Хакът причинява появата на пейсмейкъри животозастрашаващи шокове

Рентгенова снимка на човешки гръден кош с пейсмейкър вътре в него.Увеличи Люсиен Монфилс / Уикимедия

Живоспасяващите пейсмейкъри, произведени от Medtronic, не разчитат криптиране за защита на актуализациите на фърмуера, провал, който го прави възможно е хакерите да инсталират отдалечено злонамерени стоки застрашават живота на пациентите, заявиха изследователите по сигурността в четвъртък.

На конференцията за сигурност на Black Hat в Лас Вегас, изследователи Били Риос и Джонатан Бътс казаха, че първо са сигнализирали медицински производител на устройства Medtronic към хакерските уязвимости през януари 2017. Досега, казаха те, доказателството, че те атакуват разработени все още работят. Дуетът в четвъртък демонстрира един хак който компрометира програмист CareLink 2090, устройство, което лекарите използват за контрол на пейсмейкърите, след като са имплантирани при пациенти.

Тъй като актуализациите за програмиста не се доставят над криптирана HTTPS връзка и фърмуерът не е цифрово подписан, изследователите успяха да го принудят да пуска злонамерен фърмуер би било трудно за повечето лекари да открият. Оттам Според изследователите, компрометираната машина може да причини имплантиране пейсмейкъри, за да направят животозастрашаващи промени в терапиите, като например увеличаване на броя на шоковете, доставени на пациентите.

Това е безопасността на пациента

„Реакцията от производителя е толкова слаба“, заяви Риос пред Ars. „Това не е някаква онлайн видео игра, в която могат да се получат високи резултати изхвърлени. Това е безопасност на пациента. ”В имейл, Medtronic представител заяви, че съществуващият контрол смекчава проблемите. Риос и Бътс не се съгласи и заяви, че хаковете, които описват, остават жизнеспособни.

Има два начина за хакване на CareLink 2090, като и двата разчитат на верига от подвизи за работа. Хакът демонстрира в четвъртък експлоатира уязвимостите по начина, по който програмистът приема актуализации от Medtronic.

Отделен хак използва уязвимостите в сървъри за доставяне на софтуер Medtronic използва вътрешната си вътрешна мрежа. Проучвайки начина, по който програмистът общува с него, Риос и Бътс успяха да разберат как хакер може да се присъедини към виртуална частна мрежа и фалшифициране на процеса на актуализиране. защото този хак компрометира сървърите, използвани в производството и са собственост на Medtronic, изследователите никога не са се опитвали да го осъществят. За разлика от демонстрацията на четвъртък, компрометиран а програмист, те са купили на eBay, така че не заплашва пациента оборудване за безопасност или повреждане, собственост на други лица.

Rios, от охранителната фирма WhiteScope и Butts, от QED Secure Решения, демонстрираха отделен хак в четвъртък срещу a Medtronic произведена помпа за инн. Използване на 200 $ HackRF софтуерно дефинирано радио, изпратиха инструкции на помпата, за да откажат планирана доза на инсн.

Представителят на Medtronic заяви, че хакът на insn-pump работи само срещу по-стара версия на помпата в sn и след това само когато a настройката по подразбиране се променя, за да се даде възможност за отдалечени функции. Най- представител каза още, че хакове срещу пейсмейкърите са имали бяха адресирани. На тази страница са изброени препоръките за сигурност Medtronic е издал.

Пълното изявление е:

Миналата година фирмата за проучване на сигурността WhiteScope уведоми Medtronic на потенциални уязвимости в програматора CareLink 2090 и неговата съпътстваща мрежа за внедряване на софтуер. Ние оценихме уязвимости и издаде съвет за ICS-CERT през февруари, който беше прегледан и одобрен от FDA, ICS-CERT и WhiteScope.

В придружаващия бюлетин за сигурност на Medtronic ние общувахме че нашите съществуващи контроли за сигурност смекчават проблема. Оттогава време, ние също направихме технически актуализации, където са тези услуги домакин за по-нататъшно засилване на контрола на сигурността.

Medtronic препоръчва на клиентите да продължат да следват указания за сигурност, подробно описани в Medtronic 2090 CareLink Справочно ръководство за програмист. Това ръководство включва поддържане добър физически контрол над програмиста и осигуряване на сигурност физическа среда, която не позволява достъп до програмиста на 2090 г. В допълнение, програмистът на 2090 г. трябва да бъде свързан към a добре управлявана, защитена компютърна мрежа. Ако това не е възможно, програмистът за 2090 г. трябва да бъде изключен от мрежата (с няма въздействие върху функционалността) и може да се получават актуализации директно от представител на Medtronic.

Докато консултативният процес отне повече време, отколкото всички страни желаят, този процес беше необходим за координиране с WhiteScope, ICS-CERT, и FDA да определят дали това трябва да доведе до публичност разкриване или съвет. Medtronic издаде съвет по този въпрос уязвимост, защото сме ангажирани с сътрудничеството и прозрачност с индустриалните партньори и регулаторната общност, и ние подкрепяме насоките на FDA по тези въпроси. С последващо въпроси за сигурността, ние по-бързо се координираме между ICS-CERT, FDA и изследователят и по-ефективни с нашите публични оповестявания.

MiniMed Paradigm в sn помпи

През май 2018 г. външен изследовател по сигурността уведоми Medtronic на потенциална уязвимост на сигурността с MiniMedTM Paradigm ™ семейство помпи за Insn и съответното дистанционно управление. ние оцени уязвимостта и днес издаде съвет, който беше прегледан и одобрен от FDA, ICS-CERT и Whitescope.

Тази уязвимост засяга само подгрупата потребители, които използват дистанционно управление, за да достави Easy Bolus ™ до тяхната помпа за обитаване. Inконсултативните, както и чрез уведомяване на здравеопазването професионалисти и пациенти, ние съобщаваме някои предпазни мерки, които потребителите на дистанционния контролер могат да предприемат, за да сведат до минимум риска и защита на сигурността на тяхната помпа.

Като част от нашия ангажимент за безопасността и устройството на клиентите Сигурност, Medtronic работи в тясно сътрудничество с индустриалните регулатори и изследователите да предвиждат и да реагират на потенциални рискове. Inв допълнение към нашата текуща работа с общността за сигурност, Medtronic вече предприе няколко конкретни действия за подобряване на устройството сигурност и ще продължи да прави значителни инвестиции за подобрете защитата на защитата на устройството.

Риос и Бътс обаче продължиха да критикуват Medtronic за времето, необходимо за справяне с уязвимите места и липсата на изчерпателност на тези актуализации.

„В момента, като изследователи по сигурността, ние вярваме в ползите за имплантираните медицински изделия надвишават рисковете “, каза Риос пред Ars. „Въпреки това, когато имате производители, действащи по начина, по който Medtronic направи, трудно е да им се вярваш. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: