Rage Against The Machine

Es geht um drei Millionen elektrische Zahnbürsten. Sie sollen die Website einer Schweizer Firma angegriffen und für Stunden vom Netz genommen haben. Ende Januar berichtete die «Aargauer Zeitung» über den Angriff. Die Schlagzeile knallte und trieb Leserinnen auf die Nachrichtenseite der Zeitung. Journalisten berichteten über den Vorfall, der damit die Grenze des Virtuellen überschritt und in den Nachrichten und an den Stammtischen landete. Doch um es gleich vorwegzunehmen: Der Fall entpuppte sich als Zeitungsente.

Of Bots and Brushes

In der Schweiz berichteten der «Tages-Anzeiger» und der «Blick». Auch die auf IT-Berichterstattung spezialisierten Internetportale Golem und Zdnet griffen die Geschichte auf. Das englischsprachige Online-Magazin «Tom’s Hardware» schnappte die Schlagzeile von den angeblich angreifenden Zahnbürsten auf. Dann das britische Boulevardblatt «The Sun», die den Kanton Aargau kurzerhand nach Deutschland verlegte. Die englische Tageszeitung «The Independent», die «Times of India», die auflagenstärkste Zeitung Neuseelands: Sie alle übernahmen die Meldung – ohne sie zu plausibilisieren oder gar zu überprüfen.

Die Quelle der Falschmeldung ist die US-amerikanische IT-Sicherheitsfirma Fortinet. Diese hat auch ein Büro in Dietlikon im Kanton Zürich. Eine Reporterin der «Aargauer Zeitung» traf sich mit dem Schweiz-Chef und einem Mitarbeiter zu einem Interview. In dem Gespräch sollen die beiden auch von den Zahnbürsten erzählt haben. Und zwar reichlich ausgeschmückt: Es handele sich um einen Angriff mit elektrischen Zahnbürsten, die in Java programmiert seien. Angeblich hätten Hacker Schadsoftware installiert, um mit einem Befehl drei Millionen Zahnbürsten gleichzeitig eine Website aufrufen zu lassen. Eine solche sogenannte Distributed Denial of Service-Attacke, kurz DDoS, würde die Website lahmlegen. Die Seite sei über vier Stunden nicht erreichbar gewesen und der Schaden gehe in die Millionen. Was die Schweizer Vertreter von Fortinet nicht nennen wollten, war der Name der betroffenen Firma. Die Journalistin der «Aargauer Zeitung» schrieb, was «wie ein Hollywood-Szenario daherkommt, hat sich wirklich so zugetragen».

IT-Sicherheitsexperten bezweifeln jedoch, dass Millionen von Zahnbürsten, die mit dem Internet verbunden sind, als Bots für einen Hackerangriff manipuliert wurden. Sie diskutierten darüber auf Twitter und Mastodon, amüsiert, skeptisch, verärgert, in ihren virtuellen Kneipen «Hacker News» und «Bleeping Computer». Spott und Häme prasselten auf Journalisten ein. Einer forderte ChatGPT auf, ein Drehbuch für Terminator 6 und «Die Kybernetische Rebellion» zu schreiben. Russische Hacker witzelten auf Telegram.

Eine Sicherheitsforscherin von Fortinet meldete sich auf Mastodon und verlinkte eine ihrer Präsentationen vom März 2018 mit dem Titel «Is my toothbrush really smart?». Darin nennt sie auch Marken und Modelle wie die Oral-B Pro 5000 von Braun oder die Kinderzahnbürste Kolibree Magik von Colgate. Sie lassen sich per Bluetooth mit einer App auf dem Smartphone verbinden, speichern Daten wie die Putzdauer in einer Cloud. Die Sicherheitsforscherin erklärte, dass sie mit der App und der Bluetooth-Verbindung in der Lage wäre, eine Zahnbürste zu hacken, um sie einzuschalten, den Motor zu beschleunigen oder sie aus der Ferne auszuschalten. Ein Angriff auf eine Zahnbürste, um diese aus der Ferne (zum Beispiel in der Nachbarswohnung) zu steuern, ist allerdings etwas anderes als ein Angriff durch eine Zahnbürste.

Und Fortinet selbst? Sagte erst mal nichts.

Lost in Translation

Anrufe bei Fortinet in Dietlikon landeten bei der Empfangsdame. E-Mails blieben unbeantwortet. Schliesslich schickte die PR-Abteilung des Unternehmens eine Stellungnahme, die auch DNIP.ch erreichte (und auf die wir am Schluss des Artikels zurückkommen werden). Darin hält Fortinet fest, das «Szenario» sei «hypothetisch» und spricht von Übersetzungsfehlern der Journalistin, die zu Missverständnissen geführt hätten. Nachgefragt bei Fortinet:

• Welche Firma wurde angegriffen?
• Hat Fortinet ein Modell, einen Namen der Zahnbürste genannt?
• Wurden eventuelle CVEs genannt, die die Schwachstelle, die Sicherheitslücke beschreiben?
• Aufgrund welcher konkreten Daten will Fortinet erkannt haben, dass 3 Millionen Zahnbürsten betroffen waren? Wie hat Fortinet argumentiert?
• Und in welchem Zusammenhang steht das Interview mit der Lancierung eines neuen Bot Protection Service von Fortinet Ende Januar, just als der Bericht in der «Aargauer Zeitung» erschien?

Fortinet hat darauf nicht reagiert.

Weil die «Aargauer Zeitung» mit Anfragen überhäuft wurde, publizierte sie eine Gegendarstellung. Darin beschreibt die Journalistin, wie der «Zahnbürsten-Fall als reale DDoS-Attacke» dargestellt wurde, gespickt mit ebendiesen Details. Und sie betont, dass der Artikel vor der Veröffentlichung Fortinet zur Prüfung vorgelegt wurde. «Der Satz, dass es sich um einen realen Fall handelt, der sich tatsächlich so zugetragen hat», schreibt sie, «wurde nicht beanstandet».

Dass ein Artikel vollständig und nicht nur direkte und indirekte Zitate autorisiert werden, ist auch in der Schweiz ungewöhnlich. Fortinet ist an der Nasdaq in New York kotiert und hat einen Börsenwert von über 50 Milliarden Dollar. Der Griff in die Trickkiste zur Steuerung der Berichterstattung gehört zum Geschäft von PR, Marketing und Werbung. Zu den Aufgaben von Journalistinnen gehört es, zu recherchieren, nachzufragen, zu stören, wo es Anlass zur Kritik gibt, gerade dann, wenn die Machtverhältnisse aus dem Gleichgewicht geraten sind. Das hat im konkreten Fall schlicht nicht zusammengepasst.

Fortinet spielt Foul.

Mission Possible

Was also tun? Widersprüche aufklären, sich nicht blenden lassen – und recherchieren: Ist ein DDoS-Angriff mit drei Millionen Zahnbürsten überhaupt möglich?

Fangen wir von vorne an: Jedes Gerät, das mit dem Internet verbunden werden kann, kann über das Netz auf andere Geräte zugreifen, zum Beispiel Babyphones, Webcams oder eben elektrische Zahnbürsten.

Meistens ist das gewollt – nehmen Sie zum Beispiel den Browser, in dem Sie gerade diesen Text lesen, der auf DNIP.ch zugreift, weil Sie uns lesen wollen.

Anders sieht es bei ungewollten Zugriffen oder gar DDoS-Attacken aus. Um diese auszuführen, braucht es Schadcode. Dieser muss zuerst einmal auf Geräte aus dem «Internet der Dinge» aufgespielt werden.

Und jetzt wird es kompliziert, denn es braucht einen gezielten Angriff auf eine schlecht geschützte, WiFi-fähige Zahnbürste. Und einen Nutzer, der den Schadcode auf die Zahnbürste lädt oder dies zumindest zulässt. Das kann über ein manipuliertes Firmware-Update geschehen. Oder die Nutzerin besucht eine Webseite, die Javascript-Code enthält, der im heimischen Netzwerk nach Zahnbürsten sucht. Das klingt nach viel Aufwand und ist es auch. Einfacher ist es, Drucker oder Router zu hacken. Zuletzt wurde gemäss der auf Sicherheitslösungen spezialisierten Firma Proofpoint ein Kühlschrank für eine Spam-Kampagne manipuliert. Sind die Geräte erst einmal gekapert, können sie zu Botnetzen zusammengeschlossen und für Angriffe missbraucht werden.

Möglich wäre es also.

Wir suchen weiter: Gibt es Blogeinträge von Technikfreaks, die Hacks mit Zahnbürsten ausgeheckt haben? Was sagt die Konkurrenz von Fortinet? Was die Wissenschaft? Und gibt es dokumentierte Schwachstellen in der CVE-Datenbank? Das sind nur ein paar Fragen, die wir uns stellen.

Wir von DNIP.ch haben schon mehrfach Hinweise auf Hacks und Schwachstellen erhalten. Solange diese nicht unabhängig vom Hinweisgeber verifiziert werden können, wird daraus einfach keine Recherche, die wir veröffentlichen.

Dabei hätte es einige spannende Themen gegeben, über die man in Bezug auf Fortinet hätte berichten können. Nicht nur finden sich immer wieder teilweise hochkritische Schwachstellen in ihren Produkten, diese werden durchaus auch aktiv für Angriffe ausgenutzt:

• Tage vor dem Zahnbürsten-Artikel meldete die Nachrichtenagentur Reuters einen Fall von Spionage in den Niederlanden. China hat sich Zugang zu einem Netzwerk des niederländischen Militärs verschafft.
• Anfang Februar berichtete Reuters, dass die US-Regierung begonnen hat, gegen die chinesische Hacker-Operation «Volt Typhoon» vorzugehen, die tausende mit dem Internet verbundene Geräte kompromittiert hat.

In beiden Fällen waren (und sind) Firewalls von Fortinet im Einsatz; Firewalls welche eigentlich für den Schutz der jeweiligen Infrastruktur hätten sorgen sollen.

Und was macht Fortinet? Die sagen wieder nichts.

Hinter der Recherche

Im Zahnbürsten-Fall gab es dann nach längerem Warten ja doch noch eine Antwort von Fortinet, verschickt per E-Mail, auch an DNIP.ch. Im englischen Wortlaut (Hervorhebung durch uns):

To clarify, the topic of toothbrushes being used for DDoS attacks was presented during an interview as an illustration of a given type of attack, and it is not based on research from Fortinet or FortiGuard Labs. It appears that due to translations the narrative on this topic has been stretched to the point where hypothetical and actual scenarios are blurred.

And in case general context on the IoT botnet environment is of interest, FortiGuard Labs is currently observing the following activity: 

The Mirai botnet has been dethroned from its #1 position. In the 2H 2022 Global Threat Landscape Report from FortiGuard Labs, which was released on February 22, 2023, Mirai sat at #1 in terms of Volume per Organization. Between Q3 and Q4 2023, Mirai volume of command-and-control detection subsided 36% and now currently sits at #5.  

FortiGuard Labs has not observed Mirai or other IoT botnets target toothbrushes or similar embedded devices. 

Email von Fortinet, vom 8. Februar 2024

Oder mit anderen Worten: das im ursprünglichen Artikel als Drohkulisse beschriebene Zahnbürsten-Botnet wurde von Fortinet in der Praxis nicht beobachtet.