Roentgen rozrusznika w klatce piersiowej. Aktualizacja: Barnaby Jack, który wiedział, jak zhakować rozruszniki w celu zabijania pacjentów, został odnaleziony martwy dziś rano przez zakład medycyny sądowej w San Francisco. Jak dotąd nie ustalono przyczyny śmierci Barnaby Jacka. W przyszłym tygodniu miał przemawiać podczas konferencji hakerów w Las Vegas o tym, jak hakować urządzenia medyczne implantowane w ludzkim ciele. Oto nasz wywiad przeprowadzony z Barnabym, pierwotnie opublikowany p=25 czerwca.Zhakowanie twojego serca i ustawienie jego eksplozji pod napięciem 830 wolt jest z pewnością niemałym ryzykiem, jeśli myślisz o montażu rozrusznika. Wygląda to bardziej na incydent możliwy tylko w filmie z Jasonem Stathamem o seryjnym mordercy z irracjonalną nienawiścią do osób cierpiących na arytmię. A jednak tak nie jest.Wcześniej w tym miesiącu FDA (Amerykańska Agencja ds. Żywności i Leków, przyp. red.) wysłało raport do producentów sprzętu medycznego, w którym ostrzegła o niedociągnięciach w systemach komputerowych tych urządzeń. Poinformowano ich, że te słabości mogłyby umożliwić hakerom uzyskanie dostępu do sprzętu ratującego serce i nerki, jego zmanipulowanie i – teoretycznie – zabicie pacjentów. Wyobrażam sobie, że to ostatnia rzecz, o jakiej marzysz, kiedy twoje serce i nerki są już w tak złym stanie, że potrzebujesz specjalnego sprzętu, który zapewni ich prawidłowe funkcjonowanie.Barnaby Jack, dyrektor ds. bezpieczeństwa sprzętu implantowanego w firmie IOActive, oferującej zabezpieczenia komputerowe, rozwinął oprogramowanie umożliwiające zdalne wysyłanie elektrycznego szoku jakiejkolwiek osobie z rozrusznikiem w promieniu 50 stóp. Stworzył też system skanujący pompy insulinowe, który komunikuje się bezprzewodowo w promieniu 300 stóp i pozwala na ich zhakowanie bez potrzeby znajomości numeru identyfikacyjnego. Następnie system ustawia pompy insulinowe do wypompowywania większej lub mniejszej ilości insuliny niż potrzeba, skazując w ten sposób pacjentów na wstrząs hipoglikemiczny.Kolejną niepokojącą kwestią jest oprogramowanie używane w podstawowej aparaturze szpitalnej. Stosunkowo ważne urządzenia medyczne – takie jak pulsometry czy monitory ciśnienia tętniczego – mają przestarzałe oprogramowanie, które jest niezwykle podatne na złośliwe wirusy. Każdy, kto miałby na to ochotę, mógłby zainfekować oprogramowanie i sprawić, że nagle zaczęłoby wyświetlać złe znaki i tym samym wprowadziłoby w błąd lekarzy prowadzących niezbędne procedury medyczne.Oczywiście nic z tych rzeczy się nie wydarzy, chyba, że jakiś nerd-pojeb zainteresuje się tematyką hakowania urządzeń medycznych. Tak czy inaczej uznałem, że zadzwonię do Barnaby'ego, żeby mnie uspokoił.
Barnaby Jack (zdjęcie dzięki uprzejmości Barnaby Jacka)VICE: Cześć Barnaby. Dlaczego postanowiłeś użyć odwrotnej inżynierii przy rozpracowaniu rozrusznika serca?Barnaby Jack: Zaintrygowało mnie to, że te urządzenia - kluczowe dla ludzkiego życia – komunikują się bezprzewodowo. Postanowiłem przyjrzeć się rozrusznikom i ICD - (wszczepialnym kardiowerterom-defibrylatorom serca), żeby się przekonać, czy komunikują się bezpiecznie i czy byłoby możliwe dla atakującego zdalne przejęcie kontroli nad tymi urządzeniami.I odkryłeś, że to możliwe?Tak, napisane przeze mnie oprogramowanie umożliwia odłączanie od zasilania rozrusznika serca lub ICD, czytanie i zapisywanie danych w pamięci urządzenia, a w przypadku ICD umożliwia przekazanie szoku wysokiego napięcia nawet do 830 wolt. Chciałem się przyjrzeć tym urządzeniom, żeby je lepiej pokazać i uświadomić ludzi o odkrytych przeze mnie problemach i zmobilizować producentów do implementacji bezpieczniejszych projektów bezpieczeństwa.Czy trudno się włamać do tych urządzeń?To wymaga specjalistycznych umiejętności, ale im więcej badaczy bezpieczeństwa koncentruje się na implantowanych urządzeniach, tym powszechniejszy staje się ten zestaw specjalistycznych umiejętności. Cały proces zajął mi około sześciu miesięcy, od zastosowania odwrotnej inżynierii i znalezienia niedociągnięć do napisania oprogramowania i i wykorzystania wspomnianych niedociągnięćA gdyby, powiedzmy, funkcjonariusz publiczny używał rozrusznika, to czy byłby podatny na zamach ze strony hakerów, jak w tym odcinku „Homeland”?Czy używają lepiej zabezpieczonych urządzeń? Nie czułbym się komfortowo spekulując o takich scenariuszach, ale na tyle, na ile mi wiadomo, nie ma żadnej różnicy między implantowanymi urządzeniami wydawanymi urzędnikom a tymi dostępnymi dla normalnych ludzi.OK, a czy były jakieś inne medyczne urządzenia, które badałeś pod kątem ich podatności na zhakowanie? Pewnie, wcześniej przyglądaliśmy się też pompom insulinowym i znaleźliśmy istotne niedociągnięcie w najbardziej popularnym modelu.Czy w tej sprawie coś się dzieje?Powiadomiliśmy producenta o niedociągnięciu i ma zostać usunięte przy projektowaniu kolejnego modelu. Jeśli chodzi o naszą pracę z implantami, aktywnie angażujemy producentów w dyskusje o rozwiązywaniu tych problemów.Myślisz, że w przyszłości urządzenia takie jak sztuczne ręce czy nogi będą padały ofiarom hakingu i innych manipulacji?Jeśli do urządzenia można uzyskać zdalny dostęp, zawsze istnieje ryzyko nadużycia.To dlaczego te urządzenia tak się projektuje, że mają tylne wejścia, przez które można nimi manipulować?Istnieje sensowne rozumowanie, które stoi za utrzymywaniem opcji awaryjnych do obsługi tych urządzeń. Koniec końców, te urządzenia zostają implantowane, a ewentualna utrata danych wymagałaby „otwierania” danej osoby (tak więc uwierzytelnienie następuje bezprzewodowo, żeby lekarz nie musiał „otwierać” osoby, żeby dokonać zmian). Nas najbardziej martwi odległość, z jakiej można dokonywać tych zmian.Słyszałem, że wiele szpitali stosuje oprogramowanie, które może być potencjalnie narażone na infekcję złośliwymi wirusami. Czy to stanowi realne ryzyko dla ludzkiego zdrowia?Tak, wiele szpitali stosuje przestarzałe oprogramowanie, a złośliwe wirusy są znane z atakowania szpitalnych sieci wewnętrznych. Szpitale często w ogóle nie aktualizują oprogramowania, bo boją się złamania regulacji FDA. Myślę, że zdecydowanie istnieje potencjalne ryzyko dla zdrowia, w szczególności jeśli wirus zaatakuje kluczowe urządzenia.Dzięki Barnaby. OTO LAVISH. KIM JEST NAPRAWDĘ INTERNETOWY CELEBRYTA, KTÓRY OŚMIESZA GWIAZDY?PYTANIA, KTÓRE POWSTAŁY W MOJEJ GŁOWIE PO OBEJRZENIU NOWEGO TELEDYSKU MILEY CYRUS "WE CAN'T STOP"JAK SIĘ ROZBIERAĆ
Reklama
Reklama
Reklama
Reklama