Možnost narušit fungování medicínských zařízení se diskutuje již
nějakou dobu. Může ale útočník tímto způsobem přímo připravit člověka
o život? Diabetika možná ano.
Podobná akce se nemusí omezovat na sci-fi filmy. Barnaby Jack,
bezpečnostní výzkumník společnosti McAfee, prezentoval na konferenci
Hacker Halted v Miami útok na inzulínovou pumpu společnosti Medtronic
(jeden z nejvýznamnějších dodavatelů zařízení tohoto typu). Příslušné
pumpy obsahují rozhraní pro bezdrátovou komunikaci a rádiový vysílač
(pracovní frekvence 900 MHz), s jejichž pomocí mohou pacienti i lékaři
upravovat funkce zařízení.
V předcházejících případech bylo zařízení možné ovládnout pouze za
předpokladu, že útočník znal jeho sériové číslo.
B. Jack se ale dokázal obejít i bez toho a získat kontrolu nad všemi
pumpami v okruhu 100 metrů – sériové číslo mu v první fázi útoku
sdělila samotná zařízení. K tomu všemu stačí dle Jacka jeho vlastní
speciálně vyvinutá anténa a software. Čerpadla pak budou poslušně
plnit útočníkovy příkazy, např. vyprázdní najednou celý zásobník
inzulínu (asi 300 běžných dávek), což už člověka může zabít. I v tom
je rozdíl oproti předešlé metodě, která dokázala pumpu „pouze“
vypnout. Za normálních okolností by se při změně dávkování ozval
alespoň upozorňující tón nebo vibrace, i tuto signalizaci ale prý
útočník může potlačit. Pacient tak prakticky nemá šanci zjistit, co se
děje, a pokusit se vyhledat pomoc.
Medtronic přislíbil, že problém bude řešit. Konkrétní zranitelnost
opraví, lékaře i pacienty upozorní na rizika a navíc změní i design
samotných zařízení (ochrana komunikace šifrováním apod.). Jack ale
uvádí, že u stávajících zařízení bezdrátovou komunikaci vypnout nelze.
Zranitelné modely pump byly navrženy a vyvinuty asi před 10 lety (byť
na trh dodávány později), kdy se podobné útoky nejspíš prostě
nepředpokládaly.
Zdroj: The Register