Hacknutí bezdrátově komunikující inzulínové pumpy může zabíjet

Pavel Houser , 28. říjen 2011 11:31 3 komentářů
Rubriky: Security, Hardware

Možnost narušit fungování medicínských zařízení se diskutuje již nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka o život? Diabetika možná ano.

Inzulínová pumpa
Inzulínová pumpa
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack, bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic (jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač (pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři upravovat funkce zařízení.

V předcházejících případech bylo zařízení možné ovládnout pouze za předpokladu, že útočník znal jeho sériové číslo.

B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi pumpami v okruhu 100 metrů - sériové číslo mu v první fázi útoku sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom je rozdíl oproti předešlé metodě, která dokázala pumpu "pouze" vypnout. Za normálních okolností by se při změně dávkování ozval alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se děje, a pokusit se vyhledat pomoc.

Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost opraví, lékaře i pacienty upozorní na rizika a navíc změní i design samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze. Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť na trh dodávány později), kdy se podobné útoky nejspíš prostě nepředpokládaly.

Zdroj: The Register


Komentáře

RADEK #1
RADEK 29. říjen 2011 12:58

Věčina lidi to dalkove ovladani pumpy použiva kvuli tomu aby ji nemuseli vytahovat na veřejnosti, takže tam ma nastaveny signal (zvukový/vibrace) podle ktereho pozná kolik si navolila.

POkud to někdo nabourá tak si majitel všimne že něco neni v pořadku a vypne bezdrat.

Samozřejmosti je mit tam nastaveny i limit na max davku naraz takže se vam nestane že by jste si pichli třidení davku naráz

quadq #2
quadq 29. říjen 2011 18:38

a? pochybuju, ze maximalni davka bude jen nejaky kus kodu typu if (neco < max_davka) ... a rekl bych ze max_davka nebude nezmenitelna hodnota, k tomuto faktu se priklanim proto, ze pristroj eviduje davku za urcity casovy okamzik ... tzn. asi do nej nenaperu mrte inzulinu, ale kdyz do nej naperu mrte davek naraz s prepisem casu pripadne s prepisem historie, tak to nepozna ...

Luk #3
Luk 29. červenec 2013 00:45

Hlavně je těžko pochopitelné, že to není chráněné standardním způsobem, tedy například pomocí PKI. V dávkovači veřejné klíče oprávněných uživatelů (pacient, nemocnice, výrobce), při přístupu se použije tajný klíč. "Zabezpečení" založené na krátkém sériovém čísle je samozřejmě extrémně snadno prolomitelné. U přístroje, který rozhoduje o životě a smrti, by se takhle hazardovat nemělo. To snad muselo být každém jasné i před těmi 10 lety.

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Google prý chce koupit HTC

ČTK , 20. září 2017 19:18

Společnost dnes tchajwanské burze cenných papírů oznámila, že pozastavuje obchody svými akciemi....

Více 0 komentářů

Američtí operátoři T-Mobile US a Sprint jednají o fúzi

ČTK , 20. září 2017 11:00

Tržní hodnota T-Mobile US se pohybuje kolem 51 miliard dolarů hodnota Sprintu dosahuje zhruba 30 mil...

Více 0 komentářů

EK chce vyšší pravomoci pro řešení kybernetických útoků

ČTK , 20. září 2017 09:00

Celounijní certifikace by se měla týkat miliardy zařízení kritické infrastruktury....

Více 0 komentářů

Starší zprávičky

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 1 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů