„Naše populace je příliš zrychlená. Na nemoci má vliv stav mysli a stres.“ – říká Miloš Táborský
Obsah:
- Riziko bezdrátového přenosu
- Rovněž zjistil další problémy se zařízeními, jako je skutečnost, že často obsahují osobní údaje o pacientech, jako je jejich jméno a lékař. Byly nalezeny také další znaky nápadného kódu, jako například potenciální přístup ke vzdáleným serverům používaným k vývoji softwaru.
Nový výzkum pochází od firmy Barnaby Jack z bezpečnostního dodavatele IOActive, který je znám svou analýzou jiných zdravotnických zařízení, jako jsou zařízení pro poskytování inzulínu.
Jack, který hovořil v bezpečnostním zařízení Breakpoint v Melbourne ve středu uvedl, že chyba spočívá v programování bezdrátových vysílačů, které používají pokyny pro kardiostimulátory a implantabilní kardioverterní defibrilátory (ICD), které detekují nepravidelné srdeční kontrakce a poskytují aby se zabránilo infarktu.
Úspěšný útok pomocí chyby "by mohl určitě vést k smrti," řekl Jack, který oznámil výrobcům, ale veřejně neidentifikoval firmy.
V ukázce videoklipů ukázal Jack, jak může vzdáleně způsobit, že kardiostimulátor náhle přivede 830 voltový šok, který může být slyšet s ostrým slyšitelným popem.
Riziko bezdrátového přenosu
V letech 2006 až 2011 bylo v USA pouze prodáno 4,6 milionu kardiostimulátorů a ICD. V minulosti byli kardiostimulátory a MKP přeprogramováni zdravotnickým personálem, který používal hůlku, která musela projít do několika metrů od pacienta, který má jedno z nainstalovaných zařízení. Tato hůlka převrátí softwarový přepínač, který by mu umožnil přijmout nové pokyny.
Ale trend nyní začíná být bezdrátový. Několik lékařských výrobců nyní prodává noční vysílače, které nahrazují prut a mají bezdrátový dosah až 30 až 50 stop. V roce 2006 schválila Úřad pro potraviny a léčiva USA plné implantovatelné zařízení založené na rádiových frekvencích, pracující v rozmezí 400 MHz, uvedl Jack.
Díky tomuto širokému rozsahu přenosu se vzdálené útoky na software stávají vhodnějšími, řekl Jack. Když studoval vysílače, Jack zjistil, že zařízení by vzalo své sériové číslo a číslo modelu poté, co bezdrátově kontaktoval jednoho se zvláštním velením.
Sériovým a modelovým číslem mohl Jack pak přeprogramovat firmware vysílače, což by dovolit přeprogramovat kardiostimulátor nebo ICD v těle člověka.
"Není těžké pochopit, proč je to smrtonosný rys," řekl Jack. Podle agentury FDA se jen podívá na lékařskou účinnost zařízení a nekontroluje kód zařízení.
"Mým cílem je zvýšit povědomí o těchto potenciálních škodlivých útocích a povzbudit výrobce k tomu, aby přezkoumali bezpečnost jejich kód a nejen tradiční bezpečnostní mechanismy těchto zařízení, "uvedl Jack.
Také zranitelná data
Rovněž zjistil další problémy se zařízeními, jako je skutečnost, že často obsahují osobní údaje o pacientech, jako je jejich jméno a lékař. Byly nalezeny také další znaky nápadného kódu, jako například potenciální přístup ke vzdáleným serverům používaným k vývoji softwaru.
"Nová implementace je chybná mnoha způsoby," řekl Jack. "Opravdu je třeba přepracovat."
Jack vyvíjí "Electric Feel", aplikaci s grafickým uživatelským rozhraním, které by uživateli umožnilo skenovat lékařské přístroje v dosahu. Zobrazí se seznam a uživatel si může zvolit zařízení, například kardiostimulátor, který může být vypnutý nebo nakonfigurován tak, aby poskytl šok.
Standardní kardiostimulátor
"Jsme potenciálně díváme na červa, který má schopnost hromadné vraždy," řekl Jack. "Je to trochu děsivé."
Ironií je, že jak implantáty, tak i bezdrátové vysílače jsou schopné šifrování AES (Advance Encryption Standard), ale není povoleno, řekl Jack. Přístroje mají také "zadní dveře" nebo způsoby, které jim mohou programátoři získat přístup bez standardního ověřování pomocí sériového čísla a čísla modelu.
Existuje legitimní zdravotní potřeba, protože bez zadních dveří, možná budete muset "někdo oříznout". Řekl Jack. "Ale pokud budou mít zadní dveře, alespoň to bude mít hluboko uvnitř ICD jádra. Jsou to drahé zařízení."
Jackova prezentace byla krásně ilustrována v komiksu jako móda. Na jednom snímku se objevil muž, který vypadal docela podobně jako bývalý americký viceprezident Dick Cheney, který dlouho trpěl problémy se srdcem. Závady v zařízení, jak řekl Jack, by mohly znamenat, že útočník by mohl vykonat "poměrně anonymní vraždu" od 50 stop.
"Pro mě notebook nevypadá jako zařízení, které je schopné někoho zabít." Jack uvedl:
Nebo jako člen posluchačů dodal: "Neexistuje žádný záblesk tlačítek s notebookem."
Odeslat tipy na tipy a komentáře na [email protected]. Následujte mě na Twitteru: @jeremy_kirk
Apple může zabít iPhone Aplikace vzdáleně, nebo to může
Rozvíjejte se, protože vývojáři přemýšlejí o tom, proč je to.
Tento krok sleduje rozhodnutí společnosti zabít také OneCare, bezpečnostní software, který byl součástí balíčku Equipt, ale může být také spojen se zánikem Circuit City. Prodejce, který je v současné době v likvidaci, byl jediným prodejcem balíčku Equipt v USA.
Equipt je balíček, který zahrnuje Office Home a Student 2007, OneCare, Office Live Workspaces, Windows Live Mail, Live Messenger a Live Photo. Uživatelé zaplatili 70 USD ročně za to.
Může hardware pomoci zabít heslo? Společnost Google si myslí, že
Inženýři společnosti Google říkají, že experimentují s hardwarem, který by sloužil jako hlavní klíč pro online služby.