Hacknutí bezdrátově komunikující inzulínové pumpy může zabíjet

Pavel Houser , 28. říjen 2011 11:31 3 komentářů
Rubriky: Security, Hardware

Možnost narušit fungování medicínských zařízení se diskutuje již nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka o život? Diabetika možná ano.

Inzulínová pumpa
Inzulínová pumpa
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack, bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic (jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač (pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři upravovat funkce zařízení.

V předcházejících případech bylo zařízení možné ovládnout pouze za předpokladu, že útočník znal jeho sériové číslo.

B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi pumpami v okruhu 100 metrů - sériové číslo mu v první fázi útoku sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom je rozdíl oproti předešlé metodě, která dokázala pumpu "pouze" vypnout. Za normálních okolností by se při změně dávkování ozval alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se děje, a pokusit se vyhledat pomoc.

Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost opraví, lékaře i pacienty upozorní na rizika a navíc změní i design samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze. Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť na trh dodávány později), kdy se podobné útoky nejspíš prostě nepředpokládaly.

Zdroj: The Register


Komentáře

RADEK #1
RADEK 29. říjen 2011 12:58

Věčina lidi to dalkove ovladani pumpy použiva kvuli tomu aby ji nemuseli vytahovat na veřejnosti, takže tam ma nastaveny signal (zvukový/vibrace) podle ktereho pozná kolik si navolila.

POkud to někdo nabourá tak si majitel všimne že něco neni v pořadku a vypne bezdrat.

Samozřejmosti je mit tam nastaveny i limit na max davku naraz takže se vam nestane že by jste si pichli třidení davku naráz

quadq #2
quadq 29. říjen 2011 18:38

a? pochybuju, ze maximalni davka bude jen nejaky kus kodu typu if (neco < max_davka) ... a rekl bych ze max_davka nebude nezmenitelna hodnota, k tomuto faktu se priklanim proto, ze pristroj eviduje davku za urcity casovy okamzik ... tzn. asi do nej nenaperu mrte inzulinu, ale kdyz do nej naperu mrte davek naraz s prepisem casu pripadne s prepisem historie, tak to nepozna ...

Luk #3
Luk 29. červenec 2013 00:45

Hlavně je těžko pochopitelné, že to není chráněné standardním způsobem, tedy například pomocí PKI. V dávkovači veřejné klíče oprávněných uživatelů (pacient, nemocnice, výrobce), při přístupu se použije tajný klíč. "Zabezpečení" založené na krátkém sériovém čísle je samozřejmě extrémně snadno prolomitelné. U přístroje, který rozhoduje o životě a smrti, by se takhle hazardovat nemělo. To snad muselo být každém jasné i před těmi 10 lety.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Roboty využívá téměř čtvrtina českých menších firem

ČTK , 24. červenec 2017 10:00

Důvodem investic do robotizace nesmí být všeobecný trend, ale faktická potřeba. ...

Více 0 komentářů

Začne platit nový zákon, který má šetřit náklady na budování sítí

ČTK , 24. červenec 2017 09:00

Provozovatelé vodovodních, energetických i kanalizačních sítí budou muset umožnit přístup zájemců o ...

Více 0 komentářů

Šéfem nového úřadu pro kyberbezpečnost by měl být Navrátil

ČTK , 24. červenec 2017 08:00

Úřad měl dostat vlastní rozpočtovou kapitolu. ...

Více 0 komentářů

Starší zprávičky

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů