Car-tech

A pacemaker hack képes megölni a laptopon keresztül

PLANTS VS ZOMBIES 2 LIVE

PLANTS VS ZOMBIES 2 LIVE

Tartalomjegyzék:

Anonim

Több gyártótól származó pacemakereket parancsolhatunk arra, hogy halálos, 830 voltos ütést okozzanak egy laptopon, akár 50 méterre, az eredmény az orvosi műszerekkel foglalkozó cégek szegény szoftveres programozása.

Az új kutatás Barnaby Jack az IOActive biztonsági gyártó cégtől származik, más orvosi eszközök, például az inzulinszállító készülékek elemzése alapján.

Jack, aki a Breakpoint biztonsági konferencián Melbourne-ben szerdán elmondta, hogy a hiba a vezeték nélküli távadók programozásában rejlik, amelyek a pacemakerek és beültethető cardioverter-defibrillátorok (ICD-k) utasításaira szolgálnak, amelyek szabálytalan szívösszehúzódásokat észlelnek és áramütés a szívroham elhárításához

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A sikeres támadás a hiba használatával "végeredményben halálos kimenetet eredményezhet" - mondta Jack, aki értesítette a gyártókat a probléma, de nem nyilvánosan azonosította a cégeket.

Egy videomegállapításban Jack bemutatta, hogyan távolíthatja el a szívritmus-szabályozót, hogy hirtelen 830 voltos ütést okozzon, amit hallható, éles hangos popdal hallhatunk.

Vezeték nélküli kockázat

2006 és 2011 között csak 4,6 millió pacemaker-et és ICD-t adtak el az Egyesült Államokban, mondta Jack. A múltban a szívritmus-szabályozókat és az ICD-ket az orvosi személyzet újraprogramozta egy olyan pálcával, amely egy pár méteren belül kellett eltelnie egy olyan betegtől, aki felszerelte az egyik eszközt. A pálca egy szoftverkapcsolót flip, amely lehetővé tenné, hogy elfogadja az új utasításokat.

Barnaby Jack

De a trend ma már vezeték nélküli. Számos orvosi gyártó már eladja az ágy melletti távadókat, amelyek kicserélik a pálcát és vezeték nélküli hatótávolságuk 30-50 láb. 2006-ban az Egyesült Államok Élelmiszer- és Gyógyszerbiztonsági Hatósága jóváhagyta a 400 MHz-es frekvenciatartományban működő teljes rádiófrekvenciás beültethető eszközöket, mondta Jack.

Ezzel a széles átviteli tartománygal a távoli támadások a szoftver ellenére megvalósíthatók lettek. Jack azt mondta, hogy a készülékek a sorozatszámot és a modellszámot adják fel, miután vezeték nélkül kapcsolatba lépett egy speciális parancsgal.

A soros és a modellszámmal a Jack újraprogramozhat egy adóegység firmware-jét, ami engedélyezze a pacemaker vagy az ICD újraprogramozását egy személy testében.

"Nem nehéz megérteni, hogy ez miért halálos" - mondta Jack. Az FDA azt mondta, csak az eszközök orvosi hatékonyságát vizsgálja, és nem végez ellenőrzést az eszköz kódjáról.

"Célom az, hogy felhívjuk a figyelmet ezekre a potenciális rosszindulatú támadásokra, és arra ösztönözzük a gyártókat, hogy cselekedjenek a kódjukat, és nem csak az eszközök hagyományos biztonsági mechanizmusait "- mondta Jack.

Adatok sebezhetősége is

Egyéb problémákkal is szembesült az eszközökkel, például azzal a ténnyel, hogy gyakran tartalmaznak személyes adatokat a betegekről, például a nevüket és az orvosukat. Más szoftverek fejlesztésére használt távoli kiszolgálókhoz való hozzáférést is észlelték.

"Az új megvalósítás sokféle módon hibás," mondta Jack. "Igazán újra kell dolgozni."

Jack fejleszti az "Electric Feel" -et, egy olyan alkalmazást, amelynek grafikus felhasználói felülete lehetővé teszi a felhasználó számára, hogy egy orvosi eszközt vizsgáljon a hatótávolságon belül. Egy lista jelenik meg, és a felhasználó kiválaszthat egy eszközt, például pacemakert, amelyet ki lehet kapcsolni vagy konfigurálni, hogy sokkot kapjon.

Egy szabványos pacemaker

Mintha ez nem lenne elég rossz, Jack azt mondta, hogy fel lehet tölteni a speciálisan kialakított firmware-t a cég szervereire, amelyek megfertőznék a pacemakereket és az ICD-ket, és átterjednének a rendszerükön, mint egy igazi vírus.

"Potenciálisan egy féregre nézünk, aki képes a tömeges gyilkosság elkövetésére" - mondta Jack. "Ilyen ijesztő".

Ironikus módon mind az implantátumok, mind a vezeték nélküli távadók képesek az AES (Advance Encryption Standard) titkosítást használni, de ez nem engedélyezett, mondta Jack. Az eszközöknek van "backdoors" vagy módjuk, hogy a programozók hozzáférjenek hozzájuk a szabványos hitelesítés nélkül, soros és modellszámmal.

Létezik egy törvényes orvosi szükséglet, mivel a háttérvilágítás nélkül "le kell vágnia valakit nyitva" Jack mondta. "De ha egy hátsóajtóval rendelkeznek, akkor legalább az ICD mag mélyébe ágyazódnak, ezek drága eszközök." Jack bemutatója szépen illusztrált egy olyan képregény könyvben, mint a divat. Egy ponton egy dia mutatott egy olyan embert, aki nagyon hasonlított a korábbi amerikai egyesült államokbeli alelnök Dick Cheney-nek, aki régóta szívproblémákban szenved. A készülék hibái - mondta Jack - azt jelentenék, hogy egy támadó 50 láb távolságból "meglehetősen névtelen merényletet" végezhetett. "Számomra a laptop nem úgy tűnik, mint egy eszköz, amely képes megölni valakit". Jack azt mondta:

Vagy ahogy a közönség tagja hozzátette: "Nincs szájkosár a laptopon."

Hírek és megjegyzések küldése a [email protected] címre. Kövessen velem a Twitteren: @jeremy_kirk