Hacknutí bezdrátově komunikující inzulínové pumpy může zabíjet

Pavel Houser , 28. říjen 2011 11:31 3 komentářů
Rubriky: Security, Hardware

Možnost narušit fungování medicínských zařízení se diskutuje již nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka o život? Diabetika možná ano.

Inzulínová pumpa
Inzulínová pumpa
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack, bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic (jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač (pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři upravovat funkce zařízení.

V předcházejících případech bylo zařízení možné ovládnout pouze za předpokladu, že útočník znal jeho sériové číslo.

B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi pumpami v okruhu 100 metrů - sériové číslo mu v první fázi útoku sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom je rozdíl oproti předešlé metodě, která dokázala pumpu "pouze" vypnout. Za normálních okolností by se při změně dávkování ozval alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se děje, a pokusit se vyhledat pomoc.

Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost opraví, lékaře i pacienty upozorní na rizika a navíc změní i design samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze. Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť na trh dodávány později), kdy se podobné útoky nejspíš prostě nepředpokládaly.

Zdroj: The Register


Komentáře

RADEK #1
RADEK 29. říjen 2011 12:58

Věčina lidi to dalkove ovladani pumpy použiva kvuli tomu aby ji nemuseli vytahovat na veřejnosti, takže tam ma nastaveny signal (zvukový/vibrace) podle ktereho pozná kolik si navolila.

POkud to někdo nabourá tak si majitel všimne že něco neni v pořadku a vypne bezdrat.

Samozřejmosti je mit tam nastaveny i limit na max davku naraz takže se vam nestane že by jste si pichli třidení davku naráz

quadq #2
quadq 29. říjen 2011 18:38

a? pochybuju, ze maximalni davka bude jen nejaky kus kodu typu if (neco < max_davka) ... a rekl bych ze max_davka nebude nezmenitelna hodnota, k tomuto faktu se priklanim proto, ze pristroj eviduje davku za urcity casovy okamzik ... tzn. asi do nej nenaperu mrte inzulinu, ale kdyz do nej naperu mrte davek naraz s prepisem casu pripadne s prepisem historie, tak to nepozna ...

Luk #3
Luk 29. červenec 2013 00:45

Hlavně je těžko pochopitelné, že to není chráněné standardním způsobem, tedy například pomocí PKI. V dávkovači veřejné klíče oprávněných uživatelů (pacient, nemocnice, výrobce), při přístupu se použije tajný klíč. "Zabezpečení" založené na krátkém sériovém čísle je samozřejmě extrémně snadno prolomitelné. U přístroje, který rozhoduje o životě a smrti, by se takhle hazardovat nemělo. To snad muselo být každém jasné i před těmi 10 lety.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů