследованиях Fortinet или FortiGuard Labs. Похоже, что из-за сложностей перевода (оригинальная статья вышла на немецком — «Курсив») опубликованный материал изобилует натяжками до степени смешения гипотетического и реального сценариев», — было сказано в сообщении компании.
Однако вскоре с Уайндером связалась автор оригинальной статьи Анн Катрин Амштутц, и заявила, что кейс со взломанными зубными щетками был представлен ей как реальный, с указанием конкретных параметров — сколько времени лежал сайт (4 часа) и каков был ущерб — миллионы долларов. Более того она настаивает, что во избежание ошибок показала представителям Fortinet статью до публикации, и у них не было возражений.
Правда или нет?
В том, что описанный Анн Катрин Амштутц сценарий развития событий теоретически возможен, у меня особых сомнений нет. Достаточно вспомнить как в 2016 году созданный тремя американскими подростками ботнет под названием Mirai с помощью DDoS-атаки положил десятки сайтов и создал серьёзные проблемы миллионам интернет-пользователей в США и Европе. Это был далеко не первый ботнет в мире, однако особенностью Mirai стало то, что хакеры нацелились не на компьютеры. Они заражали вредоносным кодом IoT-устройства — в основном умные веб-камеры и домашние интернет-роутеры.
Секрет «успеха» Mirai крылся в том, что люди как правило не очень беспокоятся о защите таких устройств и не меняют в них заводской пароль (кстати, проверьте свои). Вирус просто сканировал интернет-адреса и вводил всем известные стандартные заводские пароли, а получив доступ, заливал вредоносный код. Mirai заразила таким образом сотни тысяч устройств и провела несколько разрушительных DDoS-атак. Ловких юных хакеров в конце концов поймало ФБР, но им удалось избежать тюрьмы в обмен на услуги по борьбе с созданным ими же монстром.
Ну а что касается позиции Fortinet, то хорошо известно, что компании-жертвы успешных кибератак не любят сообщать о них публично, это подрывает доверие потребителей и вредит репутации. Наверняка утверждать нельзя, но вполне возможно предположить, что кто-то из клиентов Fortinet узнал в статье себя и потребовал опровержения.
Впрочем, кто бы ни был прав, высокую угрозу атак на IoT-устройства в компании не отрицают. «Fortinet предупредил об опасности умных устройств, таких как веб-камеры, радионяни, дверные звонки и прочая бытовая техника» — написала газета Independent.
«Каждое устройство, подключенное к интернету, является потенциальной целью или может быть использовано не по назначению для атаки. Необходимо принять меры для самозащиты», — цитирует Independent слова руководителя отдела системных технологий Fortinet Switzerland Стефана Цюгера.