Pacemaker kesmek dizüstü bilgisayarla öldürebilir

Birkaç üreticiden gelen Pacemaker'lar, bir dizüstü bilgisayardaki birinden 830 voltluk bir şoku 50 metreye varan bir ölümle sonuçlandırmak için emredilebilir. tıbbi cihaz şirketleri tarafından kötü yazılım programlamasının yapılması.

Yeni araştırma, insülin teslim edici cihazlar gibi diğer tıbbi ekipmanların analizi ile tanınan güvenlik tedarikçisi IOActive'den Barnaby Jack'ten geliyor.

Breakpoint güvenliğinde konuşan Jack Çarşamba günü Melbourne'de düzenlenen konferansta, kusurun düzensiz kalp kasılmaları tespit eden ve teslim eden kalp pili ve implante edilebilen kardiyoverter-defibrilatörlere (ICD'ler) talimat vermek için kullanılan kablosuz vericilerin programlanması yatıyor. bir kalp krizi önlemek için bir elektrik çarpması.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Kusurları kullanarak başarılı bir saldırı "kesinlikle ölümle sonuçlanabilir" dedi. Sorunun açıklanması ancak şirketlerin kamuoyunda tanınmadı.

Jack bir video gösterisinde, bir kalp pilinin aniden 830 voltluk bir şok vermesini nasıl sağlayabildiğini gösterdi; bu da net bir sesli pop sesiyle duyulabildi.

Kablosuz risk

2006 ve 2011 arasında sadece ABD'de 4,6 milyon kalp pili ve ICD satıldı. Geçmişte, kalp pili cihazları ve ICD'ler, tıbbi cihazlarda, cihazlardan birine sahip bir hastadan birkaç metre geçmesi gereken bir değnek kullanılarak yeniden programlandı. Asa, yeni talimatları kabul etmesine izin veren bir yazılım anahtarını çevirir.

Barnaby Jack

Fakat trend artık kablosuz olmaya başladı. Birçok medikal üretici, asansörü değiştiren ve 30 ila 50 fit arasında bir kablosuz menzile sahip olan başucu vericileri satıyor. Jack, 2006 yılında, ABD Gıda ve İlaç İdaresi'nin 400MHz aralığında çalışan tam radyo frekansı tabanlı implante edilebilir cihazları onayladığını söyledi.

Bu geniş iletim aralığıyla, yazılıma karşı uzaktan saldırıların daha uygun hale geldiğini söyledi. Vericilerin üzerinde çalıştıktan sonra, Jack, cihazların seri numarasını ve model numarasını, özel bir komutla kablosuz olarak iletişime geçtikten sonra vereceğini buldu.

Seri ve model numaraları ile, Jack bir vericinin yazılımını yeniden programlayabilirdi. Bir kişinin vücudunda bir kalp pilinin veya ICD'nin yeniden programlanmasına izin ver.

"Bunun neden ölümcül bir özellik olduğunu anlamak zor değil," dedi Jack.

Araştırması yeni başlıyor. FDA, sadece cihazların tıbbi etkinliğine baktığını ve bir cihazın kodunu denetlemediğini söyledi.

"Amacım, bu potansiyel zararlı saldırılar hakkında farkındalık yaratmak ve üreticilerin güvenliğini gözden geçirmek için harekete geçmelerini teşvik etmektir. kodları ve sadece bu cihazların geleneksel güvenlik mekanizmalarını değil, "dedi Jack.

Ayrıca veri de savunmasız

Ayrıca cihazlarla ilgili diğer problemler de buluyordu. İsimleri ve doktorları. Jack, “Yazılımın geliştirilmesinde kullanılan uzak sunuculara potansiyel erişim gibi diğer yumuşak slogan işaretleri de bulundu.

“ Yeni uygulama pek çok açıdan kusurlu ”dedi. “Gerçekten de yeniden işlenmeye ihtiyacı var.”

Jack, bir kullanıcının menzili bir tıbbi cihazı taramasına izin veren bir grafik kullanıcı arabirimine sahip bir uygulama olan "Electric Feel" i geliştiriyor. Bir liste görünecek ve bir kullanıcı bir kalp pili gibi bir cihazı seçebilir, bu da daha sonra bir şok vermek için kapatılabilir veya yapılandırılabilir.

Standart bir Pacemaker

Yeterince kötü değilse, Jack bir firmanın sunucularına, çoklu pacemaker'ları ve ICD'leri gerçek bir virüs gibi sistemlerinden yayılan özel olarak hazırlanmış bir firmware yüklemek mümkün olduğunu söyledi.

Jack, "Potansiyel olarak toplu katliam yapma yeteneğine sahip bir solucana bakıyoruz," dedi. “Bu çok korkutucu bir şey.”

İronik olarak, hem implantlar hem de kablosuz vericiler AES (Gelişmiş Şifreleme Standardı) şifrelemeyi kullanabiliyor, ancak etkin değil, dedi Jack. Cihazlar ayrıca "arka kapılar" veya programcıların standart bir kimlik doğrulama olmadan seri ve model numarası kullanarak bunlara erişebilecekleri yollara da sahiptir.

Arka kapı olmadan, "açık birini kesmek" zorunda kalabileceğiniz meşru bir tıbbi ihtiyaç var. Jack dedi. “Ama eğer bir arka kapıya sahip olacaklarsa, en azından ICD çekirdeğinin içine gömülmüş olmalılar. Bunlar pahalı aygıtlardır.”

Jack'in sunumu güzel bir çizgi roman tarzında resmedilmiştir. Bir noktada, bir slayt, uzun zamandır kalp problemleri yaşayan eski ABD başkan yardımcısı Dick Cheney'e oldukça benzeyen bir adam gösterdi. Jack, aygıttaki kusurların, bir saldırganın 50 metre uzakta "oldukça anonim bir suikast gerçekleştirebileceği" anlamına gelebileceğini söyledi.

"Bana göre, bir dizüstü bilgisayar birini öldürme kabiliyetine sahip bir cihaza benzemiyor." Jack, dedi.

Ya da bir seyirci üyesi ekledi: "Bir dizüstü bilgisayarla namlu ağzı yok."

[email protected] adresine haber ve ipuçları yollayın. Twitter'da beni takip edin: @jeremy_kirk